- This topic has 42 hozzászólás, 3 résztvevő, and was last updated 16 years, 9 months telt el by
.
-
Bejegyzés
-
OK, nem szándékosan, de bevittük egymást az erdőbe… Megpróbálok rendet tenni.
0.) A port forwarding kifejezésröl:
„Port Forwarding is only called within masquerading functions so it
fits inside the same IPFWADM/IPCHAINS rules. Masquerading is an extension to
IP forwarding. Therefore, ipportfw only sees a packet if it fits
both the input and masquerading ipfwadm rule sets.”(Megjegyzés: profi tüzfalaknál nem csak masquerading, hanem 1:1 (fully) NAT esetében is használják a kifejezést.
1.) Van a céges gépednél egy proxy, hogy ki tudjál menni a világba. Gondolom, ha ezen átküzdötte magát a csomag, akkor, amikor a routeredre odaér, már a 22-es, 80-as, 41477-es portot címzi. Ha így van, felejtsük el céges proxydat, mert ekkor ennek semmi köze a problémához.
2.) Ha „kipucolod” teljesen a router iptable-ját, nem lesz router a router. Kár is megpróbálni.
3.) Ha az otthoni gépeden fut egy proxy (tulajdonképpen reverse-proxy) a 80-as portra (gondolom a webszervered meg inetd/xinetd -s) , akkor a routerben a 80-as port egyszerüen forwardolandó az otthoni gépedre (192.168.x.y). Ha jól értettem, ez ment is jól.
4.) Ha nem az otthoni gépeden, hanem a routeredben fut a reverse proxy, akkor a 80-as portot nem szabad forwardolni (meg kell változtatni a roter beállításait) mert a proxy figyeli a WAN:80-at (pontosabban a ppp0:80-at) és ha „tetszik neki” ami jött, akkor továbbítja a 192.168.x.y:80-ra. Lehet, hogy itt nem kapcsoltad ki a router beállításainal a forwardot? Itt a kígyó a saját farkába haraphat.
5.) A 80-as portot figyelő reverse proxynak a routerben elvileg nem szabadna a 22-es port forwardra kihatnia.
6.) Ez angolul elmagyarázza: http://tldp.org/HOWTO/IP-Masquerade-HOWTO/ Bevallom, a lustaságom is oka, de nekem nem sikerült még átrágnom magam rajta, pedig már álltam neki … 🙁
OK, nem szándékosan, de bevittük egymást az erdőbe… Megpróbálok rendet tenni.
0.) A port forwarding kifejezésröl:
„Port Forwarding is only called within masquerading functions so it
fits inside the same IPFWADM/IPCHAINS rules. Masquerading is an extension to
IP forwarding. Therefore, ipportfw only sees a packet if it fits
both the input and masquerading ipfwadm rule sets.”(Megjegyzés: profi tüzfalaknál nem csak masquerading, hanem 1:1 (fully) NAT esetében is használják a kifejezést.
1.) Van a céges gépednél egy proxy, hogy ki tudjál menni a világba. Gondolom, ha ezen átküzdötte magát a csomag, akkor, amikor a routeredre odaér, már a 22-es, 80-as, 41477-es portot címzi. Ha így van, felejtsük el céges proxydat, mert ekkor ennek semmi köze a problémához.
2.) Ha „kipucolod” teljesen a router iptable-ját, nem lesz router a router. Kár is megpróbálni.
3.) Ha az otthoni gépeden fut egy proxy (tulajdonképpen reverse-proxy) a 80-as portra (gondolom a webszervered meg inetd/xinetd -s) , akkor a routerben a 80-as port egyszerüen forwardolandó az otthoni gépedre (192.168.x.y). Ha jól értettem, ez ment is jól.
4.) Ha nem az otthoni gépeden, hanem a routeredben fut a reverse proxy, akkor a 80-as portot nem szabad forwardolni (meg kell változtatni a roter beállításait) mert a proxy figyeli a WAN:80-at (pontosabban a ppp0:80-at) és ha „tetszik neki” ami jött, akkor továbbítja a 192.168.x.y:80-ra. Lehet, hogy itt nem kapcsoltad ki a router beállításainal a forwardot? Itt a kígyó a saját farkába haraphat.
5.) A 80-as portot figyelő reverse proxynak a routerben elvileg nem szabadna a 22-es port forwardra kihatnia.
6.) Ez angolul elmagyarázza: http://tldp.org/HOWTO/IP-Masquerade-HOWTO/ Bevallom, a lustaságom is oka, de nekem nem sikerült még átrágnom magam rajta, pedig már álltam neki … 🙁
gendelider wrote:0.) A port forwarding kifejezésröl:„Port Forwarding is only called within masquerading functions so it
fits inside the same IPFWADM/IPCHAINS rules. Masquerading is an extension to
IP forwarding. Therefore, ipportfw only sees a packet if it fits
both the input and masquerading ipfwadm rule sets.”(Megjegyzés: profi tüzfalaknál nem csak masquerading, hanem 1:1 (fully) NAT esetében is használják a kifejezést.
