- This topic has 66 hozzászólás, 7 résztvevő, and was last updated 17 years, 4 months telt el by
.
-
Bejegyzés
-
Na most van egy érdekes fennforgás:
Beadom az iptables-nek a szabályokat file-ból, rögtön ezután listázom az iptables szabályokat, ezt kapom:
P3:/etc/network/if-up.d# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationNamost ha flussolom a szabályokat, ugyan ezt kapom.
Van valakinek ötlete? Valszeg itt a probléma, mert bár torrentnél incoming kapcsolatok vannak, más nem működik.
Az lenne a kérdésem, hogy az iptables és a nat működéséhez melyik kernelrészeknek meglennie, illetve milyen egyéb követelménye van, mert gyanítom, hogy itt lesz a gubanc.
Köszönöm előre is.
Dchard
Na most van egy érdekes fennforgás:
Beadom az iptables-nek a szabályokat file-ból, rögtön ezután listázom az iptables szabályokat, ezt kapom:
P3:/etc/network/if-up.d# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationNamost ha flussolom a szabályokat, ugyan ezt kapom.
Van valakinek ötlete? Valszeg itt a probléma, mert bár torrentnél incoming kapcsolatok vannak, más nem működik.
Az lenne a kérdésem, hogy az iptables és a nat működéséhez melyik kernelrészeknek meglennie, illetve milyen egyéb követelménye van, mert gyanítom, hogy itt lesz a gubanc.
Köszönöm előre is.
Dchard
Na újabb érdekesség: mindenfajta változtatás nélkül most megy minden ezzel a scripttel és két karival:
Code:/sbin/iptables -F
/sbin/iptables -F -t natecho 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5900 -j DNAT –to-destination 192.168.1.2:5900
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5800 -j DNAT –to-destination 192.168.1.2:5800
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 21 -j DNAT –to-destination 192.168.1.2:21
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625Megy az MSN, a forwardolt portok meg minden más is. Vasárnap kipróbálom egy kártyával, és a topik elején összefoglalok mindent.
Dchard
Na újabb érdekesség: mindenfajta változtatás nélkül most megy minden ezzel a scripttel és két karival:
Code:/sbin/iptables -F
/sbin/iptables -F -t natecho 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5900 -j DNAT –to-destination 192.168.1.2:5900
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5800 -j DNAT –to-destination 192.168.1.2:5800
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 21 -j DNAT –to-destination 192.168.1.2:21
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625Megy az MSN, a forwardolt portok meg minden más is. Vasárnap kipróbálom egy kártyával, és a topik elején összefoglalok mindent.
Dchard
Nos uraim, úgy néz ki remekül megy egy hálókártyával a routolás, az MSN, a portforward , a pppoe tárcsázás meg minden, aminek egy routeren mennie kell.
A probléma a pppoe és a network fileokban volt keresendő.
A részletes megoldást leírom az első hozzászólsában.
Dchard
Nos uraim, úgy néz ki remekül megy egy hálókártyával a routolás, az MSN, a portforward , a pppoe tárcsázás meg minden, aminek egy routeren mennie kell.
A probléma a pppoe és a network fileokban volt keresendő.
A részletes megoldást leírom az első hozzászólsában.
Dchard
A probléma:
Adott egy teljesen switchelt LAN, néhány géppel, egy debian szerverrel (web, ftp, route, NAT ), és egy ADSL modemmel. (értsd: a DSL mode, a hálózaton lévő gépek és a szerver is egy switchben csatlakozik, a szervernek NINCS két hálókarija).
A cél, hogy a DSL kapcsolat kezelését, és a teljes natolást, routolást a debianos gép lássa el.
A debianos gépben egy hálókari van (eth0) 192.168.1.200 címmel, és a ppp0 a bejövő interfész (ADSL).
A megoldás:
Bemásolok minden konfigurációs állományt, ha valakinek később ezzel problémája támadna:
iptables script:
Code:/sbin/iptables -F
/sbin/iptables -F -t natecho 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5900 -j DNAT –to-destination 192.168.1.2:5900
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 5800 -j DNAT –to-destination 192.168.1.2:5800
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 21 -j DNAT –to-destination 192.168.1.2:21
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 50625 -j DNAT –to-destination 192.168.1.2:50625/etc/network/interfaces
Code:# The loopback network interface
auto lo
iface lo inet loopback# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.200
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
#gateway 192.168.1.254
# dns-* options are implemented by the resolvconf package, if installed
#dns-nameservers 192.168.1.254auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-providerifconfig parancs kimenete:
Code:eth0 Link encap:Ethernet HWaddr 00:30:4F:2B:43:52
inet addr:192.168.1.200 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::230:4fff:fe2b:4352/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3624 errors:0 dropped:0 overruns:0 frame:0
TX packets:3624 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:939509 (917.4 KiB) TX bytes:1334354 (1.2 MiB)
Interrupt:11 Base address:0xe800lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1008 (1008.0 b) TX bytes:1008 (1008.0 b)ppp0 Link encap:Point-to-Point Protocol
inet addr:85.238.72.45 P-t-P:195.38.98.67 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:1608 errors:0 dropped:0 overruns:0 frame:0
TX packets:1692 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:470996 (459.9 KiB) TX bytes:529171 (516.7 KiB)/etc/ppp/peers/dsl-provider
Code:# The following two options should work fine for most DSL users.# Assumes that your IP address is allocated dynamically
# by your DSL provider…
noipdefault
# Try to get the name server addresses from the ISP.
usepeerdns
# Use this connection as the default route.
# Comment out if you already have the correct default route installed.
defaultroute
replacedefaultroute##
# Section 2
#
# Uncomment if your DSL provider charges by minute connected
# and you want to use demand-dialing.
#
# Disconnect after 300 seconds (5 minutes) of idle time.#demand
#idle 300##
# Section 3
#
# You shouldn’t need to change these options…hide-password
lcp-echo-interval 20
lcp-echo-failure 3
# Override any connect script that may have been set in /etc/ppp/options.
connect /bin/true
noauth
persist
mtu 1492# RFC 2516, paragraph 7 mandates that the following options MUST NOT be
# requested and MUST be rejected if requested by the peer:
# Address-and-Control-Field-Compression (ACFC)
noaccomp
# Asynchronous-Control-Character-Map (ACCM)
default-asyncmapplugin rp-pppoe.so eth0
user „user@szolgaltato.hu”Ezekkel a beállításokkal a szerverben egyetlen hálókártyával remekül megy a:
1. Teljes natolás
2. portforward befelé (VNC, ftp, torrent a belső gépeken).
3. MSN (telefonálást még nem próbáltam).
4. web és sql szerverek (dinamikus DNS segítségével megy kívülről is állandó hosztokkal)Fontos: a /etc/ppp/peers/dsl-provider konfigurációs fájlt(és még néhányat a /etc/ppp könyvtárban) a pppoeconf futtatásakor hozza létre a pppoe szoftver, valamint a /etc/network/interfaces fájlban lévő módosításokat is az hozza létre.
Természetesen minden fájlban és scriptnél figyeljünk oda az eszköz nevekre (eth0, ppp0 stb.), hogy azok megfeleljenek az általunk használt eszközöknek.
Figyelem: az átirányított (forwardolt) portok működőképességét soha ne próbáljuk a belső hálózatról vagy a szerverről tesztelni, mert könnyen téves eredményt kaphatunk. Ha például van egy natolt gépen VNC szerverünk, akkor annak kívülrőli elérhetőségét mindig egy külső gépről (barátunktól, suliból, munkahelyről) teszteljük!
Dchard
(ez egy szerkesztett hozzászólás)
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz