date:20070801

netfilter vagy route

2007-08-01 Thread [EMAIL PROTECTED]

Sziasztok!

Alábbi problémám van (újfent):
Adott egy debian etch tűzfal egyik lába eth0 több publikus ip címmel 
(alias),
másik lába eth1 lokál net szerverekkel, dns, web, mail.
Szépen be vannak állítva a preroutingok hozzá tartozó forward.
Megy is a levelezés, dns (kívülről elérhető válaszolnak múködnek),
   webbel van problémám a lokál neten történő hívásokkor,
akkor ha NEM a belső ip címet adom meg hanem a külsőt, (ami kívülről 
működik).

tehát ha egy lokális hálóban lévő szerveren (mondjuk 192.168.11.3-ról) 
kiadom:
telnet 192.168.11.2 80
az ok GET re jön aminek jönnie kell :) OK

de ha:
telnet  80
TRy...
és nem történik semmi.
Pedig:
iptables -t nat -A PREROUTING -d 
   -p tcp --dport 80 -j DNAT --to 192.168.11.2
meg persze 80 port forward ok
De ezek szerint csak a külső csomagokra illeszkedik
   vagy routolásnál kellene valamit megmondanom?
Hogy ha lokálnetről jön valami a  felé akkor
   hova irányítsa?
(belülrül 192.168.11.3-ról amúgy tudom pingelni  ezt)

Köszi előre is.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

netfilter vagy route

2007-08-01 Thread [EMAIL PROTECTED]

Sziasztok!

Alábbi problémám van (újfent):
Adott egy debian etch tűzfal egyik lába eth0 több publikus ip címmel 
(alias),
másik lába eth1 lokál net szerverekkel, dns, web, mail.
Szépen be vannak állítva a preroutingok hozzá tartozó forward.
Megy is a levelezés, dns (kívülről elérhető válaszolnak múködnek),
webbel van problémám a lokál neten történő hívásokkor,
akkor ha NEM a belső ip címet adom meg hanem a külsőt, (ami kívülről 
működik).

tehát ha egy lokális hálóban lévő szerveren (mondjuk 192.168.11.3-ról) 
kiadom:
telnet 192.168.11.2 80
az ok GET re jön aminek jönnie kell :) OK

de ha:
telnet  80
TRy...
és nem történik semmi.
Pedig:
iptables -t nat -A PREROUTING -d 
-p tcp --dport 80 -j DNAT --to 192.168.11.2
meg persze 80 port forward ok
De ezek szerint csak a külső csomagokra illeszkedik
vagy routolásnál kellene valamit megmondanom?
Hogy ha lokálnetről jön valami a  felé akkor
hova irányítsa?
(belülrül 192.168.11.3-ról amúgy tudom pingelni  ezt)

Köszi előre is.
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread Gabor HALASZ

[EMAIL PROTECTED] wrote:

> Hogy ha lokálnetről jön valami a  felé akkor
> hova irányítsa?

/proc/sys/net/ipv4/conf//accept_redirects es tarsait nezd meg.



-- 
Gabor HALASZ <[EMAIL PROTECTED]>
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread PÁSZTOR György

Hi!

"[EMAIL PROTECTED]" <[EMAIL PROTECTED]> írta 2007-08-01 14:49-kor:
> tehát ha egy lokális hálóban lévő szerveren (mondjuk 192.168.11.3-ról) 
> kiadom:
> telnet 192.168.11.2 80
> az ok GET re jön aminek jönnie kell :) OK
Ugye a 192.168.11.2 az saját címe, meg ő is a gw?
Ha igen, akkor ugye nem kaszálod el forward láncban?
Ha nem: akkor kicsit gondolkodj, hogy mit is csináltál, aztán pörgess ;-)

Üdv:Gyur!
-- ---[ Free Software ISOs - http://www.fsn.hu/?f=download ]--- --
PÁSZTOR György e-mail: [EMAIL PROTECTED]
Free Software Network (FSN.HU)  cell.: +3620 512 3335
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread [EMAIL PROTECTED]

PÁSZTOR György írta:
> Hi!
>
> "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> írta 2007-08-01 14:49-kor:
>   
>> tehát ha egy lokális hálóban lévő szerveren (mondjuk 192.168.11.3-ról) 
>> kiadom:
>> telnet 192.168.11.2 80
>> az ok GET re jön aminek jönnie kell :) OK
>> 
> Ugye a 192.168.11.2 az saját címe, meg ő is a gw?
>   
Nem gw. (mondjuk nem írtam, de a 192.168.11.1 a gw)