Na ezt nem értem, ennyire nem jó se az angolom se az iptables tudásom.
gendelider wrote:1.) Van a céges gépednél egy proxy, hogy ki tudjál menni a világba. Gondolom, ha ezen átküzdötte magát a csomag, akkor, amikor a routeredre odaér, már a 22-es, 80-as, 41477-es portot címzi. Ha így van, felejtsük el céges proxydat, mert ekkor ennek semmi köze a problémához.Ez így van, a céges proxy és tűzfal már megkerülve, azok nem kavarnak be.
gendelider wrote:2.) Ha „kipucolod” teljesen a router iptable-ját, nem lesz router a router. Kár is megpróbálni.A NAT részét természetesen nem lőném ki, csak az INPUT/OUTPUT/FORWARD láncokat.
gendelider wrote:3.) Ha az otthoni gépeden fut egy proxy (tulajdonképpen reverse-proxy) a 80-as portra (gondolom a webszervered meg inetd/xinetd -s) , akkor a routerben a 80-as port egyszerüen forwardolandó az otthoni gépedre (192.168.x.y). Ha jól értettem, ez ment is jól.Webszerverem nincs, a többit jól értetted.
gendelider wrote:4.) Ha nem az otthoni gépeden, hanem a routeredben fut a reverse proxy, akkor a 80-as portot nem szabad forwardolni (meg kell változtatni a roter beállításait) mert a proxy figyeli a WAN:80-at (pontosabban a ppp0:80-at) és ha „tetszik neki” ami jött, akkor továbbítja a 192.168.x.y:80-ra. Lehet, hogy itt nem kapcsoltad ki a router beállításainal a forwardot? Itt a kígyó a saját farkába haraphat.
Természetesen azt olyankor kikapcsolom, a routerre és más gépekre be is tudok lépni azon keresztül, csak a gépemre nem, tehát az nem zavar be.Azon a doksin én sem fogom tudni átrágni magam, a 0. pontnál említettek miatt.
Én még mindig azt furcsállom amit korábban írtam, hogy miért nem dobja át a router belső IP-jére.gendelider wrote:0.) A port forwarding kifejezésröl:„Port Forwarding is only called within masquerading functions so it
fits inside the same IPFWADM/IPCHAINS rules. Masquerading is an extension to
IP forwarding. Therefore, ipportfw only sees a packet if it fits
both the input and masquerading ipfwadm rule sets.”(Megjegyzés: profi tüzfalaknál nem csak masquerading, hanem 1:1 (fully) NAT esetében is használják a kifejezést.
Na ezt nem értem, ennyire nem jó se az angolom se az iptables tudásom.
gendelider wrote:1.) Van a céges gépednél egy proxy, hogy ki tudjál menni a világba. Gondolom, ha ezen átküzdötte magát a csomag, akkor, amikor a routeredre odaér, már a 22-es, 80-as, 41477-es portot címzi. Ha így van, felejtsük el céges proxydat, mert ekkor ennek semmi köze a problémához.Ez így van, a céges proxy és tűzfal már megkerülve, azok nem kavarnak be.
gendelider wrote:2.) Ha „kipucolod” teljesen a router iptable-ját, nem lesz router a router. Kár is megpróbálni.A NAT részét természetesen nem lőném ki, csak az INPUT/OUTPUT/FORWARD láncokat.
gendelider wrote:3.) Ha az otthoni gépeden fut egy proxy (tulajdonképpen reverse-proxy) a 80-as portra (gondolom a webszervered meg inetd/xinetd -s) , akkor a routerben a 80-as port egyszerüen forwardolandó az otthoni gépedre (192.168.x.y). Ha jól értettem, ez ment is jól.Webszerverem nincs, a többit jól értetted.
gendelider wrote:4.) Ha nem az otthoni gépeden, hanem a routeredben fut a reverse proxy, akkor a 80-as portot nem szabad forwardolni (meg kell változtatni a roter beállításait) mert a proxy figyeli a WAN:80-at (pontosabban a ppp0:80-at) és ha „tetszik neki” ami jött, akkor továbbítja a 192.168.x.y:80-ra. Lehet, hogy itt nem kapcsoltad ki a router beállításainal a forwardot? Itt a kígyó a saját farkába haraphat.
Természetesen azt olyankor kikapcsolom, a routerre és más gépekre be is tudok lépni azon keresztül, csak a gépemre nem, tehát az nem zavar be.Azon a doksin én sem fogom tudni átrágni magam, a 0. pontnál említettek miatt.
Én még mindig azt furcsállom amit korábban írtam, hogy miért nem dobja át a router belső IP-jére.birno wrote:Na ezt nem értem, ennyire nem jó se az angolom se az iptables tudásom.Röviden annyi, hogy a protforwarding kifejezés csak a masquerading „fogalomkörben” értelmezett, egy alfaja az ip forwardingnak.
Mire jó a 80-as portra használt proxy a routeredben, ha nincs webszervered?
birno wrote:Én még mindig azt furcsállom amit korábban írtam, hogy miért nem dobja át a router belső IP-jére.Mi a routered „belső IP”-je? (Mit hívsz annak?) A WAN IP, a ppp0 IP, a LAN IP esetleg a localhost (127.0.0.1)? Szerintem ezért nem „dobja át”, mert „ő” sem tudja, hogy hova…
birno wrote:Na ezt nem értem, ennyire nem jó se az angolom se az iptables tudásom.Röviden annyi, hogy a protforwarding kifejezés csak a masquerading „fogalomkörben” értelmezett, egy alfaja az ip forwardingnak.
Mire jó a 80-as portra használt proxy a routeredben, ha nincs webszervered?
birno wrote:Én még mindig azt furcsállom amit korábban írtam, hogy miért nem dobja át a router belső IP-jére.Mi a routered „belső IP”-je? (Mit hívsz annak?) A WAN IP, a ppp0 IP, a LAN IP esetleg a localhost (127.0.0.1)? Szerintem ezért nem „dobja át”, mert „ő” sem tudja, hogy hova…
Mire jó a 80-as portra használt proxy a routeredben, ha nincs webszervered?
Socks proxy-ról van szó és amint korábban is írtam a céges korlátok miatt van rá szükségem, másképp nem tudnék ssh-zni, vnc-t használni stb.
Mi a routered „belső IP”-je?
192.168.1.1, én ezt nevezem a belső IP-jének.
Amúgy valóban megbukott a NAT-olással kapcsolatos elméletem, megnéztem tcpdump-al, hogy hogyan csatlakozik a routerhez a 41477-es porton(ezen fut az ssh), itt egy részlet:
Code:14:47:50.495057 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 4192226188 win 16396
14:47:50.496719 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 117 win 16396
14:47:50.498737 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 169 win 16396
14:47:50.520336 IP 92-249-200-232.pool.digikabel.hu.41477 > 92-249-200-232.pool.digikabel.hu.4812: P 601:813(212) ack 0 win 16384Mire jó a 80-as portra használt proxy a routeredben, ha nincs webszervered?
Socks proxy-ról van szó és amint korábban is írtam a céges korlátok miatt van rá szükségem, másképp nem tudnék ssh-zni, vnc-t használni stb.
Mi a routered „belső IP”-je?
192.168.1.1, én ezt nevezem a belső IP-jének.
Amúgy valóban megbukott a NAT-olással kapcsolatos elméletem, megnéztem tcpdump-al, hogy hogyan csatlakozik a routerhez a 41477-es porton(ezen fut az ssh), itt egy részlet:
Code:14:47:50.495057 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 4192226188 win 16396
14:47:50.496719 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 117 win 16396
14:47:50.498737 IP 92-249-200-232.pool.digikabel.hu.4812 > 92-249-200-232.pool.digikabel.hu.41477: . ack 169 win 16396
14:47:50.520336 IP 92-249-200-232.pool.digikabel.hu.41477 > 92-249-200-232.pool.digikabel.hu.4812: P 601:813(212) ack 0 win 16384Bocs, elkerülte a figyelmemet, hogy a roteredben egy socks proxy fut. Komplikálja a helyzetet (hiszen a router „belsejében” keletkezik bármilyen port, „valamilyen” IP-re címezve)
Ezt már tényleg nem látom át, itt oda kellene ülni mellé, és mérni… Lehetöleg minél elemibb eseményeket, közben meg „kozmetikázgatni” az iptable bejegyzéseket. Vagy valakit találni, aki simán olvassa és megérti a szabálylistát.
Bocs, elkerülte a figyelmemet, hogy a roteredben egy socks proxy fut. Komplikálja a helyzetet (hiszen a router „belsejében” keletkezik bármilyen port, „valamilyen” IP-re címezve)
Ezt már tényleg nem látom át, itt oda kellene ülni mellé, és mérni… Lehetöleg minél elemibb eseményeket, közben meg „kozmetikázgatni” az iptable bejegyzéseket. Vagy valakit találni, aki simán olvassa és megérti a szabálylistát.
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz