Ach jo, sem to ale ....., aneb sdílení internetu

AbcLinuxu:/ Blogy / vse_o_vsem / Programy / Ach jo, sem to ale ....., aneb sdílení internetu

Štítky: firewally, Internet, iptables, NAT, sítě, textové editory, Vim

Ach jo, sem to ale ....., aneb sdílení internetu

25.12.2007 00:59 | Přečteno: 1826× | Programy | poslední úprava: 25.12.2007 18:43

Jelikož můj bráška dostal k vánocům 2 síťovky, rozhodl jsem se že si jednu dám do svého pc abych měl dvě a druhou dám do jeho bo neměl žádnou. Šlo o to aby i on měl internet.

Výchozí stav byl asi takovýto:

moje eth0
 - ip: 10.134.173.xxx - pristup do netu
 - brana: 10.134.173.zzz
 - netmask: 255.255.255.192
moje eth1
 - ip: 192.168.1.1
 - netmask: 255.255.255.0

druhypc eth0
 - ip: 192.168.1.2
 - brana: 192.168.1.1
 - netmask: 255.255.255.0

No takže mi bylo jasný že z mého pc musím udělat router. Už několikrát jsem do diskuze psal jak na to sic jsem to znal jen teoreticky. A tak jsem si myslel že to půjde jak po másle.

Věděl jsem že musím na tom svým pc zapnout routovani(forwoarding). To šlo hladce stačilo nastavit proměnou net.ipv4.ip_forward v /etc/sysctl.conf na 1. No a poslední věc měla být nastavení NATu. Tak jsem zadal do /etc/rc.local (se spouští pri startu, vím měl bych to nastavit jaku pravidlo pro iptables a spouštět iptables ve startovacich scriptech jako daemona) příkaz:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

No resetoval svuj komp a cekal ze vše pojede. No jenže nejelo (zkušenejší ví proč asi :-D

). Tak jsem zkusil, jinou distribuci a opět nic, jiný jádro a zase nic, no vyzkoušel jsem i SNAt a já už ani nevím co všechno. Až pak mě napadlo podívat se na to z pohledu paketu co se sním děje a proč prostě neprojde. A pak mi to došlo. Takže jsem paket vyslaný z pocitace barchy z rozhrani eth0 s ip 192.168.1.2 kráčím si to pokabelu až narazím na rozhraní eth1 s ip 192.168.1.1. Pefektní semka jsem došel a teď bych rád někam ven do sítě třeba 10.134.173.ccc, takže mě spracuje NAT a co semnou udělá, předělá mě tak abych se tvářil jako paket s ip adresy která je výchozí pro eth1, jenomže to znamená že se v podstatě nezměním, takže tady asi něco nehraje. No tak mi došlo že místi eth1 tam má být eth0 a už to jelo :-D

Hodnocení: 71 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

25.12.2007 01:12 Nejvyssi vladce vesmiru
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Odpovědět | Sbalit | Link | Blokovat | Admin

Vidis, musis vyzkouset 2 distra, sjizdet konference, ucit se iptables (a zbytecne, protoze az se networking v Lunixu opet prekope tak ti to bude ku hovnu).

Kdybys pouzival kradeny Windaz, mas to na jedno kliknuti do checkboxu "internet connection sharing".

25.12.2007 01:33 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

tak to je mozny, ale jak kdy viz zrovna jedna situace na zive.cz v poradne. Typek resi v podstate to samy co ja jen z windows a proste to nefunguje. Takze radeji zusatnu u linuxu kde aslpon vim kde je chyba nez u windows u kterych to je sice nastaveny dobre ale proste to nejede :-D

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 03:00 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Ok a jak v těch kradených woknech uděláš např. pár klikama jednoduché routování na jinou IP? Nebo ještě líp, jak v nich nastvíš routu celého segmentu na IP adresu v úplně jiném segmentu? Eh? to první v příkazové řádce, to druhý neumí ;-)

(teda doufám, myslím, že toto jsem nedávno zkoušel, teď nemám žádný wokna po ruce, abych to vyzkoušel)
Zdar Max

Měl jsem sen ... :(

25.12.2007 03:06 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

jéééžiš

, teď mi došlo, že mam u mladý ve widlích ještě svůj účet :-D

To když se po třičtvrtěroce zejtra přihlásim, to to asi díky všem upgadeům a záplatám skolabuje, co?! :-D

I♥DRX * www.KERNELULTRAS.org

25.12.2007 11:25 zelial | skóre: 21
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Nebo ještě líp, jak v nich nastvíš routu celého segmentu na IP adresu v úplně jiném segmentu?

nejspíš úplně nechápu co chceš říct (protože nastavovat routu na ip ze stejného segemntu nedává smysl), ale tohle nefunguje?

route add 10.0.0.0 mask 255.0.0.0 192.168.0.1

25.12.2007 16:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Doporučuju přidat parametr -p, ať si to pamatuje i po příštím spuštění.

25.12.2007 08:22 jyrki | skóre: 22 | blog: JKR
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

A to internet connection sharing umi kazde Windows? A kde to najdu? Clovece ja kdyz jsem tu mel comp s Windoze ktery byly jako jediny schopny lizs na net, tak jsem za boha neprisel na to jak na nich to sdileni nastavit...takze jsem si radsi koupil jinou wifi, abych mohl rozbehat net pod FreeBSD a nastaveni mi trvalo jen malou chvilicku :-)

We don't need no education...Asi potřebuješ, použil si dvakrát zápor * Registrovaný uživatel Linux #245559.

25.12.2007 08:55 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Ten checkbox je pouze v kradených W?

Heron

25.12.2007 10:53 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

25.12.2007 11:24 Nejvyssi vladce vesmiru
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Nevim, ja nikdy jiny nepouzival. Ale je to u W2K i v XP, staci u pripojeni co jde do internetu zaskrknout "enable internet connection sharing", a na vsech ostatnich pripojenich se ti rozbehne dhcp+nat do toho internetovyho.

Ale chapu ze nekteri Lunixaci tim samym muzou stravit prijemny tyden..

25.12.2007 12:26 standik | skóre: 17 | blog: vsechno mozne
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Někdy to tam neni, v tom případě pomůže spusti průvodce síte (nebo jak se to menuje) a nastavit která síťovka je připojena do internetu a který další síťovky můžou toto připojení využívat. Pak následuje nevyhnutelný restart a potom už je i to zaškrtávatko ke sdílení netu.

25.12.2007 11:15 zelial | skóre: 21
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

tady někdo nenašel pod stromečkem to, co si přál ;)

25.12.2007 11:27 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

"a mozek to nebyl" :D

25.12.2007 11:40 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Pokud tomu nechce rozumět, má si to naklikat. Klikací nástroje v Ubuntu a Mandrivě toto umí úplně stejně "složitě" jako ve Win.

Naopak naučit se iptables, ip a pod. nezaškodí, stejně jako znalost ipconfig na Windows. Hlavní výhoda je v tom, že může dělat složitější nastavení a snadno je přenášet: se mnou cestují v různých obměnách cca stejná pravidla po různých pc a v různých distrech.

Hlasuj pro zavedení OpenID na Abclinuxu!

25.12.2007 12:30 Nejvyssi vladce vesmiru
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Proc se ucit ipchains, kdyz mame iptables? Proc se ucit iptables kdyz budeme mit ipchannels? A proc se ucit ipchannels, kdyz jeste nejsou v jadru?

25.12.2007 12:43 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

No asi pro to ze iptables tady budou jeste dlouho, a to ze kdysi existovali ipchains neznamena ze kdyz se preslo na iptables tak se vse zmenilo, proste par veci se zlepsilo, a co to jako ma byt problem. Jako ze ve windows ta tabulka bude vždy na stejným místě ? Tomu sám doufám nevěříte.

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 12:47 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

> Proc se ucit ipchains, kdyz mame iptables? Proc se ucit iptables kdyz budeme mit ipchannels? A proc se ucit ipchannels, kdyz jeste nejsou v jadru?

Tyhle zmeny v jadre jsou mene caste, nez totalni prekopani uzivatelskeho rozhrani Windows, ke kteremu dochazi co nekolik let.

28.12.2007 09:33 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Já používám linux už několik let (možná deset) a na hodně pc i pár serverech. ipchains jsem nezažil, znalost iptables se mi mnohokrát vyplatila. Na takové jednoduché věci to je rozhodně jednodušší, než pokaždé v grafice hledat klikátko a snažit se pochopit jeho měnící se nebo dávno zapomenutou logiku. Ale samo, nemám nic proti tomu, aby tam to klikátko bylo,naopak. Jsem rád, že tam je a funguje. A u mnoha věcí, které nenastavuji tak často, rád ho místo studia textové konfigurace využiji.

Kdybych adminoval WIN,nepochybně bych uměl ipconfig. Protože bez něj se žádný WIN admin ani servisák neobejde.

Tak proto.

Hlasuj pro zavedení OpenID na Abclinuxu!

25.12.2007 14:36 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

nevim co tady prudis. me to NIKDY na vidlich nefungovalo. jednou jsem se dokonce dostal do situace (ano mel jsem vyply vsechny firewally a podobny windozacky nesmysly) kdy mi windows stroj hezky routoval ale nesel pingnout ani zvenci ani zevnitr. kdyz se mi na nem podarilo rozchodit pripojeni a dal se pingnout jak z venci tak zenitr prestal routovat. routovat uz nikdy nezacal. asi sem klikal na ten chceckboc internet connection sharing blbe... kdybych pouzival kradeny windosy byl bych zlodej.

ps: nenavadej tady k trestne cinnosti

Talking about music is like dancing to architecture.

25.12.2007 17:08 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

He he, pekne. Tak a ted mi poradte jak to udelat kdyz chci mit ve vnitrni siti jinej rozsah nez 192.168.1.0 :-)

Please rise for the Futurama theme song.

25.12.2007 02:53 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Odpovědět | Sbalit | Link | Blokovat | Admin

Mohl bys to prosím vysvetlit ještě jednou jak jsi to rozchodil, pro blbce? (pro mně) Já to nějak nechápu, teda tak napůl, spíš si to nedokážu logicky zdůvodnit... Síť zrovna neni to moje pravý ořechový...

I♥DRX * www.KERNELULTRAS.org

25.12.2007 09:57 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

tiez sa mi to zdalo nejake zmatene, ale este som nejaky otupeny :)

skus pozret tento strucny navod

28.12.2007 09:40 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

= cokoliv odejde na routeru přes síťovku eth0 maškaráduj (tzn. označ paket ip adresou síťovky eth0). Je to proto, že na eth0 má veřejnou ip a pakety z vnitřní neveřejné sítě pak mohou ven. Odpovědi na ně jsou automaticky přeposlány na původní adresu.

Hlasuj pro zavedení OpenID na Abclinuxu!

25.12.2007 08:54 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Odpovědět | Sbalit | Link | Blokovat | Admin

10.134.173.xxx

Tuhle IP nemusíš skrývat. ;-)

Nebo potom důsledně skryj i ty 192.168.1.xxx :-)

Heron

25.12.2007 09:44 koffr
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Ale musí, protože tu včera přece vyžblept heslo :)

25.12.2007 10:14 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Jestli to bude něco z czfree.net, tak se k tomu rozhraní může dostat nezanedbatelné množství lidí…

25.12.2007 09:37 Black.Bandit | skóre: 5 | blog: Bandita
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Odpovědět | Sbalit | Link | Blokovat | Admin

Ten někdo, kdo kupoval 2 síťovky mohl možná koupit 1 síťovku + 1 switch :-)

Rozdíl v ceně nebude nijak drastický.

Nemo propheta in patria sua

25.12.2007 09:45 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

A jak by se to potom zapojilo? ;-)

Heron

25.12.2007 11:17 zelial | skóre: 21
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

nó, jak vidím tu netmasku a neveřejné ip, tak bych si tipl, že by to i mohlo jít.

25.12.2007 11:29 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Ist by to mohlo, ale IMHO by to nebolo najelegantnejsie riesenie.. To uz skor nejaky lacny router.. Nestoji o moc viac ako obycajny switch a postaral by sa aj o NAT.. Dobre nastavenym iptables sa to ale urcite nevyrovna ;-)

Computers are not intelligent. They only think they are.

25.12.2007 11:37 zelial | skóre: 21
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

já měl na mysli něco takového:

druhypc eth0
 - ip: 10.134.173.xxx+1 - pristup do netu
 - brana: 10.134.173.zzz
 - netmask: 255.255.255.192

kdyby to fungovalo, tak by byla bílá bělejší minimálně o 67% proti řešení s natem. naty jsou fuj. a ty z různých levných krabiček tuplem.

25.12.2007 12:15 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

no kdyby to tak mohlo bejte tak to rovnou ten komp zapojim do routru ve kterym je zapojenej ten prvni, ale bohuzel sit 10.134.173.xxx je verejna sit meho ISP a ja si jen tak nemohu pridavat pocitace jak je mi libo.

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 12:15 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

teda lokalni :-D

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 12:49 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

> ale bohuzel sit 10.134.173.xxx je verejna sit meho ISP

Vzhledem k tomu, ze se jedna o 10.x.x.x sit, tak tvuj ISP ma tech adres plno, asi by ti jich klidne poskytl vic.

25.12.2007 13:45 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Jo to mozna jo, ale problem je v tom ze pro kazdou ip by mi musel poustet net, takze by mi musel delit moji rychlost na tyto dve ip, coz mi prijde zbytecny aby se o to staral on kdyz si muzu udelat NAT. Staci ze mi poskytuje ten net zadarmo jeste abych mu pridelaval starosti :-D

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 16:59 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Takže kozzi by si pak platil dvě/více linky?

Heron

25.12.2007 18:27 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Ledaze by jeho ISP neumel shapovat vic IP adres v ramci jedne class.

25.12.2007 20:27 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Přemýšlím, jak bych tuto nestandardní a zcela individuální službu zpoplatnil :-)

To by bylo tak drahý, že by se vyplatilo koupit si druhou linku :-D

Heron

25.12.2007 12:52 zelial | skóre: 21
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

škoda. tiše jsem předpokládal, že to třeba budeš mít podobně jako já: můj isp taky dává neveřejné ip, ale protože s nima není třeba šetřit, tak dává rovnou /29 podsíť.

25.12.2007 11:48 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Do levnych routeru (treba Edimax BR-6104) muzes nahrat Linux a pak si nastavovat iptables dle libosti.

25.12.2007 12:17 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

JJ to mi taky doslo, ale az kdyz uz jsem mel objednany ty dve sitovky. z budou penizky tak si koupim nejakej levnej kram do kteryho narvu linux a pak uz to bude pohoda.

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 16:46 Black.Bandit | skóre: 5 | blog: Bandita
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Doporučuju Ovislink IP-1000R nebo IP-1000UR v případě, že chceš integrovaný printserver, případně jejich modelové nástupce. Jeden z nich také vlastním a jede bez problémů již několik let. Dokonce jsem jednou psal na technickou podporu až na Tajwan, a borec co to tam má na starosti fičí na Gentoo, což mě mile překvapilo. Čekal jsem totiž spíše nějakého idiota, který jak zjistí, že nemám Windows tak mě pošle do prdele.

Nemo propheta in patria sua

25.12.2007 16:58 kozzi | skóre: 55 | blog: vse_o_vsem | Pacman (Bratrušov)
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

JJ diky urcite se na to podivam, ten jeden router do kteryho mam zapojeny to prvni pc ten od poskytovateleje taky tusim ovislink, jen nevim co tam je za system ale podle logu to vypada na nejakej embeded linux, jen mi tam chybi sshd :-D

mozna by to poresil upgrade firmware

Linux je jako mušketýři "jeden za všechny, všichni za jednoho"

25.12.2007 17:03 Black.Bandit | skóre: 5 | blog: Bandita
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

Co tam je za system to netuším, nikdy jsem to neřešil, protože Routr má vše co potřebuju. Na podpoře jsem řešil nějaký specifický problém, který měl připojený počítač s Linuxem a s Windowsy nikoli. Nakonec se stejně ukázalo, že problém není v Routru, ale u mého tehdejšího ISP. Ale borec na podpoře zakuklený Gentoista měl pro mě pochopení :-D

, i když nakonec nebyla chyba v routru

Nemo propheta in patria sua

25.12.2007 16:42 Black.Bandit | skóre: 5 | blog: Bandita
Rozbalit Rozbalit vše Re: Ach jo, sem to ale ......

předpokládál jsem, že jsi za routrem. Routr/FW/NAT dneska koupíš okolo 800,- a na domácí použití je to více než dostačující. To, že si doma připojím cokoli, bez ohledua na to, co si myslí ISP považuji za samozřejmost. Routr je pro domácí síť téměř nutností. Vřele doporučuju.

Nemo propheta in patria sua

Založit nové vlákno • Nahoru