URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24428
[ Назад ]

Исходное сообщение
"iptables nat"
Отправлено vadim911 , 24-Дек-02 11:54

Народ, есть тачка подключенная с ppp по выделенке, надо юзеров локальной сети обеспечить инетом. Ниже приведенная фича сработает?
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_nat
modprobe ipt_MASQUERADE
iptables -F; iptables -t nat -F; iptables -t mangle -F
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Содержание

RE: iptables nat,Dimez, 02:53 , 25-Дек-02
- RE: iptables nat,Varran, 11:21 , 25-Дек-02
  - RE: iptables nat,Vadim Fedorov, 13:27 , 25-Дек-02
    - RE: iptables nat,Sasha Bury, 17:03 , 25-Дек-02
      - RE: iptables nat,Vadim Fedorov, 22:49 , 25-Дек-02
        
        RE: iptables nat,Dimez, 00:49 , 26-Дек-02
        
        RE: iptables nat,Dimez, 00:50 , 26-Дек-02
RE: iptables nat,Sasha Bury, 16:49 , 25-Дек-02
- RE: iptables nat,Vadim Fedorov, 21:16 , 26-Дек-02
  - RE: iptables nat,Dimez, 02:27 , 27-Дек-02
    - RE: iptables nat,Dimez, 03:54 , 27-Дек-02
      - RE: iptables nat,Vadim Fedorov, 09:11 , 27-Дек-02
        
        RE: iptables nat,Sasha Bury, 11:06 , 27-Дек-02
        
        RE: iptables nat,vadim911, 13:59 , 27-Дек-02

Сообщения в этом обсуждении

"RE: iptables nat"
Отправлено Dimez , 25-Дек-02 02:53

Лучше ещё указать локалку :-)
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)

"RE: iptables nat"
Отправлено Varran , 25-Дек-02 11:21

>Лучше ещё указать локалку :-)
>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>
>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более медленная вещь и нужна для динамических адресов.

"RE: iptables nat"
Отправлено Vadim Fedorov , 25-Дек-02 13:27

>>Лучше ещё указать локалку :-)
>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>>
>>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
>
>Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более
>медленная вещь и нужна для динамических адресов.
Честно говоря, у меня возник данный вопрос из-за того, что я кучу перерыл док по маскардингу, но примеров для iptables практически нет. А вот что лучше MASQUARADE или SNAT я не знаю и хочу об этом спросить умных людей?

"RE: iptables nat"
Отправлено Sasha Bury , 25-Дек-02 17:03

>>>Лучше ещё указать локалку :-)
>>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>>>
>>>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
>>
>>Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более
>>медленная вещь и нужна для динамических адресов.
>Честно говоря, у меня возник данный вопрос из-за того, что я кучу
>перерыл док по маскардингу, но примеров для iptables практически нет. А
>вот что лучше MASQUARADE или SNAT я не знаю и хочу
>об этом спросить умных людей?
SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу. SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и хранить может долго.
Если есть выбор - SNAT предпочтительней.

"RE: iptables nat"
Отправлено Vadim Fedorov , 25-Дек-02 22:49

>SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам
>назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу.
>SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и
>хранить может долго.
>Если есть выбор - SNAT предпочтительней.
Т.е. если есть выделенная линии то лучше SNAT? Как тогда будет выглядить команда iptables?

"RE: iptables nat"
Отправлено Dimez , 26-Дек-02 00:49

iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IPADDR
IPADDR - адрес внешней сетевой карточки(внешний адрес роутера)

"RE: iptables nat"
Отправлено Dimez , 26-Дек-02 00:50

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to $IPADDR
Забыл, лучше добавить source(-s 192.168.0.0/24 - твоя локалка)

"RE: iptables nat"
Отправлено Sasha Bury , 25-Дек-02 16:49

>Народ, есть тачка подключенная с ppp по выделенке, надо юзеров локальной сети
>обеспечить инетом. Ниже приведенная фича сработает?
>modprobe ip_tables
>modprobe ip_conntrack
>modprobe iptable_nat
>modprobe ipt_MASQUERADE
>iptables -F; iptables -t nat -F; iptables -t mangle -F
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>echo 1 > /proc/sys/net/ipv4/ip_forward
Еще необходимо разрешить состояния:
iptables -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -t nat PREROUTING -i ppp0 -m state --state INVALID -j DROP
iptables -t nat PREROUTING -i ppp0 ! --syn -m state --state NEW -j DROP

"RE: iptables nat"
Отправлено Vadim Fedorov , 26-Дек-02 21:16

Мужики, все спасибо. Только возник еще один вопрос. При маскараде, что не работает upload по ftp? Как это можно победить?

"RE: iptables nat"
Отправлено Dimez , 27-Дек-02 02:27

modprobe ip_conntrack_ftp (вроде что-то так)

"RE: iptables nat"
Отправлено Dimez , 27-Дек-02 03:54

и ещё
modprobe ip_nat_ftp

"RE: iptables nat"
Отправлено Vadim Fedorov , 27-Дек-02 09:11

>и ещё
>modprobe ip_nat_ftp
Делал я и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается все за милую душу, а вот заливать не получается:(((((

"RE: iptables nat"
Отправлено Sasha Bury , 27-Дек-02 11:06

>>и ещё
>>modprobe ip_nat_ftp
>Делал я и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается
>все за милую душу, а вот заливать не получается:(((((
Сделай вот что:
iptraf - и посмотри в чем дело. Может ты просто SYN у себя отсекаешь. И еще в каком режиме работает клиент - активе или рассиве.

"RE: iptables nat"
Отправлено vadim911 , 27-Дек-02 13:59

>Сделай вот что:
>iptraf - и посмотри в чем дело.
Что я там должен увидеть?
Может ты просто SYN у
>себя отсекаешь.
Firwall как-такой не стоит. Кроме команд iptables указанных в треде ничего нет. Е
И еще в каком режиме работает клиент - активе
>или рассиве.
Вот чего не знаю того не знаю. Люди пробывали и в пассиве и активе.