abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 12:22 | Komunita

Prohlášení (Twitter) Minnesotské univerzity k výzkumu proveditelnosti nenápadného začlenění bezpečnostních chyb do Linuxu: Situaci bereme vážně. Výzkum jsme pozastavili. Prozkoumáme výzkumnou metodu a její schválení. Stanovíme opatření…

Ladislav Hagara | Komentářů: 3
dnes 11:22 | Nová verze

OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 16.0.0 (Current) otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). Přehled novinek v článku na Medium.

Ladislav Hagara | Komentářů: 1
dnes 09:44 | Pozvánky

Na MFF UK pokračuje série on-line přednášek o architektuře a implementaci operačních systémů. Dnes je na programu Live kernel patching, příští týden ladění kernelu a kdump, další přednášky jsou naplánovány až do 3. června.

… více »
Vojtěch Horký | Komentářů: 0
dnes 09:00 | Nová verze

Byla vydána nová verze 3.3 multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy a videi v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0
včera 21:22 | Komunita

Mozilla.cz informuje, že Mozilla z Firefoxu pro Android i iOS odstraní integraci „sledovacího“ systému Leanplum. Leanplum sbírá informace, jak moc uživatelé používají záložky, panely, integraci Pocketu apod. Českých uživatelů se to prý příliš netýká.

Ladislav Hagara | Komentářů: 4
včera 20:44 | IT novinky

Microsoft v příspěvku na svém blogu představil WSLg (Windows Subsystem for Linux GUI) aneb rozšíření WSL přinášející možnost spouštění grafických linuxových aplikací. V dalším příspěvku je rozebrána architekturu WSLg. Videoukázka práce s WSLg na YouTube.

Ladislav Hagara | Komentářů: 2
včera 15:00 | Komunita

Greg Kroah-Hartman zakázal Minnesotské univerzitě přispívat do Linuxu. Vědci úmyslně posílali patche s bezpečnostními chybami a pak psali vědecké články (pdf). Vědci používají pojem "pokrytecké commity" (hypocrite commits) aneb zdánlivě prospěšné commity, které ve skutečnosti přinášejí kritické problémy.

Ladislav Hagara | Komentářů: 35
včera 09:00 | Zajímavý software

Program Zellij byl představen a vydán v beta verzi. Popis programu říká, že se jedná o terminálový pracovní prostor aneb program podobný programům tmux a screen. Naprogramovaný je v Rustu. Pluginy jsou ve WebAssembly.

Ladislav Hagara | Komentářů: 1
včera 08:00 | Nová verze

Byla vydána verze 9.0 prohlížeče map a GPS logů GPXSee. Nová verze přináší podporu Mapsforge map, pro jejichž prohlížení tak již není potřebná Java.

Martin Tůma | Komentářů: 15
včera 02:55 | IT novinky

Apple představil (keynote) nový iMac, iPad Pro, fialový iPhone 12, AirTag a Apple TV 4K. Půjde na novém iMacu a iPadu Pro s procesorem M1 kostka? :-)

Ladislav Hagara | Komentářů: 61
Kolik času v průměru denně trávíte videohovory/-konferencemi? (ať už v práci, škole nebo soukromě)
 (51%)
 (12%)
 (15%)
 (12%)
 (7%)
 (1%)
 (2%)
Celkem 401 hlasů
 Komentářů: 7, poslední 8.4. 12:14
Rozcestník

Dotaz: Maškaráda/NAT + ppp/eth/wlan

20.10.2004 10:54 Marek | skóre: 21
Maškaráda/NAT + ppp/eth/wlan
Přečteno: 408×
Mám problém s maškarádou a natem pro 3 rozhraní, respektive problém je někde, kde ho neumím odhalit. Potřeboval bych pro občasné připojení domácí sítě rozjet možnost připojit se pomocí DATA NONSTOP. Pro tento účel jsem rozchodil affix, který mě zprostředkovává rozhraní přes bluetooth a zkonfiguroval pppd, potud vše funguje a server samotný se připojuje dle mých představ - vše funguje.