> Ha igen, akkor ugye nem kaszálod el forward láncban?
> Ha nem: akkor kicsit gondolkodj, hogy mit is csináltál, aztán pörgess ;-)
>
>   
"Nem használom el?"
Én tudom mit csináltam. Leírtam mi a problémám.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread [EMAIL PROTECTED]

Gabor HALASZ írta:
> [EMAIL PROTECTED] wrote:
>
>   
>> Hogy ha lokálnetről jön valami a  felé akkor
>> hova irányítsa?
>> 
>
> /proc/sys/net/ipv4/conf//accept_redirects es tarsait nezd meg.
>
>
>   
Köszi!
cat /proc/sys/net/ipv4/conf//accept_redirects -ra kaptam egy 1 est

De megoldódott a dolog, még + egy POSTROUTING kellett még az eth1 -re és 
megy minden
(kitcpdumpoltam, it végig követve már értehtő volt hogy hol akadt meg a 
dolog,
nem attól érkezett válasz, akitől a kliens várta, a kliens egy külső 
ipre küldte, de egy bellső ipről kapott választ)
(iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE)

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread PÁSZTOR György

Szia!

"[EMAIL PROTECTED]" <[EMAIL PROTECTED]> írta 2007-08-01 20:28-kor:
> PÁSZTOR György írta:
> > "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> írta 2007-08-01 14:49-kor:
> >> tehát ha egy lokális hálóban lévő szerveren (mondjuk 192.168.11.3-ról) 
> >> kiadom:
> >> telnet 192.168.11.2 80
> >> az ok GET re jön aminek jönnie kell :) OK
> >> 
> > Ugye a 192.168.11.2 az saját címe, meg ő is a gw?
> >   
> Nem gw. (mondjuk nem írtam, de a 192.168.11.1 a gw)
> 
Ez a lista meg nem foglalkozik gondolatolvasással ;-)

> > Ha igen, akkor ugye nem kaszálod el forward láncban?
> > Ha nem: akkor kicsit gondolkodj, hogy mit is csináltál, aztán pörgess ;-)
> >
> >   
> "Nem használom el?"
kaszálod, meszeled, drop, kápis'?

> Én tudom mit csináltam. Leírtam mi a problémám.
Erre semmi nem utal.
De segítek:

Csomag indul bentről. A socket egyik vége mondjuk 192.168.11.3 magas random
port. Másik vége amikor a gw-be beér, kinti ip, 80-as tcp port.
átmegy a prerouting láncon. Ez utóbbin a "túlvég" ip-je módosul a
192.168.11.2-es ip-re, a 80-as port marad.
192.168.11.2 felé jön egy syn, gondolja ok, és küld egy synackot, ugyanúgy
vissza, ahogy ő gonodlja:
vagyis a 192.168.11.3 ip 80-as portjáról a 192.168.11.2 magas random
portjának.
192.168.11.2 meg kap egy ilyen csomagot. Jé ez invalid, akkor dobjuk a
francba.
Kápis'?

Üdv:Gyur!
-- ---[ Free Software ISOs - http://www.fsn.hu/?f=download ]--- --
PÁSZTOR György e-mail: [EMAIL PROTECTED]
Free Software Network (FSN.HU)  cell.: +3620 512 3335
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Re: netfilter vagy route

2007-08-01 Thread PÁSZTOR György

Hi!

"[EMAIL PROTECTED]" <[EMAIL PROTECTED]> írta 2007-08-01 22:19-kor:
> Gabor HALASZ írta:
> De megoldódott a dolog, még + egy POSTROUTING kellett még az eth1 -re és 
> megy minden
> (kitcpdumpoltam, it végig követve már értehtő volt hogy hol akadt meg a 
> dolog,
> nem attól érkezett válasz, akitől a kliens várta, a kliens egy külső 
No, akkor csak igazam lett ;-)

> ipre küldte, de egy bellső ipről kapott választ)
> (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE)
Azért még ennek is fuss neki még egyszer.
Ha ennyire lazán masqueradelsz a postroutingban, akkor az apache semilyen
esetben se fogja megtudni, hogy mi a kliens ipcíme, akivel kommunikál.
Ha nincs ipcímhez kötött .htaccess, vagy egyéb vezérlésed, stb. az
apacsban, ami épít erre, akkor nemszóltem...

Üdv:Gyur!
-- ---[ Free Software ISOs - http://www.fsn.hu/?f=download ]--- --
PÁSZTOR György e-mail: [EMAIL PROTECTED]
Free Software Network (FSN.HU)  cell.: +3620 512 3335
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

netfilter vagy route

netfilter vagy route

Re: netfilter vagy route

Re: netfilter vagy route

Re: netfilter vagy route

Re: netfilter vagy route

Re: netfilter vagy route

Re: netfilter vagy route

8 matches

Site Navigation

Mail list logo

Footer information