[Lug-bg] Iptables Firewall + PPTPD Problem.
Здравей група, преди време бях писал за проблеми с firewall-а, някои от колегите ми отговориха и успях да сглобя работещ firewall + впн сървър. От тогава не съм се логвал, не съм променял нищо. Просто ъпдейтнах ядрото, но едва ли проблема ми идва от това. С описаната по - долу конфигурация на firewall-a имам пинг до 192.168.0.0/24 но не и до ип-то на самия рутер, т.е. 192.168.0.1. http://warbox.co.cc/Documents/firewall Поздрави. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
И аз да вметна нещо. Имплементирайки IPSec не е най лесното нещо, наистина работи чудесно, но стигайки до рутинг полиците човек се хваща за главата. Необходимо е доста четене и не е от най-приятните неща за конфигуриране. Спомням си за още един проблем, надявам се да са го оправили, но той е че не се създава дъми устройство през което лесно може да се насочва определен сегмент от адреси. http://www.unix-ag.uni-kl.de/~massar/vpnc/ http://www.longren.org/2007/05/17/how-to-cisco-vpn-client-on-ubuntu-704-feisty-fawn/ Поразгледай двете неща, не са много конкретни за твоята ситуация, но биха могли да ти свършат работа.Препоръчвам циско впн клиента, тъй като той не е зависим от модули в ядрото а билдва свой и ползва него. (Ако въпросите за сигурноста на подобен тип конфигурация не те засягат много) Успех! 2009/2/4 Svetlin Nakov svet...@nakov.com: Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв случай няма да има нужда от маскиране на IPSec пакети, защото те ще се движат по UDP базиран тунел. Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите клиенти е хардуерен и не поддържа OpenVPN. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 9:38 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здравей, L2TP наистина иска порт 1701, но не съм сигурен какво се получава при NAT/маскиране. IPSec от своя страна, иска отворени порт 500/udp и типове протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T стандартите се стабилизира и подобри. Жоро Чорбаджийски съвсем правилно предложи обновяването на системата до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми в бъдеще. Иначе се поразтърси за (остарели) документации като за твоята платформа/среда. On Tue, 3 Feb 2009 21:04:53 +0200 Svetlin Nakov svet...@nakov.com wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната
Re: [Lug-bg] iptables, NAT and PPTP
Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв случай няма да има нужда от маскиране на IPSec пакети, защото те ще се движат по UDP базиран тунел. Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите клиенти е хардуерен и не поддържа OpenVPN. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 9:38 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здравей, L2TP наистина иска порт 1701, но не съм сигурен какво се получава при NAT/маскиране. IPSec от своя страна, иска отворени порт 500/udp и типове протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T стандартите се стабилизира и подобри. Жоро Чорбаджийски съвсем правилно предложи обновяването на системата до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми в бъдеще. Иначе се поразтърси за (остарели) документации като за твоята платформа/среда. On Tue, 3 Feb 2009 21:04:53 +0200 Svetlin Nakov svet...@nakov.com wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Нямам този модул и не е наличен. Ползвам стар kernal 2.4.20. Не знам как да добавя този модул в този kernel. Четох, че kernel 2.6 поддържа NAT за PPTP by default: http://lists.netfilter.org/pipermail/netfilter/2005-November/063566.html. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org _ From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Danail Petrov Sent: Monday, February 02, 2009 9:47 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден ip_masq_pptp.o (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org _ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Monday, February 02, 2009 10:17 PM To: lug-bg@linux-bulgaria.org Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Тогава работата става доста по-сложна. По мои спомени по него време още беше необходимо да се използва patch-o-matic, за да се приложат кръпки към ядрото и iptables. Имаш нужда от някои неща в 'extras' на POM, и по- специално модулите ip_conntrack_pptp, ip_conntrack_proto_gre, ip_nat_pptp и ip_nat_proto_gre. Както се казва - now you're on your own. :) На Tue, 3 Feb 2009 10:57:03 +0200 Svetlin Nakov svet...@nakov.com написа: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Monday, February 02, 2009 10:17 PM To: lug-bg@linux-bulgaria.org Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола pgp0mMS7ss7Eo.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола pgpsBIAjfD5Kx.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Виж дали kernel-а ти подържа IPSec NatT (Nat Traversal) . Иначе пак си в същата ситуация Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Явно проблемът не е в site-to-site имплементацията . По-скоро краен потребител трябва да може да направи VPN към точка в публичната мрежа. Иначе в ситуацията със двете страни, няма да има проблем и с PPTP/GRE варианта Marian Marinov wrote: А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
On Tue, Feb 03, 2009 at 10:05:02PM +0200, Danail Petrov wrote: Marian Marinov wrote: Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Явно проблемът не е в site-to-site имплементацията . По-скоро краен потребител трябва да може да направи VPN към точка в публичната мрежа. Иначе в ситуацията със двете страни, няма да има проблем и с PPTP/GRE варианта Ми всъщност OpenVPN може да работи прекрасно и в режим на сървър за множество клиенти. И така, и в нормалния си режим за връзка между конкретни две точки, OpenVPN няма да има проблеми с firewall-ите по средата, стига поне едната страна да е на публичен / реален IP адрес. Поздрави, Петър -- Peter Pentchev r...@ringlet.netr...@space.bgr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 This sentence contradicts itself - or rather - well, no, actually it doesn't! pgpRceYRVi4Kd.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] iptables, NAT and PPTP
Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден |ip_masq_pptp.o| (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Bozhidar Maramski wrote: Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен Избивай си го или си го набивай на друго място Мерси за поздравите, много си учтив. Наистина е по-добре да се занимаваш с двигатели с вътрешно горене. Малко обяснения: snip Наистина е така: Кое наистина е така? -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Това не можеш ли да си го преведеш? Това което се опитваш да направиш с iptables по принцип работи на layer 3, а не както си мислиш ти. Т.е. iptables ще направи проверка за 'A' ресурсните записи за zooskool.com и според правилото което си извикал ако намери такива (а те ще представляват ip адреси) те ще се предадат на netfilter кода в кърнела. Ако не намери ще ти върне горното съобщение за грешка защото нищо повече не може да направи. Няма смисъл да обясняваме колко unreliable е това решение. Пример (като за децата в училище): [EMAIL PROTECTED]:~$ dig +short yahoo.com 66.94.234.13 216.109.112.135 [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d yahoo.com -p tcp --dport 80 -j DROP [EMAIL PROTECTED]:~$ sudo iptables -t filter -nL FORWARD Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/066.94.234.13tcp dpt:80 DROP tcp -- 0.0.0.0/0216.109.112.135 tcp dpt:80 [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d nonexistant-domain-name.com -p tcp --dport 80 -j DROP iptables v1.3.6: host/network `nonexistant-domain-name.com' not found Try `iptables -h' or 'iptables --help' for more information. [EMAIL PROTECTED]:~$ Та как да вкарам /etc/blacklist файла в iproute ? snip [EMAIL PROTECTED]:~$ for i in `dig +short $(cat /tmp/blacklist)`; do sudo ip r a prohibit $i; done [EMAIL PROTECTED]:~$ ip r | grep prohibit prohibit 17.254.3.183 prohibit 64.4.32.7 prohibit 64.4.33.7 prohibit 207.46.30.34 [EMAIL PROTECTED]:~$ Съвсем друг е въпроса, че тези работи дето ги пишем по-нагоре са пълна глупост. Това което се опитваш да направиш не се прави с layer3 филтър а с proxy и/или content filter (както вече ти го казаха). Било то squid, squid+dansguardian, squid+squidguard и т.н. Решения много. -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