Routing je podle meho dobre:
eurotelem pridelena IP rozhrani ppp
wlan IP 10.10.0.0 wlan0
eth IP 10.0.0.0 eth
gateway IP ppp rozhrani
Proste funkcni routovaci tabulka ...

Problem nastava v okamziku kdy se snazim nahodit IPTABLES, pro nahozeni pouzivam:
iptables -t nat -A POSTROUTING -o ppp0 -s 10.0.0.0/24 -d 0/0 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.0/24 -d 0/0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

Po spusteni tohoto scriptu spojeni zustane aktivni, nicmene nic nefunguje a to pote co se nektery z klientu pripoji na sit, ping, traceroute, cokoliv ... jako DNS pouzivam lokalne spusteny dnsmasq.

Je jasne, ze chyba je nekde v iptables, coz je pro me vcelku nepochopitelna vec, dokazete me nejak poradit jak to provest aby vse fungovalo jak ma ??

Odpovědi

20.10.2004 13:35 Pavel_K
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Zdravím, zrovna ted reším úplně stejný problém :) zatím neúspěšně, ale já jsem jen uživatel windows co s linuxem viceméně jen koketuje :-D ... tak mě napadlo, nešlo by nějak udělat něco podobnýho jako je ve windows přemostění připojení t.j. že ta wlan a eth budou mit "jakože" jednu IP adresu?
20.10.2004 13:59 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Jistě by to šlo, nicméně problém nastává i v okamžiku, kdy chci využít jen jediné rozhraní, třeba eth0 (10.0.0.1), viz uvedene iptables, tam neni ani zminka o wlan, ktera je na 10.10.0.1. Takze toto reseni asi neni, chyba je nekde v iptables, pripadne dnsmasq (mozna), routing je OK.

Stane se proste jen to, ze pote co se spusti iptables, nepingnu ani na gateway, kterou mam spravne pridelenu na vnejsi rozhrani ppp0 (port prideleny eurotelem).
20.10.2004 14:08 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
problem je v tom, ze bys pak musel dostat ip adresy pro vsechny svoje pocitace :-)
Urine should only be green if you're Mr. Spock.
20.10.2004 14:11 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
hmm ty pravidla maji nejak moc -s a -d

co takhle?
IPT="/sbin/iptables"
INET_IFACE="ppp0"

#echo "zakazat vsechno"
#$IPT -P INPUT DROP
#$IPT -P OUTPUT DROP
#$IPT -P FORWARD DROP

$IPT -A INPUT -p all -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p all -i ! $INET_IFACE -j ACCEPT

$IPT -A FORWARD -p all -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p all -i ! $INET_IFACE -j ACCEPT

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

Urine should only be green if you're Mr. Spock.
20.10.2004 14:23 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Bohuzel vysledek je totozny, jeste prochazim direktivy z ppp/options a peeers/muj_up_script, jestli tam neco neni ale ani tam neni nic, co vypada zavadne.
20.10.2004 14:28 jm
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
No ted si nejsem jist, ale nepouziva nahodou ET prave adresy 10.x.x.x?
20.10.2004 14:59 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
To sice pouziva, ale podle meho by melo stacit rozliseni ze ja pouzivam radu 10.0.0.xxx a 10.10.0.xxx, tady to nekoliduje.

Me neni hlavne jasny stav ze to samo o sobe ze serveru jede a po nahozeni MASKARADY to klekne, asi nezbyva nic jineho nez zacit bojovat s tcpdump a podivat se co se deje.
20.10.2004 18:29 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Tak jsem zkousel co se deje na siti pomoci tcpdump a ono to vzpada ye se nedeje vubec nic, kdyz se nahodi iptables tak chcipne kompletni provoz za ppp0, kdyz vypnu pravidla iptables, tak se provoz zase rozjede jako by se nic nedelo, tedy po restartu pppd.

Vypada to na prekompilovani jadra, toto prece neni