abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 809 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: RHEL 5.2 nefunkční NAT

18.11.2008 07:37 majales | skóre: 20 | blog: Majales
RHEL 5.2 nefunkční NAT
Přečteno: 304×
Zdravím. Snažím se rozjet NAT na RHEL 5.2. Mám funkční IPtables skript který spolehlivě funguje na Debian Etch a Sarge, ovšem na RHEL ani ťuk. Nevíte kde by mohla být chyba?

Ve skriptu zapínám ip forwarding takto:
echo "1" > /proc/sys/net/ipv4/ip_forward
a pak zapínám SNAT takto:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to "IP eth0"
Zkoušel jsem i modifikaci s MASQURADE, ale bez výsledku. Díky za každý tip.

Odpovědi

18.11.2008 08:25 hysterix
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Ja vim uplne presne, kde je chyba. Chyba je mezi zidli a klavesnici. HTH
18.11.2008 09:38 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Děkuji za nekonstruktivní připomínku. Přivítal bych spíše nějakou konstruktivní...
18.11.2008 10:22 hysterix
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Jsem si naprosto jist, ze jsem odpovedel presne v duchu puvodni otazky. Na konstruktivni pripominku neni v puvodni otazce zadna chybova hlaska, vypis nastaveni iptables po probehnuti skriptu, zda se dopinga na gateway, ba ani popis, co vsechno tazatel zkusil apod.
michich avatar 18.11.2008 10:21 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Ukaž routovací tabulku (ip route) a obsah iptables (iptables -L -vn; iptables -t nat -L -vn). A taky vysvětli, co znamená "ani ťuk" (čili jak to testuješ).
18.11.2008 11:25 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Uznávám že jsem nepodal moc informací.
root@router sysconfig]# /sbin/iptables -L -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   73  5340 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:412
    0     0 ACCEPT     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0           icmp type 8
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   27  2471 ACCEPT     all  --  eth1   *       0.0.0.0/0            10.0.0.0/24
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            192.168.84.1
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            10.0.0.0/24
    0     0 ACCEPT     udp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           udp dpt:67
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.84.1        state RELATED,ESTABLISHED
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 12/hour burst 5 LOG flags 0 level 4 prefix `INPUT drop: '

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            10.0.0.6            tcp dpt:80
    4   240 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
    4   240 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 12/hour burst 5 LOG flags 0 level 4 prefix `forward drop: '

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       127.0.0.1            0.0.0.0/0
   33  2320 ACCEPT     all  --  *      *       10.0.0.0/24          0.0.0.0/0
   57  8440 ACCEPT     all  --  *      *       192.168.84.1         0.0.0.0/0
    0     0 ACCEPT     udp  --  *      eth1    0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `OUTPUT drop: '

Chain IN_FW (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain logdrop (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/hour burst 3 LOG flags 0 level 4 prefix `Rezervovana adresa: '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
[root@router sysconfig]#

[root@router sysconfig]# /sbin/iptables -t nat -L -vn
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:10.0.0.6:80

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

 [root@router sysconfig]# /sbin/ip route
10.0.0.0/24 dev eth1  proto kernel  scope link  src 10.0.0.1
192.168.84.0/24 dev eth0  proto kernel  scope link  src 192.168.84.1
192.168.122.0/24 dev virbr0  proto kernel  scope link  src 192.168.122.1
169.254.0.0/16 dev eth1  scope link
default via 192.168.84.3 dev eth0
Lze z těchto informací něco poznat? Já mám dojem že nefunguje ip forwarding...
18.11.2008 10:44 hatack
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Ja tam obvykle davam --to-source, --to davam u DNATu.
Heron avatar 18.11.2008 11:24 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT

Pravidlo má vypadat nějak takto:

iptables -t nat -A POSTROUTING -s $LAN_IP -j SNAT --to-source $INTERNET_IP

+ příslušná pravidla v FORWARD řetězci v tabulce FILTER, třeba něco takového:

iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

RHEL má nějaký defaultní FW, předpokládám, že jste jej vypnul (service iptables stop). Když tam sem dejte výpis iptables -L -n -t filter a též -t nat

18.11.2008 11:29 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Zkoušel jsem varinatu se SNAT jsem taky zkoušel, je totiž v tom původním skriptu. Bohužel si myslím že pes je zakopán někde jinde..
18.11.2008 11:54 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Tak varianta se SNAT taky nechodí, teď jsem to vyzkoušel...
18.11.2008 11:59 hysterix
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Tak zkusim
cat /proc/sys/net/ipv4/ip_forward
jestli je tam opravdu 1. Pokud ano, tak zkusim docasne smazat vsechny tabulky krome nat iptables
iptables -t mangle -F iptables -F
a zkontrolovat, ze v tabulce nat zustalo jen to, co chci
iptables -t nat -nvL
18.11.2008 12:01 hysterix
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
V mazani vsech tabulek krome nat se mi to mou chybou slilo do jedne radky - ma to byt takto:
iptables -t mangle -F
iptables -F
18.11.2008 11:59 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
tady posílám výpis s tím SNATem:
[root@router sysconfig]# /sbin/iptables -L -n -t filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:412
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            10.0.0.0/24
ACCEPT     all  --  0.0.0.0/0            192.168.84.1
ACCEPT     all  --  0.0.0.0/0            10.0.0.0/24
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67
ACCEPT     all  --  0.0.0.0/0            192.168.84.1        state RELATED,ESTABLISHED
LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 12/hour burst 5 LOG flags 0 level 4 prefix `INPUT drop: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            10.0.0.6            tcp dpt:80
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 12/hour burst 5 LOG flags 0 level 4 prefix `forward drop: '

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  127.0.0.1            0.0.0.0/0
ACCEPT     all  --  10.0.0.0/24          0.0.0.0/0
ACCEPT     all  --  192.168.84.1         0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:67 dpt:68
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `OUTPUT drop: '

Chain IN_FW (0 references)
target     prot opt source               destination

Chain logdrop (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 5/hour burst 3 LOG flags 0 level 4 prefix `Rezervovana adresa: '
DROP       all  --  0.0.0.0/0            0.0.0.0/0

[root@router sysconfig]# /sbin/iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:10.0.0.6:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.0.0.0/24          0.0.0.0/0           to:192.168.84.1

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
18.11.2008 13:48 Petr
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -d 0/0 -J MASQUERADE
18.11.2008 14:42 baloo
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Jenom mimochodem mas vyplej selinux ?
michich avatar 19.11.2008 09:10 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
To rozhodně nemá být potřeba.
18.11.2008 14:55 linuxik | skóre: 32 | Milovice
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Ahoj,

smazni vsechna pravidla, 'iptables -F' a 'iptables -t nat -F', zapni forward 'echo 1 > /proc/sys/net/ipv4/ip_forward' a pridej pouze pouze SNAT a uvidis.

19.11.2008 10:48 majales | skóre: 20 | blog: Majales
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Dobrý den,
Omlouvám se všem kterí vážili času na přečtení si mojí úpěnlivé prosby a na vytvoření komentáře/ů. Chyba byla způsobena něčím jiným mimo RHEL. Šlo o pravidlo na switchi, které zahazovalo všechny packety mimo nastavený síťový rozsah. Ověřil jsem že když se připojím notebookem pomocí kříženého kabelu přímo do vnitřního rozhraní toho stroje s RHEL tak NAT funguje jako z praku, a z toho jsem usoudil že za to může ten switch. Dnes ráno bylo pravidlo poopraveno a vše běhá tak jak má...
19.11.2008 11:50 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: RHEL 5.2 nefunkční NAT
Mno priste by bylo dobry pustit si na eth0 tcpdump, kde by jasne bylo videt, ze se adresy spravne zanatovavaji a ze problem je tedy jinde...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.