On Tue, Sep 04, 2007 at 10:43:50AM +0300, Georgi Alexandrov wrote: Bozhidar Maramski wrote: Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен Избивай си го или си го набивай на друго място Мерси за поздравите, много си учтив. Наистина е по-добре да се занимаваш с двигатели с вътрешно горене. Малко обяснения: snip Наистина е така: Кое наистина е така? -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Това не можеш ли да си го преведеш? Това което се опитваш да направиш с iptables по принцип работи на layer 3, а не както си мислиш ти. Т.е. iptables ще направи проверка за 'A' ресурсните записи за zooskool.com и според правилото което си извикал ако намери такива (а те ще представляват ip адреси) те ще се предадат на netfilter кода в кърнела. Ако не намери ще ти върне горното съобщение за грешка защото нищо повече не може да направи. Няма смисъл да обясняваме колко unreliable е това решение. Пример (като за децата в училище): [EMAIL PROTECTED]:~$ dig +short yahoo.com 66.94.234.13 216.109.112.135 [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d yahoo.com -p tcp --dport 80 -j DROP [EMAIL PROTECTED]:~$ sudo iptables -t filter -nL FORWARD Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/066.94.234.13tcp dpt:80 DROP tcp -- 0.0.0.0/0216.109.112.135 tcp dpt:80 [EMAIL PROTECTED]:~$ sudo iptables -A FORWARD -d nonexistant-domain-name.com -p tcp --dport 80 -j DROP iptables v1.3.6: host/network `nonexistant-domain-name.com' not found Try `iptables -h' or 'iptables --help' for more information. [EMAIL PROTECTED]:~$ Та как да вкарам /etc/blacklist файла в iproute ? snip [EMAIL PROTECTED]:~$ for i in `dig +short $(cat /tmp/blacklist)`; do sudo ip r a prohibit $i; done Само като идея - хората и xargs са измислили :) xargs dig +short /tmp/blacklist | sudo xargs -n 1 ip route add prohibit [EMAIL PROTECTED]:~$ ip r | grep prohibit prohibit 17.254.3.183 prohibit 64.4.32.7 prohibit 64.4.33.7 prohibit 207.46.30.34 [EMAIL PROTECTED]:~$ Съвсем друг е въпроса, че тези работи дето ги пишем по-нагоре са пълна глупост. Това което се опитваш да направиш не се прави с layer3 филтър а с proxy и/или content filter (както вече ти го казаха). Било то squid, squid+dansguardian, squid+squidguard и т.н. Решения много. Виж, тук съм съгласен - макар че за content филтрите ще трябва човек да се сблъска с новаторската идея, че Интернет не е само WWW и да мисли как да филтрира и другите използвани протоколи... но все пак филтриране на база blacklisting на IP адресите *само на конкретните имена на хостове* е малко безсмислено, най-малкото заради това, че така може и да успееш да блокираш трафик до zooskool.com, ама какво правиш с new.zooskool.com например? :) Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 Nostalgia ain't what it used to be. pgpdlwee5ZNFY.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Peter Pentchev wrote: snip Само като идея - хората и xargs са измислили :) xargs dig +short /tmp/blacklist | sudo xargs -n 1 ip route add prohibit snip Прав си. Даже сега като се загледах видях, че dig има и '-f' опция. -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Around 09/03/07 11:23, [EMAIL PROTECTED] scribbled: Hi, можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 [EMAIL PROTECTED] ssh 209.10.26.51 ssh: connect to address 209.10.26.51 port 22: No route to host [EMAIL PROTECTED] tcpdump -nnq -i eth2 tcpdump: listening on eth2 22:13:13.740406 192.168.99.35.51973 209.10.26.51.22: tcp 0 (DF) 22:13:13.740714 192.168.99.254 192.168.99.35: icmp: host 209.10.26.51 unreachable - admin prohibited filter [tos 0xc0] http://linux-ip.net/html/tools-ip-route.html Още по-готино, защото заема много по-малко ресурс от iptables решението. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Hi, можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 [EMAIL PROTECTED] ssh 209.10.26.51 ssh: connect to address 209.10.26.51 port 22: No route to host [EMAIL PROTECTED] tcpdump -nnq -i eth2 tcpdump: listening on eth2 22:13:13.740406 192.168.99.35.51973 209.10.26.51.22: tcp 0 (DF) 22:13:13.740714 192.168.99.254 192.168.99.35: icmp: host 209.10.26.51 unreachable - admin prohibited filter [tos 0xc0] http://linux-ip.net/html/tools-ip-route.html Поздрави Йордан Бойков :wq Quoting Georgi Chorbadzhiyski [EMAIL PROTECTED]: Bozhidar Maramski mumbled something about, On 9/3/07 2:17 AM: Някой може ли да ми помогне да блокирам списък с домейни с iptables Става въпрос за порно сайтове. iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш for PORN in DOMAIN1 DOMAIN2 DOMAIN2 do iptables -A FORWARD -s $PORN -p tcp --sport 80 -j REJECT iptables -A FORWARD -d $PORN -p tcp --dport 80 -j REJECT done или вместо in DOMAIN1 DOMAIN2, сложи $(cat FILE) и във файла FILE списъка на домейните. Внимание: горните примери няма да работят добре ако сайта, достъпа до който искаш да блокираш има повече от един IP адрес. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
В пн, 2007-09-03 в 11:35 +0300, Georgi Chorbadzhiyski написа: Around 09/03/07 11:23, [EMAIL PROTECTED] scribbled: Hi, можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 [EMAIL PROTECTED] ssh 209.10.26.51 ssh: connect to address 209.10.26.51 port 22: No route to host [EMAIL PROTECTED] tcpdump -nnq -i eth2 tcpdump: listening on eth2 22:13:13.740406 192.168.99.35.51973 209.10.26.51.22: tcp 0 (DF) 22:13:13.740714 192.168.99.254 192.168.99.35: icmp: host 209.10.26.51 unreachable - admin prohibited filter [tos 0xc0] http://linux-ip.net/html/tools-ip-route.html Още по-готино, защото заема много по-малко ресурс от iptables решението. А може просто да се сложи един squid като прозрачно proxy и да се филтрира по име на domain-а в заявката, вместо да се ходи на по-ниските слоеве на мрежовия модел, дето тия неща ги няма... signature.asc Description: Това е цифрово подписана част от писмото ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Around 09/03/07 12:00, Vasil Kolev scribbled: В пн, 2007-09-03 в 11:35 +0300, Georgi Chorbadzhiyski написа: Around 09/03/07 11:23, [EMAIL PROTECTED] scribbled: Hi, можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 [EMAIL PROTECTED] ssh 209.10.26.51 ssh: connect to address 209.10.26.51 port 22: No route to host [EMAIL PROTECTED] tcpdump -nnq -i eth2 tcpdump: listening on eth2 22:13:13.740406 192.168.99.35.51973 209.10.26.51.22: tcp 0 (DF) 22:13:13.740714 192.168.99.254 192.168.99.35: icmp: host 209.10.26.51 unreachable - admin prohibited filter [tos 0xc0] http://linux-ip.net/html/tools-ip-route.html Още по-готино, защото заема много по-малко ресурс от iptables решението. А може просто да се сложи един squid като прозрачно proxy и да се филтрира по име на domain-а в заявката, вместо да се ходи на по-ниските слоеве на мрежовия модел, дето тия неща ги няма... Е па може, но пък трябва насила да прекарваш лузерта през проксито, което си идва с изискванията за памет, диск, настройки на на pool-ове и т.н. Ако искаш просто да отрежеш разните му там clubs.dir.bg, сладури, асл-та и подобни повърни най-лесно да null route-неш с всичките му проблеми (но пък е най-лесно :) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
В пн, 2007-09-03 в 12:35 +0300, Georgi Chorbadzhiyski написа: Е па може, но пък трябва насила да прекарваш лузерта през проксито, което си идва с изискванията за памет, диск, настройки на на pool-ове и т.н. Ако искаш просто да отрежеш разните му там clubs.dir.bg, сладури, асл-та и подобни повърни най-лесно да null route-неш с всичките му проблеми (но пък е най-лесно :) Да де, ама списъка проблеми включва неща като поща до dir.bg и т.н., просто не се знае какво още има по тия ip адреси. null-routing-а е полезен за някои крайни случаи (като spamhaus DROP листата и bogon-ите, ама толкова)... signature.asc Description: Това е цифрово подписана част от писмото ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Around 09/03/07 12:44, Vasil Kolev scribbled: В пн, 2007-09-03 в 12:35 +0300, Georgi Chorbadzhiyski написа: Е па може, но пък трябва насила да прекарваш лузерта през проксито, което си идва с изискванията за памет, диск, настройки на на pool-ове и т.н. Ако искаш просто да отрежеш разните му там clubs.dir.bg, сладури, асл-та и подобни повърни най-лесно да null route-неш с всичките му проблеми (но пък е най-лесно :) Да де, ама списъка проблеми включва неща като поща до dir.bg и т.н., просто не се знае какво още има по тия ip адреси. null-routing-а е полезен за някои крайни случаи (като spamhaus DROP листата и bogon-ите, ама толкова)... Е в конкретния пример, че няма да отварят клубс.дир.бг и X.дир.бг е бонус :) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш Наистина е така: -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Та как да вкарам /etc/blacklist файла в iproute ? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 ip route add prohibit $(cat /etc/blacklist) -bash: /sbin/ip: Argument list too long :( ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Bozhidar Maramski wrote: iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш Наистина е така: -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Та как да вкарам /etc/blacklist файла в iproute ? snip Ти какво искаш всъщност да напрвиш или не си сигурен? Или си някакъв безмозъчен автоматичен copy-paster? P.S. Днес да не е ден на идиотите? -- regards, Georgi Alexandrov key server - pgp.mit.edu :: key id - 0x37B4B3EE Key fingerprint = E429 BF93 FA67 44E9 B7D4 F89E F990 01C1 37B4 B3EE signature.asc Description: OpenPGP digital signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
