форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables & dnat "
Сообщение от Slavik2003 on 21-Янв-03, 15:35  (MSK)
Гуру, плиз хелп :) Есть след. задача: имеются две машины (redhat 7.3 (2.4.18-3), iptables 1.2.5)  с адресами ххх.ххх.ххх.ххх и ууу.ууу.ууу.ууу (в разных сетях!) на ххх.ххх.ххх.ххх прописано след.: iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.ууу При telnet/ping  на любой хост (zzz.zzz.zzz.zzz) меня видят как ууу.ууу.ууу.ууу, НО все ответы с этого хоста валятся на ууу.ууу.ууу.ууу, что и НАДО! Так вот, как мне перенаправить пакеты пришедшие с zzz.zzz.zzz.zzz на ууу.ууу.ууу.ууу обратно на xxx.xxx.xxx.xxx? пробовал iptables -A PREROUTING -t nat  -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx (т.е. якобы вообще весь траф перенапрвлял, а не только порты или протоколы) так же пробовал ipchains и ip rule не ходят пакетики... Народ, что делать, может я что-то недоделываю?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: iptables & dnat "
Сообщение от Boytronic on 21-Янв-03, 17:50  (MSK)
Насколько мне видиться решение проблемы лежит в том что нет обратной связи между ууу.ууу.ууу.ууу и ххх.ххх.ххх.ххх ууу прокидыват пакеты с zzz на ххх а вот потверждение об приеме пакетов от ххх для ууу не прохордят....(служебная информация пакетов...)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 21-Янв-03, 18:23  (MSK)
	>Насколько мне видиться решение проблемы лежит в том что нет обратной связи >между >ууу.ууу.ууу.ууу и ххх.ххх.ххх.ххх >ууу прокидыват пакеты с zzz на ххх а вот потверждение об приеме >пакетов от ххх для ууу не прохордят....(служебная информация пакетов...) В том то и дело, что с yyy на xxx ничего не валится :( т.е. ни "tcpdump" ни "iptables -A INPUT -j LOG --log-level debug" не отображают входящих пакетов на ххх. В то время как на zzz видны IN пакеты с xxx, а на yyy с zzz. Мне кажется, что что-то не то с yyy (чего-то не хватает :( а чего не знаю...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: iptables & dnat "
Сообщение от trin on 21-Янв-03, 18:26  (MSK)
Думаю, ip_conntrack не работает или не подгружен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 21-Янв-03, 18:42  (MSK)
	>Думаю, ip_conntrack не работает или не подгружен. lsmod: ip_conntrack           21132   1  (autoclean) [iptable_nat] т.е. подгружен.... я использую на xxx только: iptables -t nat -F iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.ууу а на yyy только: iptables -t nat -F iptables -A PREROUTING -t nat  -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx + логи ведутся.., может на ууу надо использовать INPUT, FORWARD или OUTPUT? Дело в том, что судя по доке DNAT сам должен пересылать пакеты с ууу на ххх или ему еще как-то помогать надо?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: iptables & dnat "
	Сообщение от trin on 21-Янв-03, 22:31  (MSK)
	не очень понятно, является ли один из хостов шлюзом обеих сетей xxx, yyy - из условия это не видно, но как я понял, является, иначе SNAT как бы ни при чем. Если одна из машин - шлюз, то нужно безусловно описать еще и форвардный трафик на шлюзе. А на второй машине тогда nat зачем? Если посмотреть, что происходит: первый хост все пакеты от ххх (от себя?) перемаркирует в от yyy, а второй хост все макеты для yyy (для себя?) перемаркирует для xxx... Непонятна цель такой перемаркировки. Можно уточнить схему сетей?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 10:18  (MSK)
	>не очень понятно, является ли один из хостов шлюзом обеих сетей xxx, >yyy - из условия это не видно, но как я понял, >является, иначе SNAT как бы ни при чем. Если одна из >машин - шлюз, то нужно безусловно описать еще и форвардный трафик >на шлюзе. А на второй машине тогда nat зачем? Если посмотреть, >что происходит: >первый хост все пакеты от ххх (от себя?) перемаркирует в от yyy, >а второй хост все макеты для yyy (для себя?) перемаркирует для >xxx... Непонятна цель такой перемаркировки. Можно уточнить схему сетей? ххх, ууу и zzz находятся в абсолютно разных сетях и шлюзами друг для друга не являются :( из-за чего и пытаюсь использовать DNAT для пересылки пакетов zzz с ууу на ххх...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 10:33  (MSK)
	Тогда я совсем не понял - при чем здесь NAT... Есть же REDIRECT?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 11:52  (MSK)
	>Тогда я совсем не понял - при чем здесь NAT... Есть же >REDIRECT? ОК, есть :) но судя по доке только для портов, или я не прав?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 12:56  (MSK)
	да. и все таки, не ясно, чего предполагается добиться. думаю, в этом и проблема :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 13:05  (MSK)
	>да. >и все таки, не ясно, чего предполагается добиться. думаю, в этом и >проблема :))) сорри, может я неверно опсиал задачу, но перечитав ее понимаю, что ничего в нее добавиьт не могу :( есть 3 машины.. на 1-ой подменяется ip на ip 3-й.. цепляемся на 2-ю машину, она думает что я 3-й и соответсвенно все out пакеты кидает на 3-ю машину... дык вот, мне надо, чтобы все пакеты с 2-й на 3-ю машину формардились на 1-ю, от имени 2-й.... такой вот односторонний любовный трехугольник, т.е. все пакеты идут по цепочке в одну сторону:1->3->2->1-..........-3->2->1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 13:12  (MSK)
	а, млин, въехал, наконец-то :) какие политики цепей на обеих машинах (filter INPUT, OUTPUT; nat) - drop или accept? что видно в tcpdump на этих хостах? ведется ли журнал дропнутых пакетов на обеих машинах и если да, что там видно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 13:32  (MSK)
	>а, млин, въехал, наконец-то :) >какие политики цепей на обеих машинах (filter INPUT, OUTPUT; nat) - drop >или accept? >что видно в tcpdump на этих хостах? >ведется ли журнал дропнутых пакетов на обеих машинах и если да, что >там видно? я использую на xxx только: iptables -t nat -F iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.ууу а на yyy только: iptables -t nat -F iptables -A PREROUTING -t nat  -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx больше вообще ничего не прописываю.... INPUT, OUTPUT и FORWARD надо акксептить? где и чего :) ? может в route что-дь добавить?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 13:35  (MSK)
	iptables -L -v и добавить в каждую из цепей правило -j LOG - пакеты-то где-то дохнут на yyy, значит д.б. следы :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 13:33  (MSK)
	сорри, долго врубался в "хитрый план". теперь понял идею. а на yyy в журналах netfilter тоже пусто?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 13:46  (MSK)
	>сорри, долго врубался в "хитрый план". теперь понял идею. >а на yyy в журналах netfilter тоже пусто? .... короче, для начала хотя бы с одним портом разобраться на ууу: iptables -t nat -A PREROUTING -p tcp -d ууу.ууу.ууу.ууу --dport 81 -j DNAT --to-source ххх.ххх.ххх.ххх:80 iptables -A INPUT -p tcp -j LOG --log-level debug iptables -A OUTPUT -p tcp -j LOG --log-level debug iptables -A FORWARD -p tcp -j LOG --log-level debug для теста: я стучусь с zzz на yyy 81 и вужу Trying ууу.ууу.ууу.ууу ... в логах ууу ничего вообще не появляется, т.е. 81 порт типа слушается или перенаправляется, но IN и OUT пакетов нету :( только в tcpdump port 81 есть вход. пакеты с zzz, но в ответ так же ничего не шлется а iptables -t nat -L Chain PREROUTING (policy ACCEPT 105 packets, 16641 bytes) pkts bytes target     prot opt in     out     source               destination             0     0 DNAT       tcp  --  any    any     anywhere             ууу.ууу.ууу.ууу       tcp dpt:81 to:xxx.xxx.xxx.xxx:80
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 15:26  (MSK)
	a 'iptables -t filter -L'? Но, судя по тому, что '-t nat -P ACCEPT', все остальное тоже. предположение: пакет попадает на yyy, сразу перемаркируется на '-d xxx' и умирает. Почему это может быть? Может быть, 'ip_forwarding = 0'?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 15:44  (MSK)
	>a 'iptables -t filter -L'? >Но, судя по тому, что '-t nat -P ACCEPT', все остальное тоже. да, все чисто, только логи... >предположение: >пакет попадает на yyy, сразу перемаркируется на '-d xxx' и умирает. Почему >это может быть? Может быть, 'ip_forwarding = 0'? ip_forward=1 ...хорошо предположим, что он становится -d xxx в PREROUTING, но он же должен куда-то дальше идти, как его вытолкнуть наружу? routr add xxx.xxx.xxx.xxx eth0 не помогает (делаю уже все, что хоть как-то может помочь :-/
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 16:29  (MSK)
	Другими словами, как мне вообще реализовать перенаправление трафа с zzz через ууу на ххх я думал так: iptables -t nat -A POSTROUTING -s zzz.zzz.zzz.zzz -d yyy.yyy.yyy.yyy -j DNAT --to-destination xxx.xxx.xxx.xxx, а оказалось что это работает только с локальными для yyy.yyy.yyy.yyy адресами и портами...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 16:41  (MSK)
	Т.е. с локальными адресами (адресами, лежащими в рамках одной подсети) это работает?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 16:47  (MSK)
	>Т.е. с локальными адресами (адресами, лежащими в рамках одной подсети) это работает? > ну да, т.е. в работоспособности DNAT я не сомневаюсь, а вот как перекинуть интересующий траф в другую, совсем другую сеть мне не понятно :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "RE: iptables & dnat "
	Сообщение от trin on 22-Янв-03, 17:25  (MSK)
	х.з., надо пробовать. везде, правда, написано, что весь (туда-обратно) nat-трафик должен проходить через nat-хост, но, в случае нарушения правила, обломы предрекались только из-за conntrack и фрагментации-дефрагментации пакетов... Если такая схема (треугольник) в рамках одной сети работает, а при разносе по разным - перестает, можно предположить, что собака порылась где-то в местах соединения сетей, либо в таблицах маршрутов. хотя то, что пакет тихо дохнет после перемаркировки, - странно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 22-Янв-03, 17:31  (MSK)
	>х.з., надо пробовать. везде, правда, написано, что весь (туда-обратно) nat-трафик должен проходить >через nat-хост, но, в случае нарушения правила, обломы предрекались только из-за >conntrack и фрагментации-дефрагментации пакетов... Если такая схема (треугольник) в рамках одной >сети работает, а при разносе по разным - перестает, можно предположить, >что собака порылась где-то в местах соединения сетей, либо в таблицах >маршрутов. хотя то, что пакет тихо дохнет после перемаркировки, - странно... > 3 дня уже пробую, я его и так и этак :))) мож есть какой-дь другой способ редиректнуть вхо. траф?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "RE: iptables & dnat "
	Сообщение от trin on 23-Янв-03, 00:24  (MSK)
	зацепило это меня :)) завтра сам попробую. для начала - в одной ip сети.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 23-Янв-03, 10:32  (MSK)
	>зацепило это меня :)) завтра сам попробую. для начала - в одной >ip сети. Жду результатов!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "RE: iptables & dnat "
	Сообщение от Mike on 22-Янв-03, 19:06  (MSK)
	>судя по доке DNAT сам должен пересылать пакеты с ууу на ххх должен, если ему можно :-) на ууу надо бы что-то типа iptables -A forward -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j accept iptables -A forward -d ххх.ххх.ххх.ххх -o eth1 -m state --state established,connected -j accept (навскидку, не обдумываю).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 23-Янв-03, 10:34  (MSK)
	>>судя по доке DNAT сам должен пересылать пакеты с ууу на ххх >должен, если ему можно :-) >на ууу надо бы что-то типа >iptables -A forward -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j accept >iptables -A forward -d ххх.ххх.ххх.ххх -o eth1 -m state --state established,connected -j >accept >(навскидку, не обдумываю). в iptables нет статуса connected, только NEW, ESTABLISHED, RELATED и INVALID. что значит можно? ктож ему запрещает то :))) шучу.. не катит твоя схема :( пакетики все рано теряются :( + ко всему сетевой девайс один, т.е. на всех 3 тачках одна сетевая и один внешний ip.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "RE: iptables & dnat "
	Сообщение от Mikhail on 28-Янв-03, 12:13  (MSK)
	>что значит можно? ктож ему запрещает то :))) Я это, в смысле... в таблице -t nat только переписывается source & dest, кроме этого еще разрешение пропускать пакеты должно быть. Пропиши в конце каждой цепочки -j LOG --log-prefix prefix <...> и посмотри, что где куда не проходит. Конечно, при условии, что ip_forwarding=1 и IPTABLES -P * DROP.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: iptables & dnat "
Сообщение от Gatso on 01-Фев-03, 16:37  (MSK)
echo 1 > /proc/net/ipv4/ip_forward???
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "RE: iptables & dnat "
	Сообщение от Slavik2003 on 03-Фев-03, 10:15  (MSK)
	>echo 1 > /proc/net/ipv4/ip_forward???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "iptables & dnat "
Сообщение от Denis on 08-Май-03, 11:10  (MSK)
Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой порт но на локальной машине. Я пишу вот это: [root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport 1352 -j DNAT --to-destination 192.168.1.2:1352 И мне он выдает вот это:                               /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: Device or resource busy                                                         Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters                                                         modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed                                                                       modprobe: insmod ip_tables failed                                               iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need to insmod?)                                                                   Perhaps iptables or your kernel needs to be upgraded.   Стоит у меня Mandrake8.1 Что делать и как? Если можно то поподробнее я с линуксом знаком не давно и едро пересобирать не умею.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "iptables & dnat "
	Сообщение от Igor on 08-Май-03, 16:47  (MSK)
	>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >порт но на локальной машине. Я пишу вот это: > >[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >1352 -j DNAT --to-destination 192.168.1.2:1352 > >И мне он выдает вот это: > >/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >Device or resource busy >Hint: insmod errors can be caused by incorrect module parameters, including invalid >IO or IRQ parameters >modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >modprobe: insmod ip_tables failed >iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >to insmod?) >Perhaps iptables or your kernel needs to be upgraded. > >Стоит у меня Mandrake8.1 > >Что делать и как? Если можно то поподробнее я с линуксом знаком >не давно и едро пересобирать не умею. Не знаю как в мандрайке, в RH7.3 по умолчанию стоит и пакет iptables, и ip chains, если я правильно понял iptables просто не подключен. Пробуй просто убрать из загрузочных скриптов запуск ipchains, оставив только iptables. Вместе они работать не могут, ядро по-идее пересобирать не нужно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "iptables & dnat "
	Сообщение от Mikhail on 08-Май-03, 16:51  (MSK)
	А чтобы понять, так ли это, глянь вывод 'lsmod' (или пришли сюда).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "!iptables & dnat "
	Сообщение от Igor on 08-Май-03, 16:49  (MSK)
	>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >порт но на локальной машине. Я пишу вот это: > >[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >1352 -j DNAT --to-destination 192.168.1.2:1352 > >И мне он выдает вот это: > >/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >Device or resource busy >Hint: insmod errors can be caused by incorrect module parameters, including invalid >IO or IRQ parameters >modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >modprobe: insmod ip_tables failed >iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >to insmod?) >Perhaps iptables or your kernel needs to be upgraded. > >Стоит у меня Mandrake8.1 > >Что делать и как? Если можно то поподробнее я с линуксом знаком >не давно и едро пересобирать не умею. Ядро пересобирать не нужно..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	34. "!iptables & dnat "
	Сообщение от Denis on 09-Май-03, 22:27  (MSK)
	>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >>порт но на локальной машине. Я пишу вот это: >> >>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >>1352 -j DNAT --to-destination 192.168.1.2:1352 >> >>И мне он выдает вот это: >> >>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >>Device or resource busy >>Hint: insmod errors can be caused by incorrect module parameters, including invalid >>IO or IRQ parameters >>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >>modprobe: insmod ip_tables failed >>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >>to insmod?) >>Perhaps iptables or your kernel needs to be upgraded. >> >>Стоит у меня Mandrake8.1 >> >>Что делать и как? Если можно то поподробнее я с линуксом знаком >>не давно и едро пересобирать не умею. >Ядро пересобирать не нужно.. Всем от меня огромное спасибо за советы! Вы просто отличные друзья! Спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	35. "!iptables & dnat "
	Сообщение от Denis on 12-Май-03, 10:12  (MSK)
	>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >>>порт но на локальной машине. Я пишу вот это: >>> >>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >>>1352 -j DNAT --to-destination 192.168.1.2:1352 >>> >>>И мне он выдает вот это: >>> >>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >>>Device or resource busy >>>Hint: insmod errors can be caused by incorrect module parameters, including invalid >>>IO or IRQ parameters >>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >>>modprobe: insmod ip_tables failed >>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >>>to insmod?) >>>Perhaps iptables or your kernel needs to be upgraded. >>> >>>Стоит у меня Mandrake8.1 >>> >>>Что делать и как? Если можно то поподробнее я с линуксом знаком >>>не давно и едро пересобирать не умею. >>Ядро пересобирать не нужно.. > >Всем от меня огромное спасибо за советы! Вы просто отличные друзья! >Спасибо! это снова я! после этой статьи я отключил ipchains и после чего iptables не ругался. но возникла следующая проблема, пропал интернет на локальных машинах!? может быть я что nо упустил7 кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных машинах! мои интерфейсы: =РОУТЕР= eth0 - 192.168.1.1 eth1 - 81.31.192.36 =ЛОКАЛЬНЫЙ КОМП= eth0 - 192.168.1.2 На нем стоит Лотус-сервер и ждет письма. ЕЩЕ раз прошу прощения! ДЕНИС.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	36. "!iptables & dnat "
	Сообщение от Igor on 12-Май-03, 14:07  (MSK)
	>>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >>>>порт но на локальной машине. Я пишу вот это: >>>> >>>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >>>>1352 -j DNAT --to-destination 192.168.1.2:1352 >>>> >>>>И мне он выдает вот это: >>>> >>>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >>>>Device or resource busy >>>>Hint: insmod errors can be caused by incorrect module parameters, including invalid >>>>IO or IRQ parameters >>>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >>>>modprobe: insmod ip_tables failed >>>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >>>>to insmod?) >>>>Perhaps iptables or your kernel needs to be upgraded. >>>> >>>>Стоит у меня Mandrake8.1 >>>> >>>>Что делать и как? Если можно то поподробнее я с линуксом знаком >>>>не давно и едро пересобирать не умею. >>>Ядро пересобирать не нужно.. >> >>Всем от меня огромное спасибо за советы! Вы просто отличные друзья! >>Спасибо! > > >это снова я! >после этой статьи я отключил ipchains и после чего iptables не ругался. > >но возникла следующая проблема, пропал интернет на локальных машинах!? >может быть я что nо упустил7 >кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c >роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных >машинах! >мои интерфейсы: >=РОУТЕР= >eth0 - 192.168.1.1 >eth1 - 81.31.192.36 > >=ЛОКАЛЬНЫЙ КОМП= >eth0 - 192.168.1.2 >На нем стоит Лотус-сервер и ждет письма. > >ЕЩЕ раз прошу прощения! >ДЕНИС. Не совсем понял проблему... А вообще - читай IPTABLES-howto
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	37. "!iptables & dnat "
	Сообщение от Алексей on 15-Май-03, 17:57  (MSK)
	>>>>>Мне нужно перенаправить входящие из инета пакеты на порт 1352 в другой >>>>>порт но на локальной машине. Я пишу вот это: >>>>> >>>>>[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp -d 81.30.192.36 --dport >>>>>1352 -j DNAT --to-destination 192.168.1.2:1352 >>>>> >>>>>И мне он выдает вот это: >>>>> >>>>>/lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz: init_module: >>>>>Device or resource busy >>>>>Hint: insmod errors can be caused by incorrect module parameters, including invalid >>>>>IO or IRQ parameters >>>>>modprobe: insmod /lib/modules/2.4.18-6mdk/kernel/net/ipv4/netfilter/ip_tables.o.gz failed >>>>>modprobe: insmod ip_tables failed >>>>>iptables v1.2.5: can't initialize iptables table `nat': iptables who? (do you need >>>>>to insmod?) >>>>>Perhaps iptables or your kernel needs to be upgraded. >>>>> >>>>>Стоит у меня Mandrake8.1 >>>>> >>>>>Что делать и как? Если можно то поподробнее я с линуксом знаком >>>>>не давно и едро пересобирать не умею. >>>>Ядро пересобирать не нужно.. >>> >>>Всем от меня огромное спасибо за советы! Вы просто отличные друзья! >>>Спасибо! >> >> >>это снова я! >>после этой статьи я отключил ipchains и после чего iptables не ругался. >> >>но возникла следующая проблема, пропал интернет на локальных машинах!? >>может быть я что nо упустил7 >>кто сможет ответить? как мне перенаправить порт на локальную машину (192.168.1.2:1352) c >>роутера (81.30.192.36) и при этом чтобы работал интернет на всех остальных >>машинах! >>мои интерфейсы: >>=РОУТЕР= >>eth0 - 192.168.1.1 >>eth1 - 81.31.192.36 >> >>=ЛОКАЛЬНЫЙ КОМП= >>eth0 - 192.168.1.2 >>На нем стоит Лотус-сервер и ждет письма. >> >>ЕЩЕ раз прошу прощения! >>ДЕНИС. >Не совсем понял проблему... >А вообще - читай IPTABLES-howto А попробуй вот так: iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -j SNAT --to-source ууу.ууу.ууу.ууу iptables -A FORWARD -d ххх.ххх.ххх.ххх -j ACCEPT
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	38. "!iptables & dnat "
	Сообщение от Denis on 18-Май-03, 04:20  (MSK)
	После этих мучений я понял какой я лаймер. Мне попался спец.выпуск журнала Chip  и там все ясно написано, что да как. Да, ipchains  не нуден а только iptables. 1. поставил ОС с нулевыми параметрами. 2. добавил в modules.conf строчку своей радиокарты а иначе она не будет работать:      alias eth1 realtek        alias eth2 airo      options ssids=XXXXXxXX 3. отредактировал файл sysctl:      forward_IP4 вообщем в место 0 поставил 1 (разрешить передачу пакетов) Тем самым я обиспечил локалку инетом. 4. #modprobe iptable_nat - добавил NAT. 5. #iptables разрешить_все_и_для_ всех 6. #iptables редирект_порта_1352 7. #service iptables save - сохранение цепочки в файл /etc/sysconfig/iptables 8. поставил телнет-сервер 9. убрал монитор, клаву. 10. спрятал корпус в сейф и все. Теперь и инет есть в локалке и редирект работает. Конечно о безопасности я не позаботился но это... другая история. Для того, что бы мне этого добится ушло 3 недели а вот если бы я это все раньше знал, то зделал бы за 3 минуты. Спасибо за проявленный интерес. Досвидание!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	40. "iptables & dnat "
	Сообщение от devEv on 23-Май-03, 20:09  (MSK)
	чтобы перебросить трафик с порта на порт на локальной машине, не следует пользоваться DNAT, для этого есть REDIRECT с уважением Евгений
		Рекомендовать в FAQ | Cообщить модератору | Наверх

39. "iptables & dnat "
Сообщение от devEv on 23-Май-03, 19:57  (MSK)
есть такое соображение: постулат: не возможно получить на машине пакет, подменить на нём адрес назначения и вукинуть через тот же интерфейс, через который пакет пришёл - практика это доказывает следовательно 1: машина yyyy должна иметь по меньшей мере сетевых интерфейса, и через один доступаться к xxxx, а через другой к zzz [ то есть быть одним из роутеров (или прямым шлюзом) на пути от xxx к zzz] следовательно 2: правила надо писать не на xxx, а на yyy iptables -t nat -A POSTROUTING -s ххх.ххх.ххх.ххх -d 0/0 -o eth0 -j SNAT --to-source ууу.ууу.ууу.ууу и всё заработает надеюсь, что этот пост поможет с уважением, Евгений
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.