форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите найти грабли при установке iptables"
Сообщение от dd on 05-Янв-04, 12:43  (MSK)
Третьи сутки бьюся, 4 раза ядро пересобирал, голова идет кругом, правила не записываются :( В общем у меня 2 компа дома и один проводок от городской сети, один из компов постоянно работает под Слакварью 8.0, вот там-тои хочу настроить НАТ. Для этого было сделано: -поставил ядро 2.4.22, после 3-ей попытки включил абсолютно все, что касается netfilter (включил в ядро, никаких модулей) -поставил сам iptables последней версии(так и не понял правда зачем его ставить, если все есть в ядре) -сетевые интерфейсы установлены и работают давно, eth0 - 192.168.4.189 (выход в городскую сеть) eth1 - 192.168.25.1 (к моему второму компу) lo - 127.0.0.1    :) Что из этого получилось: -сначала, когда в ядро включал опции только для NAT, не было таблиц filter и mangle, о чем мне вежливо напоминали при команде iptables -L   При команде iptables -L -t nat выводился список пустых цепочек. -теперь в ядро включено все, и он радостно выводит список пустых цепочек для всех таблиц, НО новые правила не добавляются. Итак, пытаюсь добавить iptables -t nat -A postrouting -s 192.168.25/24 -o eth0 -j SNAT --to-source 192.168.4.189 после недолгих раздумий мне выдается iptables: No chain/target/match by that name и так на все попытки добавить любое правило :( Причем если ставлю ключик -v, то он выдает, насколько я понял, пропарсенное правило, то есть вроде как понимает что надо сделать. А вот я не понимаю что надо сделать :(, понимаю только, что что-то сделал не так. Кстати, на момент попыток добавить правило провод, в eth0 не вставлен, поскольку пока что сеть идет через другую машину, где под виндой стоит простенький прокси. Не может ли это быть проблемой?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите найти грабли при установке iptables"
Сообщение от Junior on 05-Янв-04, 13:42  (MSK)
Писец.. Сорри. Вы где видели рекомендации про вкомпиляцию в ядро модулей для фильтра? Всё в модули! >-поставил сам iptables последней версии(так и не понял правда зачем его ставить, если все есть в ядре) Это сами бинарники ставятся (iptables, iptables-save и т.д). Если коротенько, минут на 40, то ставится новое для генерации библиотек и модулей которые включены при конфигурировании ядра. Кроме этого НУЖНО ставить patch-o-matic последний, где есть необходимые и дополнительные заплатки, модули. Причём ставить это нужно ДО установки нового iptables. Ну и в качестве бонус-ответа... Недурственно поправить в Makefile с исходниками iptables пути, куда будем устанавливать iptables и его сопровождение... Ежели этого не сделать, то при включённой опции CONFIG_MODVERSIONS=y возможен вариант НЕВОЗМОЖНОСТИ загрузки новых модулей, ежели новый iptables не стал в директорию "по-умолчанию". С Новым Годом!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите найти грабли при установке iptables"
	Сообщение от dd on 05-Янв-04, 14:01  (MSK)
	>Вы где видели рекомендации про вкомпиляцию в ядро модулей для фильтра? >Всё в модули! Гм, нигде не видел честно говоря, но нигде не видел также рекомендаций, что надо все в модули, то есть Ваша рекомендация первая. Я, конечно, не сильно разбираюсь чем на практике это отличается, но просто подумал, что если все включу в ядро, то будет меньше проблем с загрузкой модулей. >>-поставил сам iptables последней версии(так и не понял правда зачем его ставить, если все есть в ядре) >Это сами бинарники ставятся (iptables, iptables-save и т.д). То есть, в ядре компилируются только системные вызовы, которые потом использует сам iptables? >Кроме этого НУЖНО ставить patch-o-matic последний, где есть необходимые и дополнительные заплатки, Блин, вот этого я не сделал, наверное в этом и кроется проблема. >Ну и в качестве бонус-ответа... Недурственно поправить в Makefile с исходниками iptables >пути, куда будем устанавливать iptables и его сопровождение... >Ежели этого не сделать, то при включённой опции >CONFIG_MODVERSIONS=y >возможен вариант НЕВОЗМОЖНОСТИ загрузки новых модулей, ежели новый iptables не стал в >директорию "по-умолчанию". Путей не правил, то есть поставилось все в /usr/local/ Но ведь он не ругался на модули.....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите найти грабли при установке iptables"
	Сообщение от Junior on 05-Янв-04, 15:01  (MSK)
	>>Вы где видели рекомендации про вкомпиляцию в ядро модулей для фильтра? >>Всё в модули! >Гм, нигде не видел честно говоря, но нигде не видел также рекомендаций, >что надо все в модули, то есть Ваша рекомендация первая. Я, >конечно, не сильно разбираюсь чем на практике это отличается, но просто >подумал, что если все включу в ядро, то будет меньше проблем >с загрузкой модулей. Какие именно проблемы Вы встречали с загрузкой модулей?? >>Кроме этого НУЖНО ставить patch-o-matic последний, где есть необходимые и дополнительные заплатки, >Блин, вот этого я не сделал, наверное в этом и кроется проблема. Не факт, но как вариант. >>Ну и в качестве бонус-ответа... Недурственно поправить в Makefile с исходниками iptables >>пути, куда будем устанавливать iptables и его сопровождение... >>Ежели этого не сделать, то при включённой опции >>CONFIG_MODVERSIONS=y >>возможен вариант НЕВОЗМОЖНОСТИ загрузки новых модулей, ежели новый iptables не стал в >>директорию "по-умолчанию". >Путей не правил, то есть поставилось все в /usr/local/ >Но ведь он не ругался на модули..... Повторюсь. Если стоит 2 бинарника, то Ваше обновление просто... как бы это сказать.. напрасен, что ли. Загрузится дефолтный /sbin/iptables вместо /usr/local/sbin/iptables (правда если в командной строке указать полный путь к /usr/local.... тогда всё нормально будет..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите найти грабли при установке iptables"
	Сообщение от dd on 05-Янв-04, 14:09  (MSK)
	>Кроме этого НУЖНО ставить patch-o-matic последний, где есть необходимые и дополнительные заплатки, >модули. Причём ставить это нужно ДО установки нового iptables. Перечитал еще раз распространенный туториал по iptables. Пытался вспомнить почему же не поставил patch-o-matic. Вспомнил, цитата: Вы можете вообще пропустить обновление ядра, другими словами особой нужды в таком обновлении нет, однако patch-o-matic содержит действительно интересные обновления, и у вас вполне может возникнуть желание посмотреть на них. Ничего страшного не случится, если вы запустите эти команды и посмотрите какие обновления имеются. ЗЫ: вечером попробую его все-таки поставить.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите найти грабли при установке iptables"
Сообщение от Xela on 05-Янв-04, 15:02  (MSK)
>iptables -t nat -A postrouting -s 192.168.25/24 -o eth0 -j SNAT --to-source >192.168.4.189 POSTROUTING иммено так! ЗАГЛАВНЫМИ буквами
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите найти грабли при установке iptables"
	Сообщение от Racer on 08-Янв-04, 20:16  (MSK)
	>>iptables -t nat -A postrouting -s 192.168.25/24 -o eth0 -j SNAT --to-source >>192.168.4.189 >POSTROUTING иммено так! ЗАГЛАВНЫМИ буквами вот-вот, в iptables принято, что названия стандартых цепочек пишутся ЗАГЛАВНЫМИ буквами (OUTPUT, INPUT, POSTROUTING и т.д.), а пользовательские цепочки - маленькими... iptables -t nat -A POSTROUTING -s 192.168.25/24 -o eth0 -j SNAT --to-source 192.168.4.189 iptables -t nat -L должно работать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите найти грабли при установке iptables"
	Сообщение от dd on 09-Янв-04, 12:18  (MSK)
	>>iptables -t nat -A postrouting -s 192.168.25/24 -o eth0 -j SNAT --to-source >>192.168.4.189 >POSTROUTING иммено так! ЗАГЛАВНЫМИ буквами Ндааааааа, позор на мой недоразвитый мозг (посыпая голову пеплом и убирая на антресоль шаманский бубен). Большое спасибо, все сделал, почти все работает. Кроме этой строчки поставил форвард всех пакетов внутрь, Полез искать как сделать. чтобы внутри было видно сетевое окружение (или что делать, если его все-таки не будет)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Помогите найти грабли при установке iptables"
	Сообщение от dd on 09-Янв-04, 12:39  (MSK)
	кстати, не подскажите где найти инфу как организовано в винде отображение сетевого окружения (насколько я понимаю, там постоянно идет опрос сети по 137-139 порту?)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.