On 09/03/07 18:41, Bozhidar Maramski wrote: можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 ip route add prohibit $(cat /etc/blacklist) -bash: /sbin/ip: Argument list too long for i in $(cat /etc/blacklist) do ip route add prohibit 209.10.26.51 $i done трети път няма да го пиша :) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен Избивай си го или си го набивай на друго място On Mon, 03 Sep 2007 19:26:19 +0300, Georgi Alexandrov [EMAIL PROTECTED] wrote: Bozhidar Maramski wrote: iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш Наистина е така: -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Та как да вкарам /etc/blacklist файла в iproute ? snip Ти какво искаш всъщност да напрвиш или не си сигурен? Или си някакъв безмозъчен автоматичен copy-paster? P.S. Днес да не е ден на идиотите? -- live free or die хард :) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Bozhidar Maramski wrote: Ако женати се чука с друг или нямаш пет лева в джоба не съм ти виновен Избивай си го или си го набивай на друго място Божидаре, нямаш никакво право да проявяваш такова аругантно отношение към хората които се опитват да ти помогнат. Най-малкото от уважение към останалите хора които четат тази листа, е редно да се съобразяваш с това което пишеш тук. Такова поведение може би се толерира в IRC или други подобни места, но тук със сигурност ще удариш на камък. On Mon, 03 Sep 2007 19:26:19 +0300, Georgi Alexandrov [EMAIL PROTECTED] wrote: Bozhidar Maramski wrote: iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш Тук Георги визираше самата реализация, и това как ще се процесва всяка една заявка, а не метода по който ще се забрани. Наистина е така: Кое е така? :) -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `myfirstorgasm.org' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `estella.warren.video.online.fr' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Try `iptables -h' or 'iptables --help' for more information. iptables v1.3.6: host/network `zooskool.com' not found Та как да вкарам /etc/blacklist файла в iproute ? snip Това единствено показва, че не си си направил труда да отвориш, и да прочетеш няколко реда от документацията на iptables. Ти какво искаш всъщност да напрвиш или не си сигурен? Или си някакъв безмозъчен автоматичен copy-paster? Мисля че е редно да сме по-толерантни към подобен тип хора, все пак не се очаква всички които пишат в тази листа да са големи експерти. P.S. Днес да не е ден на идиотите? И сега накратко, ако файла съдържа имена на домейни, то трябва да си направиш труда, да resolve-неш техните IP адреси преди да ги подадеш като параметри на Iptables/iproute2. Това също може лесно да се реализира със скрипт, но е хубаво когато търсиш решение на подобен проблем, да бъдеш максимално изчерпателен. Можеше да копираш няколко реда от blacklist файла за да добием информация за струкутрата му, и тогава със сигурност Георги щеше да ти покаже по какъв начин точно да 'parse-неш' информацията. Поздрави, Данаил Петров -- Danail Petrov Senior Network Administrator Evolink, Sofia +359(2)9691650 www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Да ще пракарваш... мисля че е най-доброто решение. Памет си иска и то бая, но диск - не (зависи как го настроиш). Кой ще ти прави /blacklist..всеки ден ще update-ва, ще му бае.. squid3+squidguard(BerkeleyDB)+shalla's blacklist. Shalla's url blacklist has just jumped over 1.400.000 entries Набиваш го в крона да ти дърпа ъпдейти в неделя вечерта. и входящия трафик си го праща на порта на проксито. другия трафик се НАТ-ва... On 03/09/07, Georgi Chorbadzhiyski [EMAIL PROTECTED] wrote: Around 09/03/07 12:00, Vasil Kolev scribbled: В пн, 2007-09-03 в 11:35 +0300, Georgi Chorbadzhiyski написа: Around 09/03/07 11:23, [EMAIL PROTECTED] scribbled: Hi, можеш да използваш и iproute2 [EMAIL PROTECTED] ip route add prohibit 209.10.26.51 [EMAIL PROTECTED] ssh 209.10.26.51 ssh: connect to address 209.10.26.51 port 22: No route to host [EMAIL PROTECTED] tcpdump -nnq -i eth2 tcpdump: listening on eth2 22:13:13.740406 192.168.99.35.51973 209.10.26.51.22: tcp 0 (DF) 22:13:13.740714 192.168.99.254 192.168.99.35: icmp: host 209.10.26.51 unreachable - admin prohibited filter [tos 0xc0] http://linux-ip.net/html/tools-ip-route.html Още по-готино, защото заема много по-малко ресурс от iptables решението. А може просто да се сложи един squid като прозрачно proxy и да се филтрира по име на domain-а в заявката, вместо да се ходи на по-ниските слоеве на мрежовия модел, дето тия неща ги няма... Е па може, но пък трябва насила да прекарваш лузерта през проксито, което си идва с изискванията за памет, диск, настройки на на pool-ове и т.н. Ако искаш просто да отрежеш разните му там clubs.dir.bg, сладури, асл-та и подобни повърни най-лесно да null route-неш с всичките му проблеми (но пък е най-лесно :) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Yulian Stefanov +359 (885) 161 535 [EMAIL PROTECTED] ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
[Lug-bg] iptables blocklist
Някой може ли да ми помогне да блокирам списък с домейни с iptables Става въпрос за порно сайтове. Благодаря -- live free or die хард :) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables blocklist
Bozhidar Maramski mumbled something about, On 9/3/07 2:17 AM: Някой може ли да ми помогне да блокирам списък с домейни с iptables Става въпрос за порно сайтове. iptables не е много подходящ за това, което искаш да направиш, но ако все пак държиш for PORN in DOMAIN1 DOMAIN2 DOMAIN2 do iptables -A FORWARD -s $PORN -p tcp --sport 80 -j REJECT iptables -A FORWARD -d $PORN -p tcp --dport 80 -j REJECT done или вместо in DOMAIN1 DOMAIN2, сложи $(cat FILE) и във файла FILE списъка на домейните. Внимание: горните примери няма да работят добре ако сайта, достъпа до който искаш да блокираш има повече от един IP адрес. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
lug-bg: iptables new table raw
Някой да е използвал това: http://www.netfilter.org/patch-o-matic/pom-submitted.html#pom-submitted-raw Ако да, каква е идеята и в какви случай е нужно да се използва. Благодаря предварително
Re: lug-bg: iptables masquerade problem
Здравей, и въпреки всичко защо не опиташ без -d ! 192.168.0.0/24 тоест в нат да имаш само iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE аз имах същият ( да абсолютно същият ) проблем. Just try it! :) -- =+==+==+==+==+==+==+==+==+==+==+==+= Dragomir Zhelev Network Administrator IT Support Varna,Bulgaria [EMAIL PROTECTED] =+==+==+==+==+==+==+==+==+==+==+==+=
Re: lug-bg: iptables masquerade problem
Dragomir Zhelev wrote: Здравей, и въпреки всичко защо не опиташ без -d ! 192.168.0.0/24 тоест в нат да имаш само iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE аз имах същият ( да абсолютно същият ) проблем. Just try it! :) ами да , и това пробвах но не ... не проработи :) -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
RE: lug-bg: iptables masquerade problem
Chain FORWARD (policy ACCEPT 2349 packets, 144K bytes) pkts bytes target prot opt in out source destination 15 870 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0 Какво казва lsmod? Best e-gards, Georgi Sinapov smime.p7s Description: S/MIME cryptographic signature
Re: lug-bg: iptables masquerade problem
Georgi Sinapov wrote: Chain FORWARD (policy ACCEPT 2349 packets, 144K bytes) pkts bytes target prot opt in out source destination 15 870 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0 Какво казва lsmod? Best e-gards, Georgi Sinapov Там всичко е наред. Но явно проблема е или в кернел-а , или в иптаблес (въпреки че и двете ги ъпдейтнах) Сега като workaround ползвам ipchains :) Явно това ще остане един загадъчен и неразрешен проблем Благодаря на всички все пак -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
RE: lug-bg: iptables masquerade problem
Chain POSTROUTING (policy ACCEPT 74 packets, 4519 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- * * 192.168.0.0/24 0.0.0.0 to:84.хх.хх.хх това е в момента правилото и пак нищо ... Може ли да сложиш един подобен FORWARD rule, за да видим дали има hits по него? Best e-gards, Georgi Sinapov smime.p7s Description: S/MIME cryptographic signature
Re: lug-bg: iptables masquerade problem
Georgi Sinapov wrote: Chain POSTROUTING (policy ACCEPT 74 packets, 4519 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- * * 192.168.0.0/24 0.0.0.0 to:84.хх.хх.хх това е в момента правилото и пак нищо ... Може ли да сложиш един подобен FORWARD rule, за да видим дали има hits по него? Best e-gards, Georgi Sinapov Дам , на forward отчита Chain FORWARD (policy ACCEPT 2349 packets, 144K bytes) pkts bytes target prot opt in out source destination 15 870 ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0 -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: iptables masquerade problem
Здравейте, преди малко попаднах на много странен проблем. Накратко схемата: Линукс (Дебиан sid) , действащ като рутер който се връзва по pppoe , и маскира вътрешната мрежа навън. Проблема е че ,в един момент iptables просто спря да маскира. С tcpdump виждам , как линукса не маскира вътрешните адреси , а просто ги forward-ва . Така и не успях да разбера защо. кернел-а беше 2.4.26-х , сега го подмених с 2.6.8 и ефекта е същия. Ето малко аутпут: tcpdump: 13:53:11.974931 IP (tos 0x0, ttl 128, id 6533, offset 0, flags [none], length: 60) 192.168.0.147 212.5.145.17: icmp 40: echo request seq 2051 13:53:17.474713 IP (tos 0x0, ttl 128, id 6534, offset 0, flags [none], length: 60) 192.168.0.147 212.5.145.17: icmp 40: echo request seq 2307 iptables: Chain POSTROUTING (policy ACCEPT 6 packets, 378 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- eth1 * 192.168.0.0/24 ! 192.168.0.0/24 to:84.xx.xx.xx sysctl: net.ipv4.conf.ppp0.mc_forwarding = 0 net.ipv4.conf.ppp0.forwarding = 1 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.all.forwarding = 1 net.ipv4.ip_forward = 1 proc/net/ip_contract: icmp 1 24 src=192.168.0.147 dst=212.5.145.17 type=8 code=0 id=512 [UNREPLIED] src=212.5.145.17 dst=192.168.0.147 type=0 code=0 id=512 use=1 Някои да има идея за какво иде реч?! Това е работило близо 1 година, но тези дни една от етернет платките на сървъра е изгоряла , и вследствие подменена със същата като модел платка. В момента от сървъра , имам връзка до машините от вътрешната мрежа , т.е. и 2-те Лан карти работят. Защо обаче линукса _НЕ_ маскира изходящия трафик , а просто го forward-ва? -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: iptables masquerade problem
On Wednesday 27 July 2005 15:08, Danail Petrov wrote: Това е работило близо 1 година, но тези дни една от етернет платките на сървъра е изгоряла , и вследствие подменена със същата като модел платка. Примерно модулите ти се зареждат в различен ред, това което е било eth0 ти е станало eth1 ..
Re: lug-bg: iptables masquerade problem
Delian Krustev wrote: On Wednesday 27 July 2005 15:08, Danail Petrov wrote: Това е работило близо 1 година, но тези дни една от етернет платките на сървъра е изгоряла , и вследствие подменена със същата като модел платка. Примерно модулите ти се зареждат в различен ред, това което е било eth0 ти е станало eth1 .. Примерно няма смисъл да се пишат излишни неща? :) -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: iptables masquerade problem
On Wednesday 27 July 2005 16:30, Danail Petrov wrote: Примерно няма смисъл да се пишат излишни неща? :) Примерно, хич не са излишни. И пак примерно погледни къде е валиден входния интерфейс: -i, --in-interface [!] name Name of an interface via which a packet is going to be received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the ! argument is used before the interface name, the sense is inverted. If the interface name ends in a +, then any interface which begins with this name will match. If this option is omitted, any interface name will match.
Re: lug-bg: iptables masquerade problem
Danail Petrov wrote: Здравейте, преди малко попаднах на много странен проблем. Накратко схемата: Линукс (Дебиан sid) , действащ като рутер който се връзва по pppoe , и маскира вътрешната мрежа навън. Проблема е че ,в един момент iptables просто спря да маскира. С tcpdump виждам , как линукса не маскира вътрешните адреси , а просто ги forward-ва . Така и не успях да разбера защо. кернел-а беше 2.4.26-х , сега го подмених с 2.6.8 и ефекта е същия. Ето малко аутпут: tcpdump: 13:53:11.974931 IP (tos 0x0, ttl 128, id 6533, offset 0, flags [none], length: 60) 192.168.0.147 212.5.145.17: icmp 40: echo request seq 2051 13:53:17.474713 IP (tos 0x0, ttl 128, id 6534, offset 0, flags [none], length: 60) 192.168.0.147 212.5.145.17: icmp 40: echo request seq 2307 iptables: Chain POSTROUTING (policy ACCEPT 6 packets, 378 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- eth1 * 192.168.0.0/24 ! 192.168.0.0/24 to:84.xx.xx.xx примерно -d ! 192.168.0.0/24 е безмислено в случая. sysctl: net.ipv4.conf.ppp0.mc_forwarding = 0 net.ipv4.conf.ppp0.forwarding = 1 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.all.forwarding = 1 net.ipv4.ip_forward = 1 proc/net/ip_contract: icmp 1 24 src=192.168.0.147 dst=212.5.145.17 type=8 code=0 id=512 [UNREPLIED] src=212.5.145.17 dst=192.168.0.147 type=0 code=0 id=512 use=1 Някои да има идея за какво иде реч?! Това е работило близо 1 година, но тези дни една от етернет платките на сървъра е изгоряла , и вследствие подменена със същата като модел платка. В момента от сървъра , имам връзка до машините от вътрешната мрежа , т.е. и 2-те Лан карти работят. Защо обаче линукса _НЕ_ маскира изходящия трафик , а просто го forward-ва?
Re: lug-bg: iptables masquerade problem
Delian Krustev wrote: On Wednesday 27 July 2005 16:30, Danail Petrov wrote: Примерно няма смисъл да се пишат излишни неща? :) Примерно, хич не са излишни. И пак примерно погледни къде е валиден входния интерфейс: -i, --in-interface [!] name Name of an interface via which a packet is going to be received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the ! argument is used before the interface name, the sense is inverted. If the interface name ends in a +, then any interface which begins with this name will match. If this option is omitted, any interface name will match. Добре де , неискам да заформям флейм. Но не е това проблема. Както казах , имам връзка с всички у-ва и по двата интерфейса. Други предложения? П.с. (това с -i eth1 беше най-последното нещо което написах за да пробвам маскирането , по принцип не го слагам) -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: iptables masquerade problem
Georgi Alexandrov wrote: примерно -d ! 192.168.0.0/24 е безмислено в случая. Примерно , е просто така написано. Мислиш че това е проблема ли? :) П.с. В случая наистина няма смисал , но при други обстоятелства , ако мрежата е разделена на под-мрежи (/30, /29) , тогава не би искал да правиш снат на адреси , до които трябва да се достигне просто с рутинг. Други идеи? -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
RE: lug-bg: iptables masquerade problem
iptables: Chain POSTROUTING (policy ACCEPT 6 packets, 378 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- eth1 * 192.168.0.0/24 ! 192.168.0.0/24 to:84.xx.xx.xx Аз имам следното питане - как си успял да конфигурираш POSTROUTING rule с опция -i? Best e-gards, Georgi Sinapov smime.p7s Description: S/MIME cryptographic signature
Re: lug-bg: iptables masquerade problem
Georgi Sinapov wrote: iptables: Chain POSTROUTING (policy ACCEPT 6 packets, 378 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- eth1 * 192.168.0.0/24 ! 192.168.0.0/24 to:84.xx.xx.xx Аз имам следното питане - как си успял да конфигурираш POSTROUTING rule с опция -i? Best e-gards, Georgi Sinapov Много добър въпрос убий ме , немога да ти отговоря как е станало това?!?! Chain POSTROUTING (policy ACCEPT 74 packets, 4519 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all -- * * 192.168.0.0/24 0.0.0.0 to:84.хх.хх.хх това е в момента правилото и пак нищо ... -- Danail Petrov System Administrator Internet Group Stara Zagora Bulgaria AS21415 Phone : +359 42 601101 601112 Mobile: +359 888 289232 ICQ UIN: 989677 smime.p7s Description: S/MIME Cryptographic Signature
Re: lug-bg: iptables(ipfw) web based panel
On Monday 28 March 2005 15:34, Ziumbiulev, Peter wrote: a LAN iptables ipfw(ako FreeBSD). : - 2 ISP - , ISP . - squid-a ISP - Firewall Perl + Mysql, . , ? [1] , , ..php code , ''.[2]. http://www.ispworks.org/ http://search.cpan.org/~dpates/IPTables-IPv4-0.98/ -- pub 4096R/0E4BD0AB 2003-03-18 danchev.fccf.net/key pgp.mit.edu fingerprint1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB pgpqgcWEyDF2J.pgp Description: PGP signature
Re: lug-bg: iptables(ipfw) web based panel
George Danchev wrote: On Monday 28 March 2005 15:34, Ziumbiulev, Peter wrote: a LAN iptables ipfw(ako FreeBSD). : - 2 ISP - , ISP . - squid-a ISP - Firewall Perl + Mysql, . , ? [1] , , ..php code , ''.[2]. http://www.ispworks.org/ http://search.cpan.org/~dpates/IPTables-IPv4-0.98/ - http://www.webmin.com/ - ... A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables(ipfw) web based panel
On Mon, Mar 28, 2005 at 05:38:58PM +0300, George Danchev wrote: On Monday 28 March 2005 16:53, Peter Pentchev wrote: On Mon, Mar 28, 2005 at 02:34:00PM +0200, Ziumbiulev, Peter wrote: a LAN iptables ipfw(ako FreeBSD). : - 2 ISP - , ISP . - squid-a ISP - Firewall Perl + Mysql, . , ? , , * * . , , - NetBoz, , FreeBSD 4.x - http://www.netboz.net/ [snip] , , , - -, , :) , ;-) ' ' , ( ;-) , [1], , . [snip] [1] http://linux-bulgaria.org/archive/2005/Mar/32997.html ... ... . , , NetBoz, , 1. 2. -, ,. , - :) NetBoz - , , ,( - , , - :) ,NetBoz, . , , , , , , , , , , - , - ' :P , 101- : 40 ... : - 39;) **, -. FreeBSD , hendle free ;-) ... . ** :) FreeBSD.org , obscurity. , -... , Ziumbiulev, Peter, -peer review ;-) ... , , , , **, **, (, , ;): . , , , , - , peer review. , , (, , ) - , , ,-- - , ** - , ** . , : ' ', '* * '., , , , ... - :) - , , , ?!- , ... -... 'BSD', *BSD OS's - - - ? :) : . . , . ('') . ... , , - :) .. , . ,- , - :) .... , , - ,-:P , -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 If this sentence didn't exist, somebody would have invented it. pgpL98fF1oksZ.pgp Description: PGP signature
Re: lug-bg: iptables(ipfw) web based panel
On Tuesday 29 March 2005 13:52, Peter Pentchev wrote: [snip defense] [1] http://linux-bulgaria.org/archive/2005/Mar/32997.html ... ... . , , NetBoz, , 1. 2. -, ,. , - :) NetBoz - , , ,( - , , - :) ,, ;-) -,, , . ,NetBoz, . , , , , , , , , , , - , - ' :P , 101- : 40 ... : - 39;) ,, __ ? ;-) . ( ), ,. ( , ;-)., , . **, -. FreeBSD , hendle free ;-) ... . ** :) good ! quite easy target ;-) FreeBSD.org , obscurity. , -... , Ziumbiulev, Peter, -peer review ;-) ... , , , , **, **, (, , ;): . , , ? why, pourquoi, warum, perche ? , , , , - , peer review. ! known thuth, can't beat that ;-) , , (, , ) - , , ,-- - , ** - , ** . ! ;-) , : ' ', '* * '., , , , ... - :) ! known thuth, can't beat that ;-) , ;-) - , , , ! known thuth, can't beat that ;-) ?!- , ... -... 'BSD', *BSD OS's - - - ? :) ,- ;-) ;-) : . . , . ('') . ... , , - :) generic .., why bother+ ,. .. , . ,- , - :) .... , , - ,-:P ;-) . -- pub 4096R/0E4BD0AB 2003-03-18 danchev.fccf.net/key pgp.mit.edu fingerprint1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB pgpy8vMDMXjVs.pgp Description: PGP signature
Re: lug-bg: iptables(ipfw) web based panel
On Mon, Mar 28, 2005 at 02:34:00PM +0200, Ziumbiulev, Peter wrote: a LAN iptables ipfw(ako FreeBSD). : - 2 ISP - , ISP . - squid-a ISP - Firewall Perl + Mysql, . , ? , , * * . , , - NetBoz, , FreeBSD 4.x - http://www.netboz.net/ , - ,- , , ., , , SSH ( ), , startup FreeBSD - ..., :) , , - . , , , - -, , :) , -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 This sentence every third, but it still comprehensible. pgpInWgPokm9w.pgp Description: PGP signature
Re: lug-bg: iptables(ipfw) web based panel
On Monday 28 March 2005 16:53, Peter Pentchev wrote: On Mon, Mar 28, 2005 at 02:34:00PM +0200, Ziumbiulev, Peter wrote: a LAN iptables ipfw(ako FreeBSD). : - 2 ISP - , ISP . - squid-a ISP - Firewall Perl + Mysql, . , ? , , * * . , , - NetBoz, , FreeBSD 4.x - http://www.netboz.net/ , - ,- , , ., , , SSH ( ), , startup FreeBSD - ..., :) , , - . , , , - -, , :) , ;-) ' ' , ( ;-) , [1], , . FreeBSD , hendle free ;-) FreeBSD.org , obscurity. , Ziumbiulev, Peter,- peer review ;-) [1] http://linux-bulgaria.org/archive/2005/Mar/32997.html .. , . -- pub 4096R/0E4BD0AB 2003-03-18 danchev.fccf.net/key pgp.mit.edu fingerprint1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB pgpwp2yqSyrBF.pgp Description: PGP signature
Re: lug-bg: iptables icmp3/10 and limit
, , , man iptables? On , 2005-02-16 at 13:17 +0200, an0nym0us wrote: , HOWTO iptables, - icmp 3/10 - Destination host administratively prohibited iptables -A INPUT -p tcp -s -j REJECT --reject-with \ icmp-host-prohibited or icmp-admin-prohibited - - 3 1 Request timed out . , . man iptables is your friend in need signature.asc Description: This is a digitally signed message part
Re: lug-bg: iptables icmp3/10 and limit
On Wednesday 16 February 2005 13:34, Nickola Kolev wrote: - - 3 1 Request timed out . , . nth This module matches every `n'th packet --every value Match every `value' packet [--counter num] Use internal counter number `num'. Default is `0'. [--start num] Initialize the counter at the number `num' insetad of `0'. Most between `0' and `value'-1. [--packet num] Match on `num' packet. Most be between `0' and `value'-1. POM. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables TOS
On Thu, Dec 23, 2004 at 09:48:23PM +0200, raptor wrote: On Wed, 22 Dec 2004 16:50:48 +0200 (EET) Anton Glinkov [EMAIL PROTECTED] wrote: |TOS/4 = DSCP |puskash si _HEX_ calculator i smiatash | |TOS 64 = DSCP 19 |TOS 60 = DSCP 18 |etc.. | |-- |Anton Glinkov |network administrator Gledam iptables source i kernel i mi se struwa che ako mahna prowerkata w iptables za wywevdanata stoinost, nestata ste stanat... ako nqkoi ima wreme move li da chekne source i da kave praw li sam.. (ne sam C programer, no mi izglevda che ogranichenieto e w iptables tool-a a ne w kernel-a. Gledam 2.4 kernel) - , checkentry() net/ipv4/netfilter/ipt_TOS.c :) , 70, if, type of service. - DSCP , manual page-. ,,:) , -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 What would this sentence be like if it weren't self-referential? pgpb3x9rKHDgr.pgp Description: PGP signature
Re: lug-bg: iptables TOS
On Wed, 22 Dec 2004 16:50:48 +0200 (EET) Anton Glinkov [EMAIL PROTECTED] wrote: |TOS/4 = DSCP |puskash si _HEX_ calculator i smiatash | |TOS 64 = DSCP 19 |TOS 60 = DSCP 18 |etc.. | |-- |Anton Glinkov |network administrator Gledam iptables source i kernel i mi se struwa che ako mahna prowerkata w iptables za wywevdanata stoinost, nestata ste stanat... ako nqkoi ima wreme move li da chekne source i da kave praw li sam.. (ne sam C programer, no mi izglevda che ogranichenieto e w iptables tool-a a ne w kernel-a. Gledam 2.4 kernel) tia A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables TOS
TOS/4 = DSCP puskash si _HEX_ calculator i smiatash TOS 64 = DSCP 19 TOS 60 = DSCP 18 etc.. -- Anton Glinkov network administrator A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables TOS
On Tuesday 21 December 2004 18:21, [EMAIL PROTECTED] wrote: i az si misleh za nesto takowa !!! ako nqkoi ima pointer.. , DSCP, - u32,POM., 2.6 .. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: iptables TOS
hi, nqkoi da ima ideq kak da markiram s iptables na bazata na nestandartni TOS stoinosti.. Mnoo se iznenadah che -m tos --tos XX move da markira samo na standartni stoinost (super typa hawa) :) - http://linuxtoday.com/news_story.php3?ltsn=2004-12-08-004-32-OS-BZ-DT-0005 snip MS Office is popular in the same way as heart disease is the most popular way to die. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables TOS
On Tue, Dec 21, 2004 at 11:51:49AM +0200, [EMAIL PROTECTED] wrote: hi, nqkoi da ima ideq kak da markiram s iptables na bazata na nestandartni TOS stoinosti.. Mnoo se iznenadah che -m tos --tos XX move da markira samo na standartni stoinost (super typa hawa) :) TOS -hardcode- linux-*/net/ipv4/netfilter/ipt_TOS.c:checkentry()... iptablesmatch- , tcpdump 'ip[1] = 7' TOS 7. manual page ,. , -- Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 If you think this sentence is confusing, then change one pig. pgpKOEvZnDVBC.pgp Description: PGP signature
RE: lug-bg: iptables TOS
Title: RE: lug-bg: iptables TOS , DSCP . -- Regards, Stoimen -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] bulgaria.org] On Behalf Of Peter Pentchev Sent: Tuesday, December 21, 2004 12:03 PM To: [EMAIL PROTECTED] Subject: Re: lug-bg: iptables TOS On Tue, Dec 21, 2004 at 11:51:49AM +0200, [EMAIL PROTECTED] wrote: hi, nqkoi da ima ideq kak da markiram s iptables na bazata na nestandartni TOS stoinosti.. Mnoo se iznenadah che -m tos --tos XX move da markira samo na standartni stoinost (super typa hawa) :) TOS -hardcode- linux-*/net/ipv4/netfilter/ipt_TOS.c:checkentry()... iptablesmatch- , tcpdump 'ip[1] = 7' TOS 7. manual page ,. , -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 If you think this sentence is confusing, then change one pig.
Re: lug-bg: iptables TOS
i az si misleh za nesto takowa !!! ako nqkoi ima pointer.. |On Tue, Dec 21, 2004 at 11:51:49AM +0200, [EMAIL PROTECTED] wrote: | hi, | | nqkoi da ima ideq kak da markiram s iptables na bazata na nestandartni TOS stoinosti.. | Mnoo se iznenadah che -m tos --tos XX move da markira samo na standartni | stoinost (super typa hawa) :) | | TOS -hardcode- | linux-*/net/ipv4/netfilter/ipt_TOS.c:checkentry()... |iptablesmatch- |, tcpdump 'ip[1] = 7' | TOS 7. manual page |,. | |, | | - http://linuxtoday.com/news_story.php3?ltsn=2004-12-08-004-32-OS-BZ-DT-0005 snip MS Office is popular in the same way as heart disease is the most popular way to die. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables SNAT --to pool ...
, ( ) : undertown:~# uname -a Linux undertown 2.4.27 #2 Sun Sep 19 09:30:40 EDT 2004 i686 GNU/Linux Best Regards, A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables SNAT --to pool ...
:) ( :)) undertown:~# iptables -t nat -I POSTROUTING -p tcp -d 212.5.145.42 --dport 80 -j SNAT --to 212.5.155.101 /212.5.145.42:80 212.5.155.101/ undertown:~# tcptraceroute 212.5.145.42 80 Selected device eth0, address 212.5.155.100, port 33414 for outgoing packets Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * ( , ) / 30 * * * tcptrace - undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.42 Selected device eth0, address 212.5.155.101, port 33519 for outgoing packets Tracing the path to 212.5.145.42 on TCP port 80, 30 hops max 1 zora.inetg.bg (212.5.155.97) 0.531 ms 0.350 ms 0.321 ms 2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.188 ms 3.426 ms 1.858 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 1.924 ms 1.734 ms 2.643 ms 4 big.inetg.bg (212.5.145.20) 9.340 ms 2.696 ms 3.170 ms 5 crew.inetg.bg (212.5.145.42) [open] 6.045 ms 2.721 ms 6.754 ms ... tcptraceroute . ... undertown:~# tethereal -i eth0 dst host 212.5.145.42 and src host 212.5.155.101 Capturing on eth0 0.00 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 3.006024 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 6.007149 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 9.007678 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 12.008212 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 15.008759 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 18.009313 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 21.009841 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 24.011898 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 27.012430 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 30.013497 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 33.014027 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 36.014575 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 ., TCP RST , 212.5.145.42--- 36.017318 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 39.015101 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 39.018119 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 42.015636 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 42.018897 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 output 212.5.145.42 , TCP-RST bit 0.00 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 0.003112 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 3.000455 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 3.003957 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 6.000934 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 6.003924 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 9.000905 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 9.003998 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 12.001539 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 12.004478 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 15.000999 212.5.155.101 - 212.5.145.42 TCP [TCP ZeroWindow] 33737 www [SYN] Seq=0 Ack=0 Win=0 Len=0 15.003903 212.5.155.101 - 212.5.145.42 TCP 33737 www [RST] Seq=1 Ack=0 Win=0 Len=0 - syn-cookie support-a , ... undertown:~# cat /proc/net/ip_conntrack |egrep 212.5.155.101 |grep dport=80|head tcp 6 92 TIME_WAIT src=192.168.0.23 dst=128.242.237.107 sport=1052 dport=80 src=212.5.155.101 dst=192.168.0.23 sport=8080 dport=1052 [ASSURED] use=1 tcp 6 53 CLOSE_WAIT src=192.168.0.81 dst=62.73.113.248 sport=1353 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1353 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.81 dst=62.73.113.248 sport=1956 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=1956 [ASSURED] use=1 tcp 6 68 TIME_WAIT src=192.168.0.81 dst=195.149.248.133 sport=2073 dport=80 src=212.5.155.101 dst=192.168.0.81 sport=8080 dport=2073 [ASSURED] use=1 tcp 6 13 TIME_WAIT src=192.168.0.110 dst=213.226.6.10
lug-bg: iptables SNAT --to pool ...
, ... 2 ( 9) () : undertown:/home/dido# iptables -t nat -L -nv Chain PREROUTING (policy ACCEPT 98804 packets, 9124K bytes) pkts bytes target prot opt in out source destination 56783 2728K REDIRECT tcp -- * * 192.168.0.0/24 0.0.0.0/0 multiport dports 80,3128 redir ports 8080 Chain POSTROUTING (policy ACCEPT 49385 packets, 3631K bytes) pkts bytes target prot opt in out source destination 665 36357 SNAT all -- * * 0.0.0.0/0 !192.168.0.0/16 to:212.5.155.100-212.5.155.101 undertown:/home/dido# cat /proc/net/ip_conntrack |grep 212.5.155.100|grep dport=80|wc -l 212 undertown:/home/dido# cat /proc/net/ip_conntrack |grep 212.5.155.101|grep dport=80|wc -l 0 , - 212.5.155.101 .- ... ... - 2: Chain POSTROUTING (policy ACCEPT 23M packets, 13G bytes) pkts bytes target prot opt in out source destination 103 *8694*all -- * * 212.5.155.101 0.0.0.0/0 31294 *2792K*all -- * * 212.5.155.100 0.0.0.0/0 3 100 8694 101 ? ,, ... ? :) , ... A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables SNAT --to pool ...
: undertown:~# tcptraceroute -s 212.5.155.100 212.5.145.17 Selected device eth0, address 212.5.155.100, port 33065 for outgoing packets Tracing the path to 212.5.145.17 on TCP port 80, 30 hops max 1 zora.inetg.bg (212.5.155.97) 0.436 ms 0.348 ms 0.321 ms 2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.879 ms 2.347 ms 2.235 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 2.626 ms 1.726 ms 1.689 ms 4 sz.inetg.bg (212.5.145.17) [open] 3.319 ms 1.704 ms 2.865 ms undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.17 Selected device eth0, address 212.5.155.101, port 33068 for outgoing packets Tracing the path to 212.5.145.17 on TCP port 80, 30 hops max 1 zora.inetg.bg (212.5.155.97) 0.498 ms 0.344 ms 0.373 ms 2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.509 ms 3.269 ms 1.676 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 5.354 ms 2.436 ms 1.900 ms 4 sz.inetg.bg (212.5.145.17) [open] 5.223 ms 3.422 ms 3.447 ms undertown:~# cat /proc/net/ip_conntrack |grep 212.5.155.101 udp 17 160 src=192.168.0.13 dst=212.5.145.17 sport=1027 dport=53 src=212.5.145.17 dst=212.5.155.101 sport=53 dport=1027 [ASSURED] use=1 tcp 6 431995 ESTABLISHED src=192.168.0.103 dst=64.12.24.221 sport=1888 dport=5190 src=64.12.24.221 dst=212.5.155.101 sport=5190 dport=1888 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.136 dst=62.26.127.132 sport=4310 dport=6667 src=62.26.127.132 dst=212.5.155.101 sport=6667 dport=4310 [ASSURED] use=1 tcp 6 431998 ESTABLISHED src=192.168.0.110 dst=212.91.161.18 sport=1646 dport=6667 src=212.91.161.18 dst=212.5.155.101 sport=6667 dport=1646 [ASSURED] use=1 tcp 6 431896 ESTABLISHED src=192.168.0.103 dst=216.155.193.161 sport=1897 dport=5050 src=216.155.193.161 dst=212.5.155.101 sport=5050 dport=1897 [ASSURED] use=1 tcp 6 68 TIME_WAIT src=195.34.96.5 dst=212.5.155.101 sport=2320 dport=80 src=212.5.155.101 dst=195.34.96.5 sport=80 dport=2320 [ASSURED] use=1 tcp 6 431985 ESTABLISHED src=192.168.0.128 dst=216.155.193.180 sport=2101 dport=25 src=216.155.193.180 dst=212.5.155.101 sport=25 dport=2101 use=1 tcp 6 431997 ESTABLISHED src=192.168.0.114 dst=194.12.225.69 sport=1879 dport=6667 src=194.12.225.69 dst=212.5.155.101 sport=6667 dport=1879 [ASSURED] use=1 ( ...) ... , ...:):):) - 80,3128 8080 ( ) ... rp_tables ... ... ... . ... ?? ? , A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables SNAT --to pool ...
? ,. POSTROUTING iptables. Danail Petrov wrote: : undertown:~# tcptraceroute -s 212.5.155.100 212.5.145.17 Selected device eth0, address 212.5.155.100, port 33065 for outgoing packets Tracing the path to 212.5.145.17 on TCP port 80, 30 hops max 1 zora.inetg.bg (212.5.155.97) 0.436 ms 0.348 ms 0.321 ms 2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.879 ms 2.347 ms 2.235 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 2.626 ms 1.726 ms 1.689 ms 4 sz.inetg.bg (212.5.145.17) [open] 3.319 ms 1.704 ms 2.865 ms undertown:~# tcptraceroute -s 212.5.155.101 212.5.145.17 Selected device eth0, address 212.5.155.101, port 33068 for outgoing packets Tracing the path to 212.5.145.17 on TCP port 80, 30 hops max 1 zora.inetg.bg (212.5.155.97) 0.498 ms 0.344 ms 0.373 ms 2 Suny-DS-ether2-to-Zora2.PPPoE-leased (212.116.134.13) 2.509 ms 3.269 ms 1.676 ms 3 rszl-ether-2-RadioLAN.inetg.bg (212.116.134.129) 5.354 ms 2.436 ms 1.900 ms 4 sz.inetg.bg (212.5.145.17) [open] 5.223 ms 3.422 ms 3.447 ms undertown:~# cat /proc/net/ip_conntrack |grep 212.5.155.101 udp 17 160 src=192.168.0.13 dst=212.5.145.17 sport=1027 dport=53 src=212.5.145.17 dst=212.5.155.101 sport=53 dport=1027 [ASSURED] use=1 tcp 6 431995 ESTABLISHED src=192.168.0.103 dst=64.12.24.221 sport=1888 dport=5190 src=64.12.24.221 dst=212.5.155.101 sport=5190 dport=1888 [ASSURED] use=1 tcp 6 431999 ESTABLISHED src=192.168.0.136 dst=62.26.127.132 sport=4310 dport=6667 src=62.26.127.132 dst=212.5.155.101 sport=6667 dport=4310 [ASSURED] use=1 tcp 6 431998 ESTABLISHED src=192.168.0.110 dst=212.91.161.18 sport=1646 dport=6667 src=212.91.161.18 dst=212.5.155.101 sport=6667 dport=1646 [ASSURED] use=1 tcp 6 431896 ESTABLISHED src=192.168.0.103 dst=216.155.193.161 sport=1897 dport=5050 src=216.155.193.161 dst=212.5.155.101 sport=5050 dport=1897 [ASSURED] use=1 tcp 6 68 TIME_WAIT src=195.34.96.5 dst=212.5.155.101 sport=2320 dport=80 src=212.5.155.101 dst=195.34.96.5 sport=80 dport=2320 [ASSURED] use=1 tcp 6 431985 ESTABLISHED src=192.168.0.128 dst=216.155.193.180 sport=2101 dport=25 src=216.155.193.180 dst=212.5.155.101 sport=25 dport=2101 use=1 tcp 6 431997 ESTABLISHED src=192.168.0.114 dst=194.12.225.69 sport=1879 dport=6667 src=194.12.225.69 dst=212.5.155.101 sport=6667 dport=1879 [ASSURED] use=1 ( ...) ... , ...:):):) - 80,3128 8080 ( ) ... rp_tables ... ... ... . ... ?? ? , A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables SNAT --to pool ...
