The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT не маскирует все пакеты"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 09-Июл-08, 19:56 
Здравствуйте вот сталкнулся с такой проблемой
У меня есть 2 сетевых интерфейса eth1(LAN) eth2(INET)

Добавил правило в iptables

iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source INET_IP

Но почемуто не все локальные преобразовываются

и при вводе команды

tcpdump -i eth2 я их вижу и мой интернет провайдер видет и ему это очень не нравится

в чем тут проблема?

Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
но ничего не помогает!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT не маскирует все пакеты"  
Сообщение от Oyyo on 09-Июл-08, 22:00 
>[оверквотинг удален]
>
>и при вводе команды
>
>tcpdump -i eth2 я их вижу и мой интернет провайдер видет и
>ему это очень не нравится
>
>в чем тут проблема?
>
>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
>но ничего не помогает!

всё правильно, правило
>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source INET_IP

натит только то, что приходит с eth1(LAN), перепешите правило
iptables -t nat -I POSTROUNTING -o eth2 -j SNAT --to-source INET_IP
в этом случае будет натиться всё что уходит с eth2(INET)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "NAT не маскирует все пакеты"  
Сообщение от PavelR (??) on 10-Июл-08, 08:54 
>[оверквотинг удален]
>>
>>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
>>но ничего не помогает!
>
>всё правильно, правило
>>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source INET_IP
>
>натит только то, что приходит с eth1(LAN), перепешите правило
>iptables -t nat -I POSTROUNTING -o eth2 -j SNAT --to-source INET_IP
>в этом случае будет натиться всё что уходит с eth2(INET)

по идее, локальные пакеты должны генерироваться с адресом интерфейса, смотрящего к провайдеру.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NAT не маскирует все пакеты"  
Сообщение от angra (ok) on 10-Июл-08, 08:48 
>Но почему-то не все локальные преобразовываются

Что не преобразовывается, как именно это видно

>и при вводе команды
>tcpdump -i eth2 я их вижу и мой интернет провайдер видет и
>ему это очень не нравится

Что именно видите?

>в чем тут проблема?

В том что вы не можете внятно изложить проблему


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NAT не маскирует все пакеты"  
Сообщение от PavelR (??) on 10-Июл-08, 08:57 
>[оверквотинг удален]
>
>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source
>INET_IP
>
>Но почемуто не все локальные преобразовываются
>
>и при вводе команды
>
>tcpdump -i eth2 я их вижу и мой интернет провайдер видет и
>ему это очень не нравится

Офигенный провайдер. Пусть фильтрацию у себя настроит. А если его оборудование поломают- из-за отсутствия внятных фильтров, ему тоже "будет не нравиться"?

У меня другой случай - в сегменте, куда я присоединен к провайдеру, присутствуют как реальные адреса, так и фейковые, моему серверу тоже "не нравится", а что делать ? :)

>
>в чем тут проблема?
>
>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
>но ничего не помогает!

Мозги перекомпилировать, чтением литературы. Жаль вот другие установить не получится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "NAT не маскирует все пакеты"  
Сообщение от tux (??) on 10-Июл-08, 09:04 
>Здравствуйте вот сталкнулся с такой проблемой
>У меня есть 2 сетевых интерфейса eth1(LAN) eth2(INET)
>
>Добавил правило в iptables
>
>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source
>INET_IP
>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
>но ничего не помогает!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "NAT не маскирует все пакеты"  
Сообщение от tux2002 email on 10-Июл-08, 09:06 
>Здравствуйте вот сталкнулся с такой проблемой
>У меня есть 2 сетевых интерфейса eth1(LAN) eth2(INET)
>
>Добавил правило в iptables
>
>iptables -t nat -I POSTROUNTING -i eth1 -o eth2 -j SNAT --to-source
>INET_IP

Покажите iptables-save

>
>Я уже и ядро перекомпилировал и дистрибутив линукса другой установил
>но ничего не помогает!

Интересные методы решения задачи :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "NAT не маскирует все пакеты"  
Сообщение от tux2002 email on 10-Июл-08, 09:11 
IP реальные не показывайте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 12:54 
Спасибо конечно за такое большое количество "умных" советов ... особенно понравилась идея про переустановку мозгов. Да, не увсех так просто они переустанавливаюися. А вот насчет литературы, то я ее уже достаточно перечитал и все бесполезно.

Кстати зделать переустановку системы мне один админ посоветовал.

у меня LINUX SLACKWARE 12 ядро 2.6.21.5 (ставил ядро 2.6.23)
Пробовал DEBIAN 4 ядро 2.6.18
даже iptables обновил

Напоминаю eth1(LAN) eth2(INET)
Вот мои правила

Chain POSTROUTING (policy ACCEPT 33 packets, 4728 bytes)
pkts bytes target     prot opt in     out     source        destination
   70  3569 SNAT       all  --  *      eth2    0.0.0.0/0     0.0.0.0/0 to:10.100.250.2

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere


Вот результат tcpdump

tcpdump -i eth2 | grep 192.168.1.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
09:46:59.219162 IP 192.168.1.15.3484 > bu-in-f147.google.com.http: F 3094018935:3094018935(0) ack 393800694 win 64865
09:47:01.420422 IP 192.168.1.7.2934 > bu-in-f91.google.com.http: F 3007321576:3007321576(0) ack 569050773 win 65249
09:47:05.644846 IP 192.168.1.7.2938 > bu-in-f99.google.com.http: F 2357605203:2357605203(0) ack 601534958 win 65233
09:47:09.064632 IP 192.168.1.7.2934 > bu-in-f91.google.com.http: F 0:0(0) ack 1 win 65249
09:47:10.415208 IP 192.168.1.8.2071 > bu-in-f99.google.com.http: F 1748623268:1748623268(0) ack 451744655 win 65535
09:47:11.478590 IP 192.168.1.7.2892 > bu-in-f127.google.com.http: F 3728662923:3728662923(0) ack 183309366 win 65206
09:47:21.133729 IP 192.168.1.8.2056 > bu-in-f127.google.com.http: F 1904490767:1904490767(0) ack 156266093 win 65206
09:47:24.252465 IP 192.168.1.7.2934 > bu-in-f91.google.com.http: F 0:0(0) ack 1 win 65249
09:47:24.855947 IP 192.168.1.7.2938 > bu-in-f99.google.com.http: F 0:0(0) ack 1 win 65233
09:47:25.314436 IP 192.168.1.6.3146 > bu-in-f99.google.com.http: F 4205143613:4205143613(0) ack 281893596 win 65167
09:47:48.804998 IP 192.168.1.8.2071 > bu-in-f99.google.com.http: F 0:0(0) ack 1 win 65535
09:47:54.628128 IP 192.168.1.7.2934 > bu-in-f91.google.com.http: F 0:0(0) ack 1 win 65249
09:47:54.747449 IP 192.168.1.6.3145 > bu-in-f127.google.com.http: F 2298305406:2298305406(0) ack 446786012 win 65206
09:47:55.068698 IP 192.168.1.6.3154 > bu-in-f99.google.com.http: F 2139689385:2139689385(0) ack 652079942 win 65233
09:47:57.198405 IP 192.168.1.6.3145 > bu-in-f127.google.com.http: F 0:0(0) ack 1 win 65206
09:47:57.500037 IP 192.168.1.6.3154 > bu-in-f99.google.com.http: F 0:0(0) ack 1 win 65233
09:48:02.126713 IP 192.168.1.6.3145 > bu-in-f127.google.com.http: F 0:0(0) ack 1 win 65206
09:48:02.529032 IP 192.168.1.6.3154 > bu-in-f99.google.com.http: F 0:0(0) ack 1 win 65233
09:48:03.177560 IP 192.168.1.7.2938 > bu-in-f99.google.com.http: F 0:0(0) ack 1 win 65233


Да как видно что большинство пакетов проходят так именно на поисковые системы google rambler yahoo и т.д

То же самое видно и у инет провайдера и они из-за этого отключают нам интернет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 13:01 
В локальной сети все компы под WINXP professional

Локальный адрес сервера  eth1(192.168.1.70)
Второй интерфейс
DHCP eth2(10.100.250.2) а интернет адрес реальный 194.9.69.34

все WINDOWS компъютеры настроены так

IP  :  192.168.1.x
MASK:  255.255.255.0
GW  :  192.168.1.70
DNS :  192.168.1.70

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "NAT не маскирует все пакеты"  
Сообщение от PavelR (??) on 10-Июл-08, 13:29 
>[оверквотинг удален]
>Локальный адрес сервера  eth1(192.168.1.70)
>Второй интерфейс
> DHCP eth2(10.100.250.2) а интернет адрес реальный 194.9.69.34
>
>все WINDOWS компъютеры настроены так
>
> IP  :  192.168.1.x
> MASK:  255.255.255.0
> GW  :  192.168.1.70
> DNS :  192.168.1.70

Адрес - 10.100.250.2 - значит у вас нет нормального провайдера.


Далее. Попробуйте сделать tcpdump без grep.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 14:13 
Что значит нет нормального?

tcpdump без grep выдает очень моного текста вот его часть

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
11:10:55.494599 arp who-has 10.100.100.1 tell 10.100.7.2
11:10:55.540360 arp who-has 10.100.68.80 tell 10.100.176.144
11:10:55.592082 arp who-has 10.100.100.1 (ff:ff:ff:ff:ff:ff) tell 10.100.200.73
11:10:55.655429 arp who-has 10.100.100.1 tell 10.100.200.73
11:10:55.819849 arp who-has 10.100.131.252 tell 10.100.68.202
11:10:55.823565 arp who-has 10.100.129.244 tell 10.100.131.1
11:10:55.868850 IP 10.100.130.238.6771 > 239.192.152.143.6771: UDP, length 119
11:10:55.938352 IPX 00000002.00:17:9a:7e:5c:39.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
11:10:55.952068 arp who-has 10.100.100.5 tell 10.100.130.240
11:10:55.989839 arp who-has 10.100.129.180 tell 10.100.100.2
11:10:55.999888 arp who-has 10.100.100.1 (00:30:48:58:e4:b1) tell 10.100.131.67
11:10:56.027523 arp who-has 10.100.131.186 tell 10.100.68.43
11:10:56.419811 arp who-has 10.100.130.204 tell 10.100.130.199
11:10:56.434185 IP 192.168.1.15.4813 > 91.198.174.2.80: F 3598858420:3598858420(0) ack 4149909570 win 65535
11:10:56.534193 arp who-has 10.100.64.193 tell 10.100.6.254
11:10:56.534280 arp who-has 10.100.176.195 tell 10.100.6.254
11:10:56.534381 arp who-has 10.100.68.140 tell 10.100.6.254
11:10:56.616921 arp who-has 10.100.100.1 (ff:ff:ff:ff:ff:ff) tell 10.100.200.73
11:10:56.717219 IPX 00000002.00:17:9a:7e:5c:39.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
11:10:56.801012 arp who-has 10.100.128.26 tell 10.100.100.2
11:10:56.847207 IP 10.100.7.5.1028 > 239.255.255.250.1900: UDP, length 133
11:10:56.861982 arp who-has 10.100.100.1 tell 10.100.200.73
11:10:57.261873 IP 10.100.129.80.4794 > 255.255.255.255.1900: UDP, length 137
11:10:57.261943 IP 10.100.129.80.4794 > 239.255.255.250.1900: UDP, length 137
11:10:57.411080 arp who-has 10.100.100.1 (00:30:48:58:e4:b1) tell 10.100.5.229
11:10:57.496516 IPX 00000002.00:17:9a:7e:5c:39.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipx-netbios 50
11:10:57.513916 IP 91.203.5.42.80 > 10.100.67.56.1359: . ack 975893154 win 33580
11:10:57.513927 IP 91.203.5.42.80 > 10.100.67.56.1359: . ack 1 win 0
11:10:57.513941 IP 91.203.5.42.80 > 10.100.67.56.1355: . ack 586359375 win 0
11:10:57.513952 IP 91.203.5.42.80 > 10.100.67.56.1364: . ack 446668822 win 0
11:10:57.513962 IP 91.203.5.42.80 > 10.100.67.56.1355: . ack 1 win 33580
11:10:57.513973 IP 91.203.5.42.80 > 10.100.67.56.1368: . ack 1952235278 win 0
11:10:57.513985 IP 91.203.5.42.80 > 10.100.67.56.1362: . ack 3740252483 win 0
11:10:57.513995 IP 91.203.5.42.80 > 10.100.67.56.1363: . ack 2322373077 win 0
11:10:57.514006 IP 91.203.5.42.80 > 10.100.67.56.1364: . ack 1 win 33580
11:10:57.514017 IP 91.203.5.42.80 > 10.100.67.56.1361: . ack 1766994142 win 0
11:10:57.514028 IP 91.203.5.42.80 > 10.100.67.56.1357: . ack 3136480911 win 0
11:10:57.514038 IP 91.203.5.42.80 > 10.100.67.56.1362: . ack 1 win 33580
11:10:57.514049 IP 91.203.5.42.80 > 10.100.67.56.1368: . ack 1 win 33580
11:10:57.514059 IP 91.203.5.42.80 > 10.100.67.56.1356: . ack 1628050175 win 0
11:10:57.514080 IP 91.203.5.42.80 > 10.100.67.56.1363: . ack 1 win 33580
11:10:57.514082 IP 91.203.5.42.80 > 10.100.67.56.1354: . ack 3752332288 win 0
11:10:57.514094 IP 91.203.5.42.80 > 10.100.67.56.1365: . ack 469167298 win 0
11:10:57.514650 IP 91.203.5.42.80 > 10.100.67.56.1360: . ack 120888387 win 0
11:10:57.514653 IP 91.203.5.42.80 > 10.100.67.56.1358: . ack 1557217367 win 0
11:10:57.514670 IP 91.203.5.42.80 > 10.100.67.56.1344: . ack 3303006904 win 0
11:10:57.514672 IP 91.203.5.42.80 > 10.100.67.56.1366: . ack 4259143637 win 0
11:10:57.514679 IP 91.203.5.42.80 > 10.100.67.56.1343: . ack 2264960551 win 0
11:10:57.514685 IP 91.203.5.42.80 > 10.100.67.56.1361: . ack 1 win 33580
11:10:57.514691 IP 91.203.5.42.80 > 10.100.67.56.1357: . ack 1 win 33580
11:10:57.514701 IP 91.203.5.42.80 > 10.100.67.56.1349: . ack 859383643 win 0
11:10:57.515342 IP 91.203.5.42.80 > 10.100.67.56.1356: . ack 1 win 33580
11:10:57.515352 IP 91.203.5.42.80 > 10.100.67.56.1354: . ack 1 win 33580
11:10:57.515364 IP 91.203.5.42.80 > 10.100.67.56.1365: . ack 1 win 33580
11:10:57.515373 IP 91.203.5.42.80 > 10.100.67.56.1360: . ack 1 win 33580
11:10:57.515383 IP 91.203.5.42.80 > 10.100.67.56.1358: . ack 1 win 33580
11:10:57.515518 IP 91.203.5.42.80 > 10.100.67.56.1344: . ack 1 win 33580
11:10:57.515521 IP 91.203.5.42.80 > 10.100.67.56.1366: . ack 1 win 33580
11:10:57.515549 IP 91.203.5.42.80 > 10.100.67.56.1343: . ack 1 win 33580
11:10:57.515887 IP 91.203.5.42.80 > 10.100.67.56.1349: . ack 1 win 33580
11:10:57.701780 arp who-has 10.100.100.1 (ff:ff:ff:ff:ff:ff) tell 10.100.200.73
11:10:57.767494 arp who-has 10.100.100.1 tell 10.100.200.73
11:10:57.950084 arp who-has 10.100.68.57 tell 10.100.68.236
11:10:58.100487 IP 10.100.224.55.6771 > 239.192.152.143.6771: UDP, length 119
11:10:58.101150 IP 10.100.224.55.6771 > 239.192.152.143.6771: UDP, length 119
11:10:58.151048 arp who-has 10.100.129.95 tell 10.100.131.57
11:10:58.323583 arp who-has 10.100.100.2 tell 10.100.130.15
11:10:58.620263 arp who-has 10.100.100.1 (ff:ff:ff:ff:ff:ff) tell 10.100.200.24

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "NAT не маскирует все пакеты"  
Сообщение от PavelR (??) on 10-Июл-08, 16:00 
Вас что, к инету через хаб подключают ?? Откуда там светятся всякие левые адреса  типа 10.100.67.56, например ?

Думаю, что требуется более подробное описание структуры сети.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 11-Июл-08, 14:10 
>Вас что, к инету через хаб подключают ?? Откуда там светятся всякие
>левые адреса  типа 10.100.67.56, например ?
>
>Думаю, что требуется более подробное описание структуры сети.

Подключаюсь через DHCP кабель идет 100мб к свичу это типа локальная сеть типа по городу + инет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "NAT не маскирует все пакеты"  
Сообщение от ALex_hha (ok) on 10-Июл-08, 14:16 
# iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j SNAT --to-source 10.100.250.2

Кстати, что это за адрес 10.100.250.2?!

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

какой в этом смысл? Политика по умолчанию DROP и стоит правило, которое разрешает всем и все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 14:25 
Это адресс 10.100.250.2 локальной сети провайдера выдается через DHCP
Провайдеру нужно чтобы все пакеты шли только с этого адреса чтобы не нарушать политику безопасности сети(как они говорят).

Смысла ни какого разумеется просто я уже столько всего перепробовал что на это внимания уже не обращаю(темболее это не каксается моей проблемы), к стати если вставить правило

iptables -I FORWARD -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j DROP
или
iptables -I FORWARD -s 192.168.1.0/24 -o eth2 -j DROP

то интернет не работает в локалке

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 15:08 
194.9.69.34 - это реальный провайдера или у вас 2 ip на интерфейсе?
тогда уж показывайте ifconfig и route -n
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 15:19 
>194.9.69.34 - это реальный провайдера или у вас 2 ip на интерфейсе?
>
>тогда уж показывайте ifconfig и route -n

на интерфейсе 1 IP 10.100.250.2 а 194.9.69.34 выдается уже на сервере провайдера тоже SNAT по видимому

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:19:D1:02:3F:CE
          inet addr:192.168.1.70  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::219:d1ff:fe02:3fce/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:273203 errors:0 dropped:0 overruns:0 frame:0
          TX packets:339299 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:46669192 (44.5 MiB)  TX bytes:266553640 (254.2 MiB)
          Base address:0x30e0 Memory:50300000-50320000

eth1      Link encap:Ethernet  HWaddr 00:11:95:F6:5C:E6
          inet addr:10.100.250.2  Bcast:10.100.255.255  Mask:255.255.0.0
          inet6 addr: fe80::211:95ff:fef6:5ce6/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:322354 errors:0 dropped:0 overruns:0 frame:0
          TX packets:111531 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:179216452 (170.9 MiB)  TX bytes:17322458 (16.5 MiB)
          Interrupt:21

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:312 errors:0 dropped:0 overruns:0 frame:0
          TX packets:312 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:163254 (159.4 KiB)  TX bytes:163254 (159.4 KiB)

route:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
194.9.69.27     10.100.65.198   255.255.255.255 UGH   0      0        0 eth1
193.27.0.247    10.100.100.1    255.255.255.255 UGH   0      0        0 eth1
194.9.69.251    10.100.100.1    255.255.255.255 UGH   0      0        0 eth1
194.9.69.249    10.100.100.2    255.255.255.255 UGH   0      0        0 eth1
193.27.0.251    10.100.100.1    255.255.255.255 UGH   0      0        0 eth1
194.9.69.33     10.100.224.11   255.255.255.255 UGH   0      0        0 eth1
193.27.0.233    10.100.100.1    255.255.255.255 UGH   0      0        0 eth1
194.9.69.234    10.100.100.1    255.255.255.254 UG    0      0        0 eth1
194.9.69.8      10.100.64.135   255.255.255.248 UG    0      0        0 eth1
193.27.0.248    10.100.100.1    255.255.255.248 UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.100.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.100.100.1    0.0.0.0         UG    0      0        0 eth1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 15:24 
и где тут eth2?
в правилах ната исправляйте на eth1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 16:00 
>и где тут eth2?
>в правилах ната исправляйте на eth1

Когда я писал топик у меня стояла Debian там было eth1(LAN) eth1(INET)
сейчас я вернул SlacWare  тут eth0(LAN) eth1(INET)

Поэтому там все верно.

Вот самое простое что мне посоветовал провайдер

Chain INPUT (policy ACCEPT 341 packets, 48453 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
     884   844497 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 335 packets, 57202 bytes)
    pkts      bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 31 packets, 6653 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       48 SNAT       all  --  *      eth1    0.0.0.0/0            0.0.0.0/0           to:10.100.250.2
       0        0 DROP       all  --  *      eth1    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 656 packets, 52692 bytes)
    pkts      bytes target     prot opt in     out     source               destination
Chain PREROUTING (policy ACCEPT 1249 packets, 896K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 262K packets, 45M bytes)
pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 299K packets, 202M bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 343 packets, 59330 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 553K packets, 320M bytes)
pkts bytes target     prot opt in     out     source               destination


ifconfig

eth0      Link encap:Ethernet  HWaddr 00:19:D1:02:3F:CE
          inet addr:192.168.1.70  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::219:d1ff:fe02:3fce/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:349794 errors:0 dropped:0 overruns:0 frame:0
          TX packets:422270 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:61793315 (58.9 MiB)  TX bytes:310487446 (296.1 MiB)
          Base address:0x30e0 Memory:50300000-50320000

eth1      Link encap:Ethernet  HWaddr 00:11:95:F6:5C:E6
          inet addr:10.100.250.2  Bcast:10.100.255.255  Mask:255.255.0.0
          inet6 addr: fe80::211:95ff:fef6:5ce6/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:391657 errors:0 dropped:0 overruns:0 frame:0
          TX packets:133422 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:211370725 (201.5 MiB)  TX bytes:21003392 (20.0 MiB)
          Interrupt:21

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:416 errors:0 dropped:0 overruns:0 frame:0
          TX packets:416 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:217672 (212.5 KiB)  TX bytes:217672 (212.5 KiB)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 16:18 
>[оверквотинг удален]
>          UP LOOPBACK
>RUNNING  MTU:16436  Metric:1
>          RX packets:416
>errors:0 dropped:0 overruns:0 frame:0
>          TX packets:416
>errors:0 dropped:0 overruns:0 carrier:0
>          collisions:0 txqueuelen:0
>
>          RX bytes:217672
>(212.5 KiB)  TX bytes:217672 (212.5 KiB)

то что и Oyyo советовал в первом ответе, только без DROP в которое и так ничего не должно попасть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 16:22 
ДА только Oyyo про
iptables -I FORWARD -j ACCEPT не писал.


Мне кажется что надо еще DROOP где-то добавить вот только не знаю куда.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 16:44 
>ДА только Oyyo про
>iptables -I FORWARD -j ACCEPT не писал.

так если пакеты из локалки до провайдерской сети доходили значит форвард был разрешен.
>
>
>Мне кажется что надо еще DROOP где-то добавить вот только не знаю
>куда.

drop по умолчанию, как и у вас в форвард, последнее разрешающее убрать и корректно разрешить то что нужно, так же и во входящих и исходящих

http://www.opennet.dev/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 16:56 
Спасибо за мануал я его видел уже ни один раз.

А что разрешить например.
ну допустим

iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
у меня это тоже что и
iptables -I FORWARD -j ACCEPT
так как больше сетей нету
если зделать так

iptables -I FORWARD -s 192.168.1.0/24 -o eth1 -j DROP
или что-то подобное зделать инет вообще не работает

И как я понял цепочка POSTROUTING таблици nat - самая последняя
тоесть после нее зарезать пакеты уже не вазможно
хоть бери и второй сервер ставь.

А если роутер купить он поможет или нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 17:15 
>Спасибо за мануал я его видел уже ни один раз.
>
>А что разрешить например.
>ну допустим
>

1
>iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
>у меня это тоже что и
>iptables -I FORWARD -j ACCEPT
>так как больше сетей нету
>если зделать так

нет не одно и тоже.
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
разрешает из 192.168.1.0/24 к провайдеру, но от провайдера в локалку - нет.

iptables -I FORWARD -j ACCEPT
разрешает в обе стороны, включая установку соединения с вашей локалкой, а это уже плохо. так что читайте про флаги еще и переписывайте правила. входящие тоже все разрешены, тоесть можно из провайдерской сети устанавливать соединения с вашим шлюзом, это тоже плохо.
>
>iptables -I FORWARD -s 192.168.1.0/24 -o eth1 -j DROP
>или что-то подобное зделать инет вообще не работает

этим вы отрубили локалку от провайдера
>
>И как я понял цепочка POSTROUTING таблици nat - самая последняя
>тоесть после нее зарезать пакеты уже не вазможно
>хоть бери и второй сервер ставь.

режте , хотя лучше по умолчанию запретить  и разрешать то что должно быть разрешено, в таблице фильтров и тогда до POSTROUTING таблици nat дойдет только то что разрешено
>
>А если роутер купить он поможет или нет?

его тоже настраивать нужно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 17:29 
Это все я понимаю прекрасно на самом деле это простой пример
в полном правил много я использую arno's firewall
http://rocky.molphys.leidenuniv.nl/

вот FORWARD например

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

   25  1200 TCPMSS     tcp  --  *      eth1    0.0.0.0/0            0.0.0.0/0
        tcp flags:0x06/0x02 TCPMSS clamp to PMTU
1353  947K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
        state ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED tcp dpts:1024:65535
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED udp dpts:1024:65535
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
        state RELATED
   54  2360 HOST_BLOCK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

   54  2360 MAC_FILTER  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0

   54  2360 SPOOF_CHK  all  --  *      *       0.0.0.0/0            0.0.0.0/0

    0     0 VALID_CHK  all  --  eth1   *       0.0.0.0/0            0.0.0.0/0

    0     0 RESERVED_NET_CHK  all  --  eth1   *       0.0.0.0/0            0.0.0
.0/0
    0     0 ACCEPT     all  --  eth0   eth0    0.0.0.0/0            0.0.0.0/0

   54  2360 LAN_INET_FORWARD_CHAIN  all  --  eth0   eth1    0.0.0.0/0
0.0.0.0/0
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0
        limit: avg 1/min burst 3 LOG flags 0 level 7 prefix `Dropped FORWARD pac
ket: '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0


так что же мне резать подскажите?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 17:45 
>[оверквотинг удален]
>3 LOG flags 0 level 7 prefix `Dropped FORWARD pac
>ket: '
>    0     0 DROP  
>     all  --  *  
>    *      
>0.0.0.0/0          
> 0.0.0.0/0
>
>
>так что же мне резать подскажите?

тут есть пользовательские цепочки в которые не понятно что попадет, так что лучше iptables-save  и не зная что вы хотите разрешить , а что нет, советовать трудно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 18:11 
Еще есть один момент интересный у моего знакомого тот-же провайдер но ядро 2.4 а не 2.6 как у меня и у него все ОК!!!. Провайдер не обижается
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "NAT не маскирует все пакеты"  
Сообщение от Oyyo on 11-Июл-08, 10:19 
>Еще есть один момент интересный у моего знакомого тот-же провайдер но ядро
>2.4 а не 2.6 как у меня и у него все
>ОК!!!. Провайдер не обижается

версия ядра здесь ни причём


из всего, что я прочёл в постах выше, почемуто начинает казаться что ваш провайдер ДЕБИЛ
1. если пров отдаёт вам статический IP по DHCP (хочется смеятся) лучше используйте не SNAT, а MASQUERADE, вдруг завтра пров поменяет вам IP, а вы и знать не будете

2. непонятно как пров отдаёт вам реальный IP, если он делает DNAT, то это полный дебилизм

ни один пакет не может обойти цепочку POSTROUTIG таблицы nat, если только правило прописанное там не делает отбора пакетов т.е. правило должно быть самым простым

iptables -t nat -I POSTROUTING -o eth2(или что там у вас смотрит на прова) -j MASQUERADE

в цепочке FORWARD уберите всё, что там есть (правда я не понял зачем там накручены такие сложности) и начните с самого простого, а потом усложняйте

iptables -A FORWARD -j ACCEPT -i eth1(LAN) -o eth2(INET)
iptables -A FORWARD -j ACCEPT -o eth1(LAN) -i eth2(INET) -m state --state RELATED,ESTABLISHED

+++++++++++++++++++++++++
вы показали tcpdump с интерфейса который смотрит на провайдера, повторю кусочек

tcpdump -i eth2 | grep 192.168.1.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
09:46:59.219162 IP 192.168.1.15.3484 > bu-in-f147.google.com.http: F 3094018935:3094018935(0) ack 393800694 win 64865
09:47:01.420422 IP 192.168.1.7.2934 > bu-in-f91.google.com.http: F 3007321576:3007321576(0) ack 569050773 win 65249
09:47:05.644846 IP 192.168.1.7.2938 > bu-in-f99.google.com.http: F 2357605203:2357605203(0) ack 601534958 win 65233

вы уверены, что  IP 192.168.1.7 и 192.168.1.15 принадлежат вашей подсетке, а не какой нибудь другой?
tcpdump показывает всё, что творится на внешней стороне интерфеса

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 11-Июл-08, 13:42 
Насчет IP 192.168.1.7 и 192.168.1.15 я уверен потому-что менял IP
192.168.1.8 на 192.168.1.15 и 192.168.1.8 уже не было в дампе

Как ни странно MASQUERADE тоже не помогает
а для IP у меня есть скрипт на пхп который его подставляет в правило firewall но он всегда один и тот же

Насчет реального IP я не вкурсе как он выдается но сервер его не видет и ваще вся локальная сеть. Его видно только с другого интернет провайдера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Спасибо  NAT уже  маскирует все пакеты"  
Сообщение от Влад (??) on 12-Июл-08, 18:42 
Спасибо!!
Я последовал вашему примеру и вот такой скрипт действительно все маскирует
tcpdump пустой. Работает как SNAT так и MASQUERADE.

#!/bin/sh
IPTAB=/usr/sbin/iptables
#LAN CONFIGURATION ------------------------------------

LAN="192.168.1.0/24"
LAN_IF="eth1"

#INET CONFIGURATION ------------------------------------


INET_IF="eth2"


# SCRIPT BODY ------------------------------------

#SETTING DEFAULT POLICY ---------------------------

$IPTAB -F
$IPTAB -X

$IPTAB -F INPUT
$IPTAB -F OUTPUT
$IPTAB -F FORWARD

$IPTAB -t nat -F
$IPTAB -t nat -X
$IPTAB -t mangle -F
$IPTAB -t mangle -X

#SET DEFAULT POLICY

$IPTAB -P FORWARD DROP
$IPTAB -P OUTPUT ACCEPT
$IPTAB -P INPUT ACCEPT

#FORWARD RULES --------------------------------------

$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state NEW -j ACCEPT
$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state ESTABLISHED -j ACCEPT
$IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state RELATED -j ACCEPT

$IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state ESTABLISHED -j ACCEPT
$IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state RELATED -j ACCEPT


#NAT RULES-------------------------------------------------------------

$IPTAB -t nat -I POSTROUTING -o $INET_IF -j MASQUERADE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 17:02 
Как я понял некотрые пакеты не доходят до POSTROUTING что кажется не вазможным судя из специфики iptables и рисунка с примером движения пакетов по цепочкам.

Получается что последняя цепочка FORWARD

самое интересное то что большая часть пакетов 95% идут на google rambler и т.д

других сайтов не видно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "NAT не маскирует все пакеты"  
Сообщение от reader (ok) on 10-Июл-08, 17:23 
>Как я понял некотрые пакеты не доходят до POSTROUTING что кажется не
>вазможным судя из специфики iptables и рисунка с примером движения пакетов
>по цепочкам.

все зависит от того какие пакеты, некоторые и не должны попасть
>
>Получается что последняя цепочка FORWARD

она не последняя, через нее идут транзитные пакеты, а локальные по отношению к шлюзу через другие
>
>самое интересное то что большая часть пакетов 95% идут на google rambler
>и т.д
>
>других сайтов не видно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 17:51 
Мне нужно что бы из локальной сети eth0 192.168.1.0/24 был доступ в интернет через нат
при этом все пакеты с локальной сети должны получить source address 10.100.250.2(eth1)

Вот и все.

Как мне зарезать пакеты котрые не попали под NAT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 17:53 
Приведите простой пример правил для этого.
Политику безопасности я и сам настрою с этим проблем пока небыло
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "NAT не маскирует все пакеты"  
Сообщение от KobaLTD email on 11-Июл-08, 15:20 
>Приведите простой пример правил для этого.
>Политику безопасности я и сам настрою с этим проблем пока небыло

iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -d 192.168.0.0/24 --state RELATED,ESTABLSHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0./24 -o eth1 -j MASQUERADE

это минимум который нужен и который реально работает + советы
1) если у вас шнурок воткнут в какой то хаб тонадо вытащить локалку и подампить, может это действительно не ваши пакеты ловяться, не вы один можете юзать 192.168.0.0/24, дампом особо не пользовался но могу предположить что как умная прога он сразу расшифровывает NAT в локальные адреса (если пускаеться на роутере) - для этого дампить нужно на другом конце.
2) Не знаю как дебиане а в слаке 12 по умолчанию в ядре включен роутинг брадкаст пакетов и MAC брадкаст - вот это и может видеть вашь пров и ругаться
3) Возьмите машину какуюнибуть и вокните к eth1 и на ней продампи что утебя выходит с интерфейса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "NAT не маскирует все пакеты"  
Сообщение от Влад (??) on 10-Июл-08, 17:59 
А как-то перехватывать пакеты после файервола iptables можна?

Я бы тогда зарезл все пакеты которые не прошли SNAT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру