forum.opennet.ru - "iptables nat" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables nat"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables nat"
Сообщение от vadim911 on 24-Дек-02, 11:54 (MSK)
Народ, есть тачка подключенная с ppp по выделенке, надо юзеров локальной сети обеспечить инетом. Ниже приведенная фича сработает? modprobe ip_tables modprobe ip_conntrack modprobe iptable_nat modprobe ipt_MASQUERADE iptables -F; iptables -t nat -F; iptables -t mangle -F iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: iptables nat, Dimez, 02:53 , 25-Дек-02, (1)
- RE: iptables nat, Varran, 11:21 , 25-Дек-02, (2)
  - RE: iptables nat, Vadim Fedorov, 13:27 , 25-Дек-02, (3)
    - RE: iptables nat, Sasha Bury, 17:03 , 25-Дек-02, (5)
      - RE: iptables nat, Vadim Fedorov, 22:49 , 25-Дек-02, (6)
        
        RE: iptables nat, Dimez, 00:49 , 26-Дек-02, (7)
        
        RE: iptables nat, Dimez, 00:50 , 26-Дек-02, (8)
RE: iptables nat, Sasha Bury, 16:49 , 25-Дек-02, (4)
- RE: iptables nat, Vadim Fedorov, 21:16 , 26-Дек-02, (9)
  - RE: iptables nat, Dimez, 02:27 , 27-Дек-02, (10)
    - RE: iptables nat, Dimez, 03:54 , 27-Дек-02, (11)
      - RE: iptables nat, Vadim Fedorov, 09:11 , 27-Дек-02, (12)
        
        RE: iptables nat, Sasha Bury, 11:06 , 27-Дек-02, (13)
        
        RE: iptables nat, vadim911, 13:59 , 27-Дек-02, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: iptables nat"

Сообщение от Dimez on 25-Дек-02, 02:53  (MSK)

Лучше ещё указать локалку :-)
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: iptables nat"

Сообщение от Varran on 25-Дек-02, 11:21  (MSK)

>Лучше ещё указать локалку :-)
>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>
>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более медленная вещь и нужна для динамических адресов.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: iptables nat"

Сообщение от Vadim Fedorov on 25-Дек-02, 13:27  (MSK)

>>Лучше ещё указать локалку :-)
>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>>
>>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
>
>Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более
>медленная вещь и нужна для динамических адресов.
Честно говоря, у меня возник данный вопрос из-за того, что я кучу перерыл док по маскардингу, но примеров для iptables практически нет. А вот что лучше MASQUARADE или SNAT я не знаю и хочу об этом спросить умных людей?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: iptables nat"

Сообщение от Sasha Bury on 25-Дек-02, 17:03  (MSK)

>>>Лучше ещё указать локалку :-)
>>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
>>>
>>>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
>>
>>Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более
>>медленная вещь и нужна для динамических адресов.
>Честно говоря, у меня возник данный вопрос из-за того, что я кучу
>перерыл док по маскардингу, но примеров для iptables практически нет. А
>вот что лучше MASQUARADE или SNAT я не знаю и хочу
>об этом спросить умных людей?
SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу. SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и хранить может долго.
Если есть выбор - SNAT предпочтительней.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: iptables nat"

Сообщение от Vadim Fedorov on 25-Дек-02, 22:49  (MSK)

>SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам
>назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу.
>SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и
>хранить может долго.
>Если есть выбор - SNAT предпочтительней.
Т.е. если есть выделенная линии то лучше SNAT? Как тогда будет выглядить команда iptables?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: iptables nat"

Сообщение от Dimez on 26-Дек-02, 00:49  (MSK)

iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IPADDR
IPADDR - адрес внешней сетевой карточки(внешний адрес роутера)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: iptables nat"

Сообщение от Dimez on 26-Дек-02, 00:50  (MSK)

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to $IPADDR
Забыл, лучше добавить source(-s 192.168.0.0/24 - твоя локалка)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: iptables nat"

Сообщение от Sasha Bury on 25-Дек-02, 16:49  (MSK)

>Народ, есть тачка подключенная с ppp по выделенке, надо юзеров локальной сети
>обеспечить инетом. Ниже приведенная фича сработает?
>modprobe ip_tables
>modprobe ip_conntrack
>modprobe iptable_nat
>modprobe ipt_MASQUERADE
>iptables -F; iptables -t nat -F; iptables -t mangle -F
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>echo 1 > /proc/sys/net/ipv4/ip_forward
Еще необходимо разрешить состояния:
iptables -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -t nat PREROUTING -i ppp0 -m state --state INVALID -j DROP
iptables -t nat PREROUTING -i ppp0 ! --syn -m state --state NEW -j DROP

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: iptables nat"

Сообщение от Vadim Fedorov on 26-Дек-02, 21:16  (MSK)

Мужики, все спасибо. Только возник еще один вопрос. При маскараде, что не работает upload по ftp? Как это можно победить?

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: iptables nat"

Сообщение от Dimez on 27-Дек-02, 02:27  (MSK)

modprobe ip_conntrack_ftp (вроде что-то так)

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: iptables nat"

Сообщение от Dimez on 27-Дек-02, 03:54  (MSK)

и ещё
modprobe ip_nat_ftp

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: iptables nat"

Сообщение от Vadim Fedorov on 27-Дек-02, 09:11  (MSK)

>и ещё
>modprobe ip_nat_ftp
Делал я  и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается все за милую душу, а вот заливать не получается:(((((

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: iptables nat"

Сообщение от Sasha Bury on 27-Дек-02, 11:06  (MSK)

>>и ещё
>>modprobe ip_nat_ftp
>Делал я  и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается
>все за милую душу, а вот заливать не получается:(((((
Сделай вот что:
iptraf - и посмотри в чем дело. Может ты просто SYN у себя отсекаешь. И еще в каком режиме работает клиент - активе или рассиве.

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: iptables nat"

Сообщение от vadim911 on 27-Дек-02, 13:59  (MSK)

>Сделай вот что:
>iptraf - и посмотри в чем дело.
Что я там должен увидеть?
Может ты просто SYN у
>себя отсекаешь.
Firwall как-такой не стоит. Кроме команд iptables указанных в треде ничего нет. Е
И еще в каком режиме работает клиент - активе
>или рассиве.
Вот чего не знаю того не знаю. Люди пробывали и в пассиве и активе.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: iptables nat"
Сообщение от Dimez on 25-Дек-02, 02:53 (MSK)
Лучше ещё указать локалку :-) iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: iptables nat"
	Сообщение от Varran on 25-Дек-02, 11:21 (MSK)
	>Лучше ещё указать локалку :-) >iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE > >Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO) Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более медленная вещь и нужна для динамических адресов.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: iptables nat"
	Сообщение от Vadim Fedorov on 25-Дек-02, 13:27 (MSK)
	>>Лучше ещё указать локалку :-) >>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE >> >>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO) > >Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более >медленная вещь и нужна для динамических адресов. Честно говоря, у меня возник данный вопрос из-за того, что я кучу перерыл док по маскардингу, но примеров для iptables практически нет. А вот что лучше MASQUARADE или SNAT я не знаю и хочу об этом спросить умных людей?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: iptables nat"
	Сообщение от Sasha Bury on 25-Дек-02, 17:03 (MSK)
	>>>Лучше ещё указать локалку :-) >>>iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE >>> >>>Почитай в доках(/usr/doc/Linux-HOWTOs/IP-Masquerade-HOWTO) >> >>Почему же MASQUARADE а не SNAT ? Я так понимаю MASQUARADE более >>медленная вещь и нужна для динамических адресов. >Честно говоря, у меня возник данный вопрос из-за того, что я кучу >перерыл док по маскардингу, но примеров для iptables практически нет. А >вот что лучше MASQUARADE или SNAT я не знаю и хочу >об этом спросить умных людей? SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу. SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и хранить может долго. Если есть выбор - SNAT предпочтительней.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: iptables nat"
	Сообщение от Vadim Fedorov on 25-Дек-02, 22:49 (MSK)
	>SNAT беспорно лучше. Но если вы имеете динамическое подключение и IP вам >назначается, то маскирование необходимо. MASQUERADE имеет своиство "забывать" о соединениях сразу. >SNAT (как и DNAT) сохраняет данные обо всех потерянных соединениях и >хранить может долго. >Если есть выбор - SNAT предпочтительней. Т.е. если есть выделенная линии то лучше SNAT? Как тогда будет выглядить команда iptables?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: iptables nat"
	Сообщение от Dimez on 26-Дек-02, 00:49 (MSK)
	iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to $IPADDR IPADDR - адрес внешней сетевой карточки(внешний адрес роутера)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: iptables nat"
	Сообщение от Dimez on 26-Дек-02, 00:50 (MSK)
	iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to $IPADDR Забыл, лучше добавить source(-s 192.168.0.0/24 - твоя локалка)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "RE: iptables nat"
Сообщение от Sasha Bury on 25-Дек-02, 16:49 (MSK)
>Народ, есть тачка подключенная с ppp по выделенке, надо юзеров локальной сети >обеспечить инетом. Ниже приведенная фича сработает? >modprobe ip_tables >modprobe ip_conntrack >modprobe iptable_nat >modprobe ipt_MASQUERADE >iptables -F; iptables -t nat -F; iptables -t mangle -F >iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE >echo 1 > /proc/sys/net/ipv4/ip_forward Еще необходимо разрешить состояния: iptables -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -t nat PREROUTING -i ppp0 -m state --state INVALID -j DROP iptables -t nat PREROUTING -i ppp0 ! --syn -m state --state NEW -j DROP
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: iptables nat"
	Сообщение от Vadim Fedorov on 26-Дек-02, 21:16 (MSK)
	Мужики, все спасибо. Только возник еще один вопрос. При маскараде, что не работает upload по ftp? Как это можно победить?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: iptables nat"
	Сообщение от Dimez on 27-Дек-02, 02:27 (MSK)
	modprobe ip_conntrack_ftp (вроде что-то так)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: iptables nat"
	Сообщение от Dimez on 27-Дек-02, 03:54 (MSK)
	и ещё modprobe ip_nat_ftp
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: iptables nat"
	Сообщение от Vadim Fedorov on 27-Дек-02, 09:11 (MSK)
	>и ещё >modprobe ip_nat_ftp Делал я и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается все за милую душу, а вот заливать не получается:(((((
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: iptables nat"
	Сообщение от Sasha Bury on 27-Дек-02, 11:06 (MSK)
	>>и ещё >>modprobe ip_nat_ftp >Делал я и ip_nat_ftp и ip_conntrack_ftp и т.д. С ftp качается >все за милую душу, а вот заливать не получается:((((( Сделай вот что: iptraf - и посмотри в чем дело. Может ты просто SYN у себя отсекаешь. И еще в каком режиме работает клиент - активе или рассиве.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: iptables nat"
	Сообщение от vadim911 on 27-Дек-02, 13:59 (MSK)
	>Сделай вот что: >iptraf - и посмотри в чем дело. Что я там должен увидеть? Может ты просто SYN у >себя отсекаешь. Firwall как-такой не стоит. Кроме команд iptables указанных в треде ничего нет. Е И еще в каком режиме работает клиент - активе >или рассиве. Вот чего не знаю того не знаю. Люди пробывали и в пассиве и активе.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх