ЗЫ петя - невздумай каментить, прибью нафик.забыл
freebsd все через divert сделано, тоесть демон natd висит
пров, это такой hdsl с мостом, настроеным на половину криворуким дядькой, на половину мной
.. пароля нет, к прову обращацо не буду, сам хочу разобраться
локалко 192(ну как у всех белых людей)
*надо поспать :P
Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
указывается исходящий интерфейс, например:
/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADEдля ната так:
/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1интерфейсы и ИП ставишь свои :)
>
>Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
>указывается исходящий интерфейс, например:
>/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADE
>
>для ната так:
>/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1
>
>интерфейсы и ИП ставишь свои :)
улыбнуло.. спасибо конечно, ип настоящий, все дела.. ни нат ни маскарад не работают
как еще можно попробовать ?
>>
>>Для маскарадинга, удобно когда ИП внешнего интерфейса выдаётся динамически,
>>указывается исходящий интерфейс, например:
>>/sbin/iptables -t nat -A POSTROPUTING -o ppp0 -j MASQUERADE
>>
>>для ната так:
>>/sbin/iptables -t nat -A POSTROPUTING -o eth1 -j SNAT --to-source 192.168.0.1
>>
>>интерфейсы и ИП ставишь свои :)
>
>
>улыбнуло.. спасибо конечно, ип настоящий, все дела.. ни нат ни маскарад не
>работают
>как еще можно попробовать ?
удедица что ip forwarding включенб в iptables коректно задано правило с трансляциев и по данной цепочки есть движение вот и все/а вообще вас вашей фрей в больницу надо поскольку уже 20 раз было сказано что фря ета не полноценная и тупая ОС
Петя твою мать, ударься головой ап стену, только сильноЕще идеи !!??
>Петя твою мать, ударься головой ап стену, только сильно
>
>Еще идеи !!??
Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
баклан
>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>бакланДавно бычки в глазах шипели?! Гореть тебе в аду !!!
>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>баклан
>
>Давно бычки в глазах шипели?! Гореть тебе в аду !!!
Опиши поподробнее сети и интерфесы свои, что , куда, а то так трудно.
И покажи таблицы iptables.
>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>баклан
>
>Давно бычки в глазах шипели?! Гореть тебе в аду !!!
закрой рот
если тебя злит правда то попытайся успокоится и пересмотреть некоторые вещия уверен, что у тебя проблема в чем-то простом
а почему я сказал чтоб ты выбросил сваю фрю потому, что например мне чтоб тот же нат с боевой машины перенести на новую машину уйдет 30 минут с учетом инсталяции ОС я использую линукс для таких вот целей зделал кучу скриптов с настройками ната, фаервола и тд
завтро тебе скажут нужно запустить 3 самбы ты будет неделю башкой бится и писать тупые топики "скуцаСАМБА скучкабинд" и тд это просто от того что вы как инвалиды в били в голову одно и тоже и не слушаете ни кого
Ненадо было уж настолько сильно биццо.
>>>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь день сидеть и тыкать
>>>баклан
>>
>>Давно бычки в глазах шипели?! Гореть тебе в аду !!!
>
>
>закрой рот
>если тебя злит правда то попытайся успокоится и пересмотреть некоторые вещи
>
>я уверен, что у тебя проблема в чем-то простом
>
>а почему я сказал чтоб ты выбросил сваю фрю потому, что например
>мне чтоб тот же нат с боевой машины перенести на новую
>машину уйдет 30 минут с учетом инсталяции ОС я использую линукс
>для таких вот целей зделал кучу скриптов с настройками ната, фаервола
>и тд
>
>завтро тебе скажут нужно запустить 3 самбы ты будет неделю башкой бится
>и писать тупые топики "скуцаСАМБА скучкабинд" и тд это просто от
>того что вы как инвалиды в били в голову одно и
>тоже и не слушаете ни когоТвое место тут - http://lleo.aha.ru/na/
>>Петя твою мать, ударься головой ап стену, только сильно
>>
>>Еще идеи !!??
>
>
>Да я б тебе башку оторвал тебе она зачем наверное чтоб весь
>день сидеть и тыкать
>баклан
Твое место тут - http://lleo.aha.ru/na/
>а вообще вас вашей фрей в больницу надо поскольку уже 20 раз
>было сказано что фря ета не полноценная и тупая ОС
Твое место тут - http://lleo.aha.ru/na/
2 billВсе очень банально:
eth0 192.168.1.100 192.168.1.0/24
eth1 207.68.160.190 gw 207.68.160.1 (/24)Не буду расфусоливать про фаервол, считайте что он весть в ACCEPT
net.ipv4.ip_forward = 1
-t *nat
Пробовал по всякому, ничего не выходит.
тоесть например есть машина 192.168.1.1 у нее gw 192.168.1.100
пробовал
-s 192.168.1.0/24 -j SNAT --to(--source) 207.68.160.190
и -o eth1 -j MASQUERADE
и в разный вариациях, ничего не работает.
route -n
обычный
metric 1 добавлял, не помогает. Пакеты ходят - счетчики в iptables показывают.
Запускал tcpdump, iptraf чесно говоря не понял, пакеты уходят и возвращаються, какбудто все ок.. но это не так, на днях еще раз попробую, есть мысль одна.
а делаю -A PREROUTING -i eth0 -j DNAT --to 207.68.160.190 пинги ходить начинают, но все остальное естно не работает.. я запутался уже.
>2 bill
>
>Все очень банально:
>eth0 192.168.1.100 192.168.1.0/24
>eth1 207.68.160.190 gw 207.68.160.1 (/24)
>
>Не буду расфусоливать про фаервол, считайте что он весть в ACCEPT
>net.ipv4.ip_forward = 1
>-t *nat
>Пробовал по всякому, ничего не выходит.
>тоесть например есть машина 192.168.1.1 у нее gw 192.168.1.100
>пробовал
>-s 192.168.1.0/24 -j SNAT --to(--source) 207.68.160.190
>и -o eth1 -j MASQUERADE
>и в разный вариациях, ничего не работает.
>route -n
>обычный
>metric 1 добавлял, не помогает. Пакеты ходят - счетчики в iptables показывают.
>
>Запускал tcpdump, iptraf чесно говоря не понял, пакеты уходят и возвращаються, какбудто
>все ок.. но это не так, на днях еще раз попробую,
>есть мысль одна.
>а делаю -A PREROUTING -i eth0 -j DNAT --to 207.68.160.190 пинги ходить
>начинают, но все остальное естно не работает.. я запутался уже.2 exn
твои слова:
>в глубине души я чуствую что гдето очень сильно тупанул, но вот где ...
помоги другим найти это место и если просят что-то показать просто покажи, что-б тебя не посылали в маны или ещё куда.правило писать надо не повсякому а как положено, указание исходящего интерфейса обязательно правило с DNAT в твоей редакции не уместно и вредно.
если необходимо ограничить пользователей на NAT можешь указывать диапозон адресов
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 207.68.160.190а лучше засунуть в /etc/sysconfig/iptables
------------------------------------
*nat
:PREROUTING ACCEPT [0:65535]
:POSTROUTING ACCEPT [0:65535]
:OUTPUT ACCEPT [0:65535]
-A POSTROUTING -o eth1 -j SNAT --to-source 207.68.160.190
COMMIT
*filter
:INPUT ACCEPT [19:65535]
:FORWARD ACCEPT [9:65535]
:OUTPUT ACCEPT [1:65500]
COMMIT
-------------------------------------
ну это если всё в ACCEPT
выполнить
# /etc/rc.d/init.d/iptables start (или restart)ну и на всякий случай вывод
cat /proc/sys/net/ipv4/ip_forwardубедись, что загружены следующие модули
# lsmod |grep ip
iptable_filter 3137 1
ipt_MASQUERADE 3777 1
iptable_nat 7749 1
ip_nat 18901 2 ipt_MASQUERADE,iptable_nat
ip_conntrack 52113 4 ipt_state,ipt_MASQUERADE,iptable_nat,ip_nat
nfnetlink 6617 2 ip_nat,ip_conntrack
ip_tables 20033 6 ipt_mac,ipt_state,ipt_multiport,iptable_filter,ipt_MASQUERADE,iptable_nat
гхм.. извените.. я писал что пробовал всякое, а все привести не могу, непомню точно просто.>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 207.68.160.190
пробовал, не катит
>-A POSTROUTING -o eth1 -j SNAT --to-source 207.68.160.190
тожеядро как я писал было и из коробки, и модулями собирал, и немодулями, в логах про это
ничего нет.
Я вот думаю, если я могу с этой машины в нет, а те что за натяться не могут.. это могут быть козни провайдера ? с ttl уже плясал, не помоглоеще идеи ?!
Вы извените меня пожалуста, просто я хотел както объяснить что это глюк, самый что ни наесть...
Хочу перефразировать вопрос, как отследить где именно происходит глюк, потомучто я вижу перед собой 100% рабочую и логичную конфу, а оно не работает, ядро отпадает, пробовал разные, iptables попробую переставить - вдруг поможет. Ни каких ошибок и явных прям сбоев в системе не наблюдаю.. странно както
На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?
>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?нет конечно
>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?тоесть только с клиентов, на внешнем они уходят !! и возвращаються !! но назад через внутренний не идут
>>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?
>
>тоесть только с клиентов, на внешнем они уходят !! и возвращаються !!
>но назад через внутренний не идуттогда в студию выводы комманд
iptables -L -v -n
и
iptables -t nat -L -v -n
если что-то делал в МАНГЛЕ и её сюда
>если что-то делал в МАНГЛЕ и её сюда
В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное#iptables -t mangle --list -n -v
FATAL: Module ip_tables not found.
iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.я уверен, бок гдето рядом
>>если что-то делал в МАНГЛЕ и её сюда
>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>
>
>#iptables -t mangle --list -n -v
>
>FATAL: Module ip_tables not found.
>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>you need to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
>
>я уверен, бок гдето рядом
В дефолтной слаке нет модуля iptable_mangle ?
>>>если что-то делал в МАНГЛЕ и её сюда
>>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>>
>>
>>#iptables -t mangle --list -n -v
>>
>>FATAL: Module ip_tables not found.
>>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>>you need to insmod?)
>>Perhaps iptables or your kernel needs to be upgraded.
>>
>>я уверен, бок гдето рядом
>
>
>В дефолтной слаке нет модуля iptable_mangle ?По идее должно быть, а вообще я рад что это не я протормозил, а линух глюканул, теперь понимаю за что любят виндовс :D
>>>>если что-то делал в МАНГЛЕ и её сюда
>>>В ней я какразтоки ничего делать не могу, сыпит ошибку чтото невразумительное
>>>
>>>
>>>#iptables -t mangle --list -n -v
>>>
>>>FATAL: Module ip_tables not found.
>>>iptables v1.3.5: can't initialize iptables table `mangle': Table does not exist (do
>>>you need to insmod?)
>>>Perhaps iptables or your kernel needs to be upgraded.
>>>
>>>я уверен, бок гдето рядом
>>
>>
>>В дефолтной слаке нет модуля iptable_mangle ?
>
>По идее должно быть, а вообще я рад что это не я
>протормозил, а линух глюканул, теперь понимаю за что любят виндовс :D
>Это типа шутка?
>Это типа шутка?У мну щас настроение фиговое, пытаюсь взбодриццо..
из гугла :
>.....переустановка linux не помогла....
:Dустал нафик.
ВСЕМ СПАСИБО!
наверное я просто запутался в ядрах, одно наверное глючило, а я писал правило так, а второе например было нормальное, но я чтото сделал подругому... O.o буду пробовать дальше, теперь хоть понятно что глючит2PixeL спасибо что наставил на путь истинный!!!
попробую отпишусь
>наверное я просто запутался в ядрах, одно наверное глючило, а я писал
>правило так, а второе например было нормальное, но я чтото сделал
>подругому... O.o буду пробовать дальше, теперь хоть понятно что глючит
>
>2PixeL спасибо что наставил на путь истинный!!!
>
>попробую отпишусь
>
>
Брось пересобирать ядра, неблагодарное занятие.
Загрузи дефолтное ядро , патрик лучше тебя в ядрах сооображает, и с этим ядром работай.
>Брось пересобирать ядра, неблагодарное занятие.
>Загрузи дефолтное ядро , патрик лучше тебя в ядрах сооображает, и с
>этим ядром работай.
немогу, vserver
и к томуже эта мессага на патриковом ядре!! гыы
>>На внутреннем интерфейсе tcpdump, пакеты с клиентов и на клиентов есть?
>
>нет конечно
что нет? ни с клиентов, ни на клиентов?
пожалуйста конкретней ответ
если с клиентов запросы есть, tcpdump на внешнем интерфейсе, запросы с клиентов уходят уже с твоим внешним ИП (нужно просто догадатся, что это запросы клиентов)
ответы на запросы есть?
рано обрадовался..
с mangle разобрался, всеравно не работает..всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше воевать
>рано обрадовался..
>с mangle разобрался, всеравно не работает..
>
>всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше
>воеватьон для ната, в принцепе, не нужен
покажи
iptables -L -v -n
iptables -t nat -L -v -n
>>рано обрадовался..
>>с mangle разобрался, всеравно не работает..
>>
>>всё, забейте, это день у меня такой фиговый, высплюсь и буду дальше
>>воевать
>
>он для ната, в принцепе, не нужен
>покажи
>iptables -L -v -n
>iptables -t nat -L -v -n#iptables -L -v -n
Chain INPUT (policy ACCEPT 48 packets, 4888 bytes)
pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 36 packets, 5537 bytes)
pkts bytes target prot opt in out source destination#iptables -t nat -L -v -n (один из десятков вариантов)
Chain PREROUTING (policy ACCEPT 5 packets, 523 bytes)
pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0 to:207.68.160.190Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destinationчто еще показать ?
ппц, за каковата дауна держат, балин, больше на форуме не тусуюсь
ЗЫ цепочки по нулям, это я тока что добавил правило, там где нат обычто не по нулям..
Я думаю надо поискать альтернативу iptables'y для ната, чтото с ним не то..
> в глубине души я чуствую что гдето очень сильно тупанул, но вот где ...Ну вот там, где полез в Линя, отказавшись от Фри :):):)
>Ну вот там, где полез в Линя, отказавшись от Фри :):):)К сожалению фри не поддержтвает тот хлам на который я хочу поменять :)
>Chain INPUT (policy ACCEPT 48 packets, 4888 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
>
>Chain OUTPUT (policy ACCEPT 36 packets, 5537 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
>
>#iptables -t nat -L -v -n (один из десятков вариантов)
>
>Chain PREROUTING (policy ACCEPT 5 packets, 523 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
>
>Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
> 0 0 SNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0 to:207.68.160.190
>
>Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in
> out source
>
> destination
>Почему не видно движения в цепочке форвард?
Простой скрипт, подправь под свою сеть...
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADEи это все ? я бы поверил в более изощреные методы (:
А чем собственно фря помешала? Работает? Есть не просит? Нафиг тогда цапать?
Подыму на верх..Кто знает какиенибудь более изощренные методы организации ната для линуха ?
ЗЫ iptables не предлагайте пожалуста
>Кто знает какиенибудь более изощренные методы организации ната для линуха ?
да, мсье понимает толк в извращениях...
>ЗЫ iptables не предлагайте пожалуста
на iptables можно сделать все, что угодно.
накрайняк - ipq тебе в помощь (-j OUTPUT)к сожалению оригинального сообщения не вижу. глюк форума? что сделать-то надо?
\^P^/
Гыы, паламал...Оказалось траблы с маком на внешнем интерфейсе были.
>Гыы, паламал...
>
>Оказалось траблы с маком на внешнем интерфейсе были.
Хе.. а я уже хотел предложить выкинуть IPFW и включить PF-Filter.
>Хе.. а я уже хотел предложить выкинуть IPFW и включить PF-Filter.А это тут вообще причем.. та не, забейте уже, это долбаный sis по дефолту подымает FF:FF:FF... короче мудак он, стока раз на клавиши давил изза него. Гореть разработчикам
в аду!