Re: Zew. IP

[Robert Święcki]

Piotr 'ares' Siwicki wrote:

> powiedz mi w jaki sposob przy tej metodzie sterowac ruchem miedzy ipkami w
> lan ?
> u mnie generalnie wszyscy sa w podsieciach /30 i kazdy ma osobna brame
> i domyslnie wszyscy forward pakietow miedzy soba maja wylaczony,
> 
> czy w tej metodzie da sie wyblokowac ruch miedzy ipkami, czy nie ?

jeżeli zmusisz ludzi do ustawienia klasy /32 i routingu przez jakiś GW

ip addr add 81.x.x.x/32 dev eth0
ip r add 81.x.x.gw/32 dev eth0
ip r add default via 81.x.x.gw

to tak. W linuksie sie da, w windzie nie... (moze w ichnim terminalu ale
nie jestem pewien). Moze przydadza ci sie proste tunele do takich spraw
(openvpn2 z client-to-client, pppoe)?

Co do proxy_arp to mozesz zmniejszyc parametr

/proc/sys/net/ipv4/neigh/default/proxy_delay

coby nie mieć losowego opóźnienia przy resolvowaniu arpa routera (malo
zauwazalne i bez wpisu).

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: Zew. IP

[Piotr 'ares' Siwicki]

> ip r add 81.x.x.x/32 dev eth1
> echo 1 >/proc/sys/net/ipv4/conf/all/proxy_arp
>
> użytkownik wpisuje konfig:
>
> IP: 81.x.x.x
> NETMASK: dowolny, nawet 0.0.0.0
> GW: dowolny (jezeli maska 0 to bez GW)
>
>

Kapitalne i dziala !

powiedz mi w jaki sposob przy tej metodzie sterowac ruchem miedzy ipkami w
lan ?
u mnie generalnie wszyscy sa w podsieciach /30 i kazdy ma osobna brame
i domyslnie wszyscy forward pakietow miedzy soba maja wylaczony,

czy w tej metodzie da sie wyblokowac ruch miedzy ipkami, czy nie ?

pozdrawiam

ares

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: Zew. IP

[Robert Święcki]

[EMAIL PROTECTED] wrote:

>Mam pytanie związane z routingiem i zewnętrznym numerkami IP.
> Mam łacze z neti na które na początku dostałem jedno IP zew (213.x.x.x), z
> biegiem czasu  udało mi się wywalczyć następne numerki IP lecz z innej
> klasy (81.x.x.x). Chciał bym dać userowi za serwerem zewnętrzne IP ale
> jedyn co udało mi sie wygoglować to to :
> 
> iptables -t nat -I PREROUTING -d 81.x.x.x -j DNAT --to 192.x.x.x
> iptables -t nat -I POSTROUTING -s 192.x.x.x -j SNAT --to 81.x.x.x
> ip addr add 81.x.x.x  dev eth0
> 
> ale dzieki temu user dalej ma wew. IP a zarazem ZEW. takie małe
> zamieszanie, chciał bym aby użytkownik wpisywał na swojim komputerze w
> ustawienia odrazu ZEW. IP, czy ktoś sie orientuje jak tego dokonać ?

ip r add 81.x.x.x/32 dev eth1
echo 1 >/proc/sys/net/ipv4/conf/all/proxy_arp

użytkownik wpisuje konfig:

IP: 81.x.x.x
NETMASK: dowolny, nawet 0.0.0.0
GW: dowolny (jezeli maska 0 to bez GW)



___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: Zew. IP

[Marek Guevara Braun]

[EMAIL PROTECTED] napisał(a):
>Mam pytanie związane z routingiem i zewnętrznym numerkami IP.
> Mam łacze z neti na które na początku dostałem jedno IP zew (213.x.x.x), z
> biegiem czasu  udało mi się wywalczyć następne numerki IP lecz z innej
> klasy (81.x.x.x). Chciał bym dać userowi za serwerem zewnętrzne IP [...]
> chciał bym aby użytkownik wpisywał na swojim komputerze w
> ustawienia odrazu ZEW. IP, czy ktoś sie orientuje jak tego dokonać ?
[...]
> 4 sieciówki, 1 podpieta do routera (i-net) 3 na siec LAN.

Możesz zrobić bridge firewall (+ ewentualne filtrowanie ramek nie IPv4
i ARP przy pomocy ebtables + oczywiście filtrowanie/natowanie iptables)
dla wsystkich lub wybranych interfejsów ethX.

Aby mieć bridge do pliku /etc/sysconfig/network wpis BRIDGE_DEVS="eth0
eth1 ... ethX", z odpowiednich plików
/etc/sysconfig/interfaces/ifcfg-ethX zakomentuj wpisy IPADDR=...
utwórz wpis interfejsu br0 /etc/sysconfig/interfaces/ifcfg-br0
np. z IPADDR=213.x.x.x

Potem możesz dodać dla komputerów z zewnętrznymi adresami odpowiednie
regułki zezwalające na FORWARD, dla maszyn z adresami prywatnymi ewent.
regułki DNAT/SNAT

Pozdrawiam,
Marek

PS. Dla bridge ruch wchodzący/wychodzący (a właściwie przechodzący)
na konkretnym interfejsie wchodzącym w skład bridge w iptables rozróżnia
się po:
-m physdev --physdev-in eth0 --physdev-out eth1
a nie po "-i eth0 -o eth1"


___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: Zew. IP

[DreameR]

> Witam
>   Mam pytanie zwi±zane z routingiem i zewnêtrznym numerkami IP.
> Mam ³acze z neti na które na pocz±tku dosta³em jedno IP zew (213.x.x.x), z
> biegiem czasu  uda³o mi siê wywalczyæ nastêpne numerki IP lecz z innej
> klasy (81.x.x.x). Chcia³ bym daæ userowi za serwerem zewnêtrzne IP ale
> jedyn co uda³o mi sie wygoglowaæ to to :

> iptables -t nat -I PREROUTING -d 81.x.x.x -j DNAT --to 192.x.x.x
> iptables -t nat -I POSTROUTING -s 192.x.x.x -j SNAT --to 81.x.x.x
> ip addr add 81.x.x.x  dev eth0

> ale dzieki temu user dalej ma wew. IP a zarazem ZEW. takie ma³e
> zamieszanie, chcia³ bym aby u¿ytkownik wpisywa³ na swojim komputerze w
> ustawienia odrazu ZEW. IP, czy kto¶ sie orientuje jak tego dokonaæ ?

> Serwer na AC
> kernel 2.6.11.6-3
> [EMAIL PROTECTED]
> 4 sieciówki, 1 podpieta do routera (i-net) 3 na siec LAN.

http://www.dug.net.pl/faq/index.php?kat=3&id=38

Pozdrawiam
DreameR




___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Zew. IP

[nektrus]

Witam
   Mam pytanie związane z routingiem i zewnętrznym numerkami IP.
Mam łacze z neti na które na początku dostałem jedno IP zew (213.x.x.x), z
biegiem czasu  udało mi się wywalczyć następne numerki IP lecz z innej
klasy (81.x.x.x). Chciał bym dać userowi za serwerem zewnętrzne IP ale
jedyn co udało mi sie wygoglować to to :

iptables -t nat -I PREROUTING -d 81.x.x.x -j DNAT --to 192.x.x.x
iptables -t nat -I POSTROUTING -s 192.x.x.x -j SNAT --to 81.x.x.x
ip addr add 81.x.x.x  dev eth0

ale dzieki temu user dalej ma wew. IP a zarazem ZEW. takie małe
zamieszanie, chciał bym aby użytkownik wpisywał na swojim komputerze w
ustawienia odrazu ZEW. IP, czy ktoś sie orientuje jak tego dokonać ?

Serwer na AC
kernel 2.6.11.6-3
[EMAIL PROTECTED]
4 sieciówki, 1 podpieta do routera (i-net) 3 na siec LAN.


Pozdrawiam
Wojciech Polak


___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Jakub Krajniak]

On Wednesday, 02 February 2005 23:25, frazir wrote:
> >  
> >
> Dziala pieknie...
> 
> Slicznie dziekuje Pozdrawiam
> 
tak OT, to cos chyba nie tak z czasem 
[EMAIL PROTECTED] teodor]$ date
śro lut  2 17:15:18 CET 2005

j.

-- 
#>Jakub Krajniak *[ teodor ]* <#> Registered linux user 
#340800
#> jid: teo777//chrome.pl   sms: +48889306097 <#> PLD & GNU/Linux user
#> http://teodor.republika.pl   gg: 1273916   <#> 
It is easier to fix Unix than to live with NT.


pgpEFcfBHRuVc.pgp
Description: PGP signature
___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[frazir]

Użytkownik Jacek Rzęsista napisał:

>Dnia poniedziałek, 31 stycznia 2005 10:40, Tomasz Witek napisał:
>[CIACH]
>  
>
>>A to sie da na ipchainsach ?
>>Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...
>>
>>migracja na iptables albo ustawienie routingu i zew ip na maszynkach.
>>
>>
>Da się :) Ja mam taki "skrypcik" do tego ;) :
>LEGENDA:
>12.34.56.78 - zewn. IP który chcemy przeNATować na wewn. IP
>192.168.1.42 - wewn. IP
>eth0 - zewn. interfejs
>eth1 - wewn. interejs
>
>ip route add nat 12.34.56.78 via 192.168.1.42
>ip rule add nat 12.34.56.78 from 192.168.1.42
>ip route flush cache
>ipchains -I input -i eth0 -s 0/0 -d 12.34.56.78 -j ACCEPT
>ipchains -I forward -s 0/0 -d 192.168.1.42 -j ACCEPT
>ipchains -I output -i eth1 -s 0/0 -d 192.168.1.42 -j ACCEPT
>ipchains -I input  -i eth1 -s 192.168.1.42 -d 0/0 -j ACCEPT
>ipchains -I forward -s 12.34.56.78 -d 0/0 -j ACCEPT
>ipchains -I output -i eth0 -s 12.34.56.78 -d 0/0 -j ACCEPT
>
>Sprawdzone, działa. Sam pisałem - sam sprawdzałem ;)
>  
>
Dziala pieknie...

Slicznie dziekuje Pozdrawiam

Frazir


___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Jacek Rzęsista]

Dnia wtorek, 1 lutego 2005 20:09, Arkadiusz Chomicki napisał:
> Dnia poniedziałek, 31 stycznia 2005 10:40, Tomasz Witek napisał:
> > Dnia 31-01-2005, pon o godzinie 22:47 +0100, frazir napisał(a):
> > > Witam mam takie pytanko a mianowicie, stoii sobie serwerek od dos
> > > dlugiego czasu na jajku 2.2.22-6 ma eth0 do ktorego podlaczone jest
> > > 2Mbps oraz eth1 jako wyjscie na LAN udostepnianie dziala poprzez taka
> > > regolke
> > > /sbin/ipchains -F input
> > > /sbin/ipchains -F output
> > > /sbin/ipchains -F forward
> > > /sbin/ipchains -P input ACCEPT
> > > /sbin/ipchains -P output ACCEPT
> > > /sbin/ipchains -P forward DENY
> > >
> > > /sbin/ipchains -A forward -s 192.168.1.2/32 -d 0/0 -j MASQ
> > > /sbin/ipchains -A forward -s 192.168.1.3/32 -d 0/0 -j MASQ
> > > /sbin/ipchains -A forward -s 192.168.1.4/32 -d 0/0 -j MASQ
> > > /sbin/ipchains -A forward -s 192.168.1.5/32 -d 0/0 -j MASQ
> > > /sbin/ipchains -A forward -s 192.168.1.6/32 -d 0/0 -j MASQ
> > > [...]
> > > itd. teraz sedno sprawy mam do rozdania pule adresow i nie wiem za
> > > bardzo jak sie do tedo zabrac aby np komp ktory ma ip 192.168.1.4 mial
> > > ip zew. czyli np 80.55.245.xxx i odpowiednie ktore mu przydziele ...
> > >
> > > Pozdrawiam  za odp. z gory dziekuje...
> >
> > A to sie da na ipchainsach ?
> > Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...
>
> iproute2 tylko
iproute2 + ipchains ;) Patrz mój wcześniejszy post w tym wątku :)
-- 
Jacek Rzęsista
GG 61213

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Arkadiusz Chomicki]

Dnia poniedziałek, 31 stycznia 2005 10:40, Tomasz Witek napisał:
> Dnia 31-01-2005, pon o godzinie 22:47 +0100, frazir napisał(a):
> > Witam mam takie pytanko a mianowicie, stoii sobie serwerek od dos
> > dlugiego czasu na jajku 2.2.22-6 ma eth0 do ktorego podlaczone jest
> > 2Mbps oraz eth1 jako wyjscie na LAN udostepnianie dziala poprzez taka
> > regolke
> > /sbin/ipchains -F input
> > /sbin/ipchains -F output
> > /sbin/ipchains -F forward
> > /sbin/ipchains -P input ACCEPT
> > /sbin/ipchains -P output ACCEPT
> > /sbin/ipchains -P forward DENY
> >
> > /sbin/ipchains -A forward -s 192.168.1.2/32 -d 0/0 -j MASQ
> > /sbin/ipchains -A forward -s 192.168.1.3/32 -d 0/0 -j MASQ
> > /sbin/ipchains -A forward -s 192.168.1.4/32 -d 0/0 -j MASQ
> > /sbin/ipchains -A forward -s 192.168.1.5/32 -d 0/0 -j MASQ
> > /sbin/ipchains -A forward -s 192.168.1.6/32 -d 0/0 -j MASQ
> > [...]
> > itd. teraz sedno sprawy mam do rozdania pule adresow i nie wiem za
> > bardzo jak sie do tedo zabrac aby np komp ktory ma ip 192.168.1.4 mial
> > ip zew. czyli np 80.55.245.xxx i odpowiednie ktore mu przydziele ...
> >
> > Pozdrawiam  za odp. z gory dziekuje...
>
> A to sie da na ipchainsach ?
> Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...

iproute2 tylko

Pozdrawiam
ChomAr
-- 
+-===| Arkadiusz Chomicki |-+
  84-120 Władysławowo   GG#: 420515
  woj. pomorskiee-mail:chomar(at)wla(dot)pl
  Registered Linux User: 82605  http://www.chomar.wla.pl
  http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=82605
+-==| Powered by PLD Linux |===-+

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Michal Abramowicz]

On Mon, Jan 31, 2005 at 10:40:10AM +0100, Tomasz Witek wrote:
> A to sie da na ipchainsach ?
> Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...
> 
> migracja na iptables albo ustawienie routingu i zew ip na maszynkach.


a kiedy nie mozna miec iptables to pozostaje ipmasqadm
poldek> desc ipmasqadm-0.4.2-5
To narzędzie pozwala na aktywowanie forwardowania portów lub
automatycznego forwardowania w kernelach 2.2.


i user osiągnie coś pośredniego, np z IP_ZEW1 określony ruch tcp/ip trafi
do IP_WEW1, i tak dalej.
Czyli tzw z iptables -j DNAT, czyli przkierowanie z jakiegos
adresy publicznego z karty np eth0 do sieci LAN odpowedni host na karcie eth1.

Defakto jak zrobic odpowiednik -j SNAT z iptables na ipchains/ipmasqadm
proponuje rozwiazac osobie która ma z tym problem :) i podzielic  się
jeśli to możliwe z grupą. Czyli "jak obrobić" pakiet idący z IP_WEW1 tak
zeby miał adres IP_ZEW1 ;-)

i tak jak reszta pisze: latwiej na jądrach 2.4. i 2.6. i iptables
 

abram
-- 
Z punktu widzenia Rewolucji Światowej ludzie zasadniczo 
dzielą się na dwie kategorie: na tych, którym trzeba 
natychmiast poderżnąć gardło i na tych, którym narazie nie trzeba.

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Jacek Rzęsista]

Dnia poniedziałek, 31 stycznia 2005 10:40, Tomasz Witek napisał:
[CIACH]
> A to sie da na ipchainsach ?
> Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...
>
> migracja na iptables albo ustawienie routingu i zew ip na maszynkach.
Da się :) Ja mam taki "skrypcik" do tego ;) :
LEGENDA:
12.34.56.78 - zewn. IP który chcemy przeNATować na wewn. IP
192.168.1.42 - wewn. IP
eth0 - zewn. interfejs
eth1 - wewn. interejs

ip route add nat 12.34.56.78 via 192.168.1.42
ip rule add nat 12.34.56.78 from 192.168.1.42
ip route flush cache
ipchains -I input -i eth0 -s 0/0 -d 12.34.56.78 -j ACCEPT
ipchains -I forward -s 0/0 -d 192.168.1.42 -j ACCEPT
ipchains -I output -i eth1 -s 0/0 -d 192.168.1.42 -j ACCEPT
ipchains -I input  -i eth1 -s 192.168.1.42 -d 0/0 -j ACCEPT
ipchains -I forward -s 12.34.56.78 -d 0/0 -j ACCEPT
ipchains -I output -i eth0 -s 12.34.56.78 -d 0/0 -j ACCEPT

Sprawdzone, działa. Sam pisałem - sam sprawdzałem ;)
-- 
Jacek Rzęsista
GG 61213

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Adam Zaleski]

A to sie da na ipchainsach ?
Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...
migracja na iptables albo ustawienie routingu i zew ip na maszynkach.

Racja przejdź na iptablesy. tam juz prosta sprawa.
___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

Re: zew IP

[Tomasz Witek]

Dnia 31-01-2005, pon o godzinie 22:47 +0100, frazir napisał(a):
> Witam mam takie pytanko a mianowicie, stoii sobie serwerek od dos 
> dlugiego czasu na jajku 2.2.22-6 ma eth0 do ktorego podlaczone jest 
> 2Mbps oraz eth1 jako wyjscie na LAN udostepnianie dziala poprzez taka 
> regolke
> /sbin/ipchains -F input
> /sbin/ipchains -F output
> /sbin/ipchains -F forward
> /sbin/ipchains -P input ACCEPT
> /sbin/ipchains -P output ACCEPT
> /sbin/ipchains -P forward DENY
> 
> /sbin/ipchains -A forward -s 192.168.1.2/32 -d 0/0 -j MASQ
> /sbin/ipchains -A forward -s 192.168.1.3/32 -d 0/0 -j MASQ
> /sbin/ipchains -A forward -s 192.168.1.4/32 -d 0/0 -j MASQ
> /sbin/ipchains -A forward -s 192.168.1.5/32 -d 0/0 -j MASQ
> /sbin/ipchains -A forward -s 192.168.1.6/32 -d 0/0 -j MASQ
> [...]
> itd. teraz sedno sprawy mam do rozdania pule adresow i nie wiem za 
> bardzo jak sie do tedo zabrac aby np komp ktory ma ip 192.168.1.4 mial 
> ip zew. czyli np 80.55.245.xxx i odpowiednie ktore mu przydziele ...
> 
> Pozdrawiam  za odp. z gory dziekuje...
> 

A to sie da na ipchainsach ?
Kiedys szukałem to wszystkie odpowiedzi które uzyskałem to ...

migracja na iptables albo ustawienie routingu i zew ip na maszynkach.

TiweK


___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

zew IP

[frazir]

Witam mam takie pytanko a mianowicie, stoii sobie serwerek od dos 
dlugiego czasu na jajku 2.2.22-6 ma eth0 do ktorego podlaczone jest 
2Mbps oraz eth1 jako wyjscie na LAN udostepnianie dziala poprzez taka 
regolke
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
/sbin/ipchains -P input ACCEPT
/sbin/ipchains -P output ACCEPT
/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -s 192.168.1.2/32 -d 0/0 -j MASQ
/sbin/ipchains -A forward -s 192.168.1.3/32 -d 0/0 -j MASQ
/sbin/ipchains -A forward -s 192.168.1.4/32 -d 0/0 -j MASQ
/sbin/ipchains -A forward -s 192.168.1.5/32 -d 0/0 -j MASQ
/sbin/ipchains -A forward -s 192.168.1.6/32 -d 0/0 -j MASQ
[...]
itd. teraz sedno sprawy mam do rozdania pule adresow i nie wiem za 
bardzo jak sie do tedo zabrac aby np komp ktory ma ip 192.168.1.4 mial 
ip zew. czyli np 80.55.245.xxx i odpowiednie ktore mu przydziele ...

Pozdrawiam  za odp. z gory dziekuje...
Fraz

___
pld-users-pl mailing list
pld-users-pl@pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl