форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables и правила маскарада - почему не так?"
Сообщение от Angel Keeper on 04-Янв-03, 11:54  (MSK)
Для собирания статистики ipac'ом в iptables прописал правила маскарада для каждого отдельно взятого ip'шника в локалке. Все работает нормально и считает все замечательно, но появилось одно большое НО. А именно - если человек сидящий за компом сменит свой ip на другой (тот, которого в правилах для маскарада вообще нет), то доступ в инет он имеет, а вот статистика соответственно... Стал смотреть iptables -L -n в итоге увидел, что все написано нормально, исключая последнюю строчку где указано, что маскарад делается... для всех! То есть даже для тех, кого я не прописывал - any to any. Перерыл весь скрипт - ну нет там строки, которая указывала бы делать маскарад для всей сети! Есть только то, что я писал - каждому конкретному адресу. Вопрос ПОЧЕМУ???? Я уже задолбалдся, если честно... ну просто не понимаю почему так.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: iptables и правила маскарада - почему не так?"
Сообщение от LS on 04-Янв-03, 12:39  (MSK)
>Для собирания статистики ipac'ом в iptables прописал правила маскарада для каждого отдельно >взятого ip'шника в локалке. Все работает нормально и считает все замечательно, >но появилось одно большое НО. А именно - если человек сидящий >за компом сменит свой ip на другой (тот, которого в правилах >для маскарада вообще нет), то доступ в инет он имеет, а >вот статистика соответственно... Стал смотреть iptables -L -n в итоге увидел, >что все написано нормально, исключая последнюю строчку где указано, что маскарад >делается... для всех! То есть даже для тех, кого я не >прописывал - any to any. > >Перерыл весь скрипт - ну нет там строки, которая указывала бы делать >маскарад для всей сети! Есть только то, что я писал - >каждому конкретному адресу. Вопрос ПОЧЕМУ???? Я уже задолбалдся, если честно... ну >просто не понимаю почему так. а если сбросить все правила перед загрузкой новых?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от Angel Keeper on 04-Янв-03, 12:47  (MSK)
	>а если сбросить все правила перед загрузкой новых? Именно так я и делал. Причем специально, пробуя разные варианты, делал несколько ребутов. Всё равно по команде вывести все правила - последняя строчка "всем всё".
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от LS on 04-Янв-03, 12:58  (MSK)
	>>а если сбросить все правила перед загрузкой новых? > >Именно так я и делал. Причем специально, пробуя разные варианты, делал несколько >ребутов. Всё равно по команде вывести все правила - последняя строчка >"всем всё". ... MASQUERADE        This target is  only  valid  in  the  nat  table,  in  the        POSTROUTING  chain.   It  should only be used with dynami-        cally assigned IP (dialup)  connections:  if  you  have  a        static  IP  address, you should use the SNAT target. ... не в этом дело? в локалке у тебя я так понимаю адреса статические?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от Angel Keeper on 04-Янв-03, 13:00  (MSK)
	> MASQUERADE >       This target is  only > valid  in  the  nat  table,   >in  the >       POSTROUTING  chain.   >It  should only be used with dynami- >       cally assigned IP (dialup)   >connections:  if  you  have  a >       static  IP  address, >you should use the SNAT target. >... > >не в этом дело? в локалке у тебя я так понимаю адреса >статические? В локалке статические (иначе смысл считать трафик по адресам). И внешний адрес фиксированный.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от LS on 04-Янв-03, 13:08  (MSK)
	>> MASQUERADE >>       This target is  only >> valid  in  the  nat  table,   >>in  the >>       POSTROUTING  chain.   >>It  should only be used with dynami- >>       cally assigned IP (dialup)   >>connections:  if  you  have  a >>       static  IP  address, >>you should use the SNAT target. >>... >> >>не в этом дело? в локалке у тебя я так понимаю адреса >>статические? > >В локалке статические (иначе смысл считать трафик по адресам). И внешний адрес >фиксированный. тогда судя по ману тебе надо использовать snat.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от Angel Keeper on 04-Янв-03, 13:14  (MSK)
	Самый смех знаешь в чем? Я переделал nat в snat. И знаешь что? А в том-то и дело что ничего... в смысле ничего не изменилось - по прежнему кто угодно может поменять ip и попасть в инет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от Angel Keeper on 04-Янв-03, 13:24  (MSK)
	Дополнительно только что было установлено, что если не запускать сам ipac-ng то никто не получает доступ в инет. То есть по видимому сам ipac и предоставляет доступ. Причем такая фишка проявилась после перехода на snat. С обычным маскарадом все было пучком. Выглядит правило iptables так. iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -j SNAT --to 217.106.X.X
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от LS on 04-Янв-03, 13:33  (MSK)
	с ipac-ng то я не знаком - может и он что чудит
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от LS on 04-Янв-03, 13:30  (MSK)
	>Самый смех знаешь в чем? Я переделал nat в snat. И знаешь >что? А в том-то и дело что ничего... в смысле ничего >не изменилось - по прежнему кто угодно может поменять ip и >попасть в инет. от того, что ты цель другую поставил лишнее правило не уберется. ты его либо где-то добавляешь, либо где-то не вычищаешь - чудес на свете не бывает. попробуй просто почистить таблицы не загружая новых правил и проверь появится ли твое any any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от Angel Keeper on 04-Янв-03, 13:33  (MSK)
	>от того, что ты цель другую поставил лишнее правило не уберется. ты >его либо где-то добавляешь, либо где-то не вычищаешь - чудес на >свете не бывает. попробуй просто почистить таблицы не загружая новых правил >и проверь появится ли твое any any Грабли разрешились самым странным образом и ипак тут оказался ни при чем. Всё дело было в снате. Если с такой настройкой получалось полное фуфло. iptables -t nat -A POSTROUTING -s 192.168.0.10/255.255.255.0 -j SNAT --to 217.106.Х.Х То с такой грабли исчезли. iptables -t nat -A POSTROUTING -s 192.168.0.10 -j SNAT --to 217.106.Х.Х
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: iptables и правила маскарада - почему не так?"
	Сообщение от LS on 04-Янв-03, 13:37  (MSK)
	>>от того, что ты цель другую поставил лишнее правило не уберется. ты >>его либо где-то добавляешь, либо где-то не вычищаешь - чудес на >>свете не бывает. попробуй просто почистить таблицы не загружая новых правил >>и проверь появится ли твое any any > >Грабли разрешились самым странным образом и ипак тут оказался ни при чем. >Всё дело было в снате. Если с такой настройкой получалось полное >фуфло. > >iptables -t nat -A POSTROUTING -s 192.168.0.10/255.255.255.0 -j SNAT --to 217.106.Х.Х ну так здесь у тебя вся сеть 192.168.0.X завернута - каждый хост из нее через это правило и проскакивал... > >То с такой грабли исчезли. > >iptables -t nat -A POSTROUTING -s 192.168.0.10 -j SNAT --to 217.106.Х.Х
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.