Tsvetin Vasilev wrote: ? ,. POSTROUTING iptables. , ... ... :) ? , A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables
! OUTPUT LOCAL_NET_IN_OUT: iptables -t filter -A OUTPUT -m mark --mark 1 -j LOCAL_NET_IN_OUT ( 1,15, ). OUTPUT .:). : A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: iptables
! iptables : : , proxy_arp,. , , / . iptables : : 192.168.2.0/24 iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP iptables -t filter -N LOCAL_NET_IN_OUT; # mangle iptables -t mangle -A FORWARD -s 192.168.2.0/24 -d 192.168.2.0/24 -j MARK --set-mark 1 iptables -t mangle -A INPUT -s 192.168.2.0/24 -j MARK --set-mark 1 iptables -t mangle -A OUTPUT -d 192.168.2.0/24 -j MARK --set-mark 1 # filter # LOCAL_NET_IN_OUT # iptables -t filter -A FORWARD -m mark --mark 15 -j LOCAL_NET_IN_OUT iptables -t filter -A INPUT -m mark --mark 15 -j LOCAL_NET_IN_OUT iptables -t filter -A OUTPUT -m mark --mark 15 -j LOCAL_NET_IN_OUT , LOCAL_NET_IN_OUT , ip mac . 192.168.2.25 # 192.168.2.25 iptables -t filter -A LOCAL_NET_IN_OUT -d 192.168.2.25 -j ACCEPT #ip # mac iptables -t filter -A LOCAL_NET_IN_OUT -s 192.168.2.25 -m mac --mac-source 00:01:02:03:04:05 -j ACCEPT . ENTER iptables: iptables: Invalid argument , mac ,. , . ! : A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables
! packet filtering how-to: - mac -m mac -match mac . Ethernet ( MAC) , ! !! PREROUTING INPUT . : --mac-source ! , ethernet : ,macsource 00:60:08:91:CC:B7 . # mac iptables -t filter -A LOCAL_NET_IN_OUT -s 192.168.2.25 -m mac --mac-source 00:01:02:03:04:05 -j ACCEPT ,--m mac .iptables , , . . . /var/log/mssages Mar 26 19:35:01 debian kernel: ipt_mac: only valid for PRE_ROUTING, LOCAL_IN or FORWARD. . , A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: iptables vc Cisco Router
, ( ). , :(. : -: linux- iptables Cisco router. ... link . : :asha: A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
asha wrote: ( ). , :(. : -: linux- iptables Cisco router. ... link . iptables + iproute2 cisco, , , cisco. Extreme Juniper. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
IMHO::-)asha [EMAIL PROTECTED]: , ( ). , :(. : -: linux- iptables Cisco router. .. . link .: :asha: A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html - Mail.bg http://mail.bg/greetings/
Re: lug-bg: iptables vc Cisco Router
az bih predpochel iptables.. ako ima iptables se podrazbira che imash linux.. a tuk iznikwat oste mnogo predimstwa.. Taka ste izbroq nestata koito mi lipswat ama mnogo kogato prawq neshto pod cisco , ne che sam advanced-cisco-user : - no tcpdump,ngrep and all stuff based on pcap, trqbwa da prenasochwash interfeisi ako go poddyrva w IOS-a koito go ima, ako ne KINTI.. - access listite sa bledo kopie na towa koeto move da se naprawi s iptables - za da naprawish statefull firewall mai se kazwashe CBAC trqbwa da go imash w image-na-IOS toest == inache kinti - otwratitelno e da trqbwa da polzwash tftp samo i samo da si updeitnesh access-listite, osobeno ako si w napecheno polovenie... s iptables hodish promenqsh i posle /etc/init.d/iptables restart. S cisco ne movesh da wmyknesh prawilo nqkade po sredata.. - ssh mu e ot pamtiweka 1.x, des crypting i nqma izgledi da minat na ver2 - ako ima bug si ostawash s bug-a, upgreida na software se plashta ako ne si cisco-neznamsi-kwo (da polzwam cisco s bug no ne moga da se upgreidna). Dobre che ponaznaiwam malko perl, che da si ulesnq viwota. - kolkoto i da e neweroqtno zabiwa - ne movesh da prekysnesh pinga (pone az ne znam kak) - ne namerih ekwiwalent na host (resolve ip-name) ili pak az ne znam, pitah nikoi ne mi dade wariqnt sys syshtat funkcionalnost - grep-a (include/exclude) mu e mnogo spynat i ne move da se chainwa - qos-a im e ogranichen, nqmam predwid wyzmovnosti a po nachina mu na izpolzwane (Dokolkoto chetoh max 64 channela) . Mislq che linux-qos e mnogo po napred s izkluchenie na nqkoi strogo specifichni situacii.. - i nai wavnoto ne movesh da awtomatizirash nishto.. (bqh sreshtnal nqkakaw TCL, ama toi pak se plashtashe baq, pak i koi programira na TCL) - za srawnenie na cenite ne goworim izobshto moga da prodylvawam oshte S towa ne iskam da kave che cisco ustroistwata sa zle, prosto s drugo prednaznachenie.. kakto kaza drugiq poster move bi samo za high-end situacii ili tam za kadeto nqma harduernata chast za linux ( w moq sluchai cabletv-chasta). prsoto iztyknah nedostatacite za men.. Otnosno iptables mislq che za edin linux potrebitel dave i kompiliraneto na neobhodimite module ne e golqm problem weche.. da ne go wprim che powecheto distrota slagat mnogo poweche nesta ot tezi za koito movesh da se setish che sa ti nuvni.. my 5c | , | | ( ). |, :(. |: -: linux- iptables Cisco |router. ... | link . | | : | :asha: A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
[EMAIL PROTECTED] wrote: IMHO::-) cisco ? , IOS - , , cisco ? -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
Õàðäóåð ñðåùó ñîôòóåð ëè? Íåêà äà âèäèì: Õàðäóåð:300 Mhz-îâ RISC ïðîöåñîð ñ 256ÌÁ ïàìåò ñðåùó 3 Ghz Xeon s 2GB ïàìåò? Ñîôòóåð:IOS vs linux+iptables+iproute2 Ïðåäèìñòâîòî íà cisco-òî å â ïîääðúæêàòà íà ãîëÿì áðîé èíòåðôåéñè è ïðîòîêîëè. Ïðåäèìñòâîòî íà linux-a e â öåíàòà è âúçìîæíîñòèòå, êîèòî ïðåäëàãà êîìáèíàöèÿòà iptables+iproute2. IMHO: Õàðäóåð ñðåùó ñîôòóåð :-) A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
Georgi Chorbadzhiyski wrote: , cisco ? - , , ,, . . A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
:300 Mhz- RISC 256 3 Ghz Xeon s 2GB ? :IOS vs linux+iptables+iproute2 : 1) 3 Ghz Xeon s 2GB firewall,- . cisco- . 2) !. :) linux-a e, iptables+iproute2. 3) . Zebra ip* . , :( A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
peyo wrote: linux-a e, iptables+iproute2. 3) . Zebra ip* . , :( cisco BGP $1.5kPC :-) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
[EMAIL PROTECTED] wrote: IMHO::-) cisco ? , IOS - , , cisco ? 1. , Cisco Layer 3 , , Application Layer. - Layers ,-( - ) 2. Cisco - - LinkSys, D-link .. How-To, LinkSys . 3.Cisco / . , . -- 17503 , PIX506, . . 2950 Switch - 2 . , SmartNet ,. 4. , cisco . Cisco 4210 IDS. RedHat. Cisco Unity Express,- BSD. , - 15/20 ,. , , Cisco. A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables vc Cisco Router
-, . . iptables.. flame, pls. Georgi Chorbadzhiyski [EMAIL PROTECTED]: [EMAIL PROTECTED] wrote: IMHO::-)cisco ? , IOS - , , cisco ? -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html - Mail.bg http://mail.bg/greetings/
Re: lug-bg: iptables vc Cisco Router
[EMAIL PROTECTED] wrote: -, . . iptables. . flame, pls. ? . access-lists iptables . -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: IPTABLES
Vasko Tomanov wrote: v minaloto niakoi beshe izpratil URL na sait koito generira IPTABLES configuracionen fail.. moje li niakoi da mi pripomni URL-to ? ... http://morizot.net/firewall/gen/ -- Skelet -- http://skelet.hit.bg/ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
lug-bg: IPTABLES
v minaloto niakoi beshe izpratil URL na sait koito generira IPTABLES configuracionen fail.. moje li niakoi da mi pripomni URL-to ? A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: IPTABLES
On 06.01.2004 13:15, Vasko Tomanov wrote: v minaloto niakoi beshe izpratil URL na sait koito generira IPTABLES configuracionen fail.. moje li niakoi da mi pripomni URL-t http://morizot.net/firewall/gen/ ., ! A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables accounting
eth0, i-net-a eth1 eth1: iptables -N Accounting iptables -A Accounting -o eth1 # upstream traffic iptables -A Accounting -i eth1 # downstream traffic iptables -A INPUT -i eth1 -j Accounting iptables -A OUTPUT -o eth1 -j Accounting iptables -A FORWARD -i eth1 -j Accounting iptables -A FORWARD -o eth1 -j Accounting 1 ip ( 192.168.1.33) : iptables -A Accounting -s 192.168.1.33 # upstream traffic iptables -A Accounting -d 192.168.1.33 # downstream traffic iptables -A INPUT -i eth0 -s 192.168.1.33 -j Accounting iptables -A OUTPUT -o eth0 -d 192.168.1.33 -j Accounting iptables -A FORWARD -i eth0 -s 192.168.1.33 -j Accounting iptables -A FORWARD -o eth0 -d 192.168.1.33 -j Accounting , , Tosho Yankov wrote: Zdravejite, imam malyk problem v tochnostta na otchitane na accountinga si. Eto q shemata porxy i acconting na edna i systa mashina, real IP-ta za vsichki usres. Do kato bqh vse oste s ipchains vischko beshe nared. Zakachah broqchite na input i output verigata i vsichko si se broeshe ok. Sled kato minah na iptables eto kakvo poluchih: borqchite zakacheni na INPUT i OUTPUT verigite: - broi se samo proxy trafika (bez vsichko ostanalo) broqcha zakachen samo na FORWARD verigata - broi se vsichko BEZ proxy trafika broqcha zakachen kakto sledva - vhodqst - INPUT + FORWARD (tuk ne sym sigruen dali ne trqbva da mu kaja vyv forwarda -s moita_mreja/moita_maska - izhodqst - OUTPUT + FORWARD (otnovo dali trqbva da se okaje -d moita_mreja/moita_maska) ta taka tova v skobite poneje ne sym siguren i sa bes source i destination i imam otichtane na trafik v poveche ot kolkoto e deistvitelniq. Imam nujda ot pomost kak tochno trqbva da podredq verigite. Blagodarq Vi predvaritelno. P.S. Resheniq ot tipa na ipac-ng i kakvito i da e dopulnitelni softwares ne mi vyrshat rabota, prosto imam mnogo navyrzani scriptove koito vyrshat razni zadachi i iskam da imam vhodqst i izhodqt broqch, a az ot tam veche znam kakvo da si gi pravq :) -- Best regards, Lyubomir Popov aka zEAL smime.p7s Description: S/MIME Cryptographic Signature
lug-bg: iptables and ADSL
Imama server s ADSL vrazaka.. obasthe adresa koito polutshavam ot ADSL-a se meni vseki pat kato se restartne vrazkata po niakakva pritshina.. iskam w definiciata na pravilata na IPTABLES da zadan ne tvardo IP s maska a IP-to na ppp0 naprimer ? kak moga da go nparavia tova za da ne mi se nalaga sled vseki restart da opraviam ip tables vasko A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables and ADSL
On Thu, 4 Dec 2003 10:18:54 - Vasko Tomanov [EMAIL PROTECTED] wrote: Imama server s ADSL vrazaka.. obasthe adresa koito polutshavam ot ADSL-a se meni vseki pat kato se restartne vrazkata po niakakva pritshina.. iskam w definiciata na pravilata na IPTABLES da zadan ne tvardo IP s maska a IP-to na ppp0 naprimer ? kak moga da go nparavia tova za da ne mi se nalaga sled vseki restart da opraviam ip tables IP-firewall : IFCONFIG=/usr/sbin/ifconfig EXTIF=ppp0 GREP=/bin/grep AWK=/bin/awk SED=/bin/sed IP=`$IFCONFIG $EXTIF | $GREP 'inet addr' | $AWK '{print $2}' | $SED -e 's/.*://'` HTH Pesho A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables and ADSL
, On Thu, 4 Dec 2003 10:18:54 - Vasko Tomanov [EMAIL PROTECTED] wrote: iskam w definiciata na pravilata na IPTABLES da zadan ne tvardo IP s maska a IP-to na ppp0 naprimer ? kak moga da go nparavia tova za da ne mi se nalaga sled vseki restart da opraviam ip tables RTFM. iptables(8) MASQUERADE This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are forgotten when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway). -- Best Regards, Hristo Erinin A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables problem
10x za pomosht na sichki razbrah problema kade poneze kato edin red raboti no kato izreda celia piaring te stavt mnogo redove ot kadeto idva problema zashtoto oshte v purvia red izliza che osven tozi ip sichki drugi da gi prashta kam proxyto toest sledvashtite redove negi priema poneze oshte purvia red se okazava sichki razlichni ot ! 212.91.161.0/24 otivat kam proxy Stefan Stoilov wrote: Az sym go naprawil taka : /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -d ! free.dupnica.net -p tcp --dport 80 -j REDIRECT --to -port 3128 Towa e na4ina za izbjagwane na proksito za opredeleni IP ili mrevi . Proxyto mi e na sashtata mashina. t.e wsi4ko , except opisanoto sled ! d se redirektwa, a ostanaloto minawa naprawo. Na4ina po kojto si go naprawin milja 4e njama da stane . Stefan Elin wrote: zdraveite grupa imam slednia problem tova pravilo iptables -t nat -A PREROUTING -d 192.168.1.2 -p tcp -s !212.91.161.0/24 --dport 80 -j DNAT --to-destination 192.168.1.253:3128 kato go napisha samo raboti ideata mue tova e ip ot peearinga da ne miniva prez proxyto a sichki ostanali daminava i problema idva veche kato sled nego izreda celia pearing togava otricanieto ne raboti ! i kogato mahna otricanieto raboti niakoi da ima ideia kade e buga 10x A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables problem
On Tuesday 25 November 2003 10:48, wrote: On 25.11.2003 11:53, Elin wrote: iptables -t nat -A PREROUTING -d 192.168.1.2 -p tcp -s !212.91.161.0/24 --dport 80 -j DNAT --to-destination 192.168.1.253:3128 , IP- ? - ! - - :) - - , .IP, squid- IP - squid? ( ) , 10.0.0.0/8 . / / . / ( ). -- Regards, Doncho N. Gunchev A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables problem
On 25.11.2003 11:53, Elin wrote: iptables -t nat -A PREROUTING -d 192.168.1.2 -p tcp -s !212.91.161.0/24 --dport 80 -j DNAT --to-destination 192.168.1.253:3128 , IP- ? - ! A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables problem
ne sam copy pasteval ima interval prosto sam go ispusnal v pismoto Stoyan Zalev wrote: Zdrasti, Na prima vista - otricanieto (!) trjabva da ima 1 interval razstojanie,ako si copy/paste-val de :) -s !212.91.161.0/24 cykni go taka: -s ! 212.91.161.0/24 Stoyan A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
Re: lug-bg: iptables problem
Hi, ili az ne moga da te razbera ... ili ti ne si se izkazal prawilno :) Wupros N1. S kakwo IP e tazi mashina na koqto pishesh towa prawilo Wupros N2. Kakvot tochno se opitwash da naprawish ? shtoto w momenta s towa prawilo okazwash Wsichki TCP packeti !except 212.91.161.0/24 kum 192.168.1.2 na dport 80 da se DNAT-vat kum proxy-to ti ako ne raboti ima nqkolko weroqtnosti za towa ... edna ot tqh e ada ne si nastroil prawilno squid-a da raboti like transparent proxy ... drugata nqma da q kaja sega :) wzemi opishi po podrobno koe tochno ne raboti .. i pusni malko output from access log-a na squid-a da widim kakwo pishe i tam :) best regards danail petrow... zdraveite grupa imam slednia problem tova pravilo iptables -t nat -A PREROUTING -d 192.168.1.2 -p tcp -s !212.91.161.0/24 --dport 80 -j DNAT --to-destination 192.168.1.253:3128 kato go napisha samo raboti ideata mue tova e ip ot peearinga da ne miniva prez proxyto a sichki ostanali daminava i problema idva veche kato sled nego izreda celia pearing togava otricanieto ne raboti ! i kogato mahna otricanieto raboti niakoi da ima ideia kade e buga 10x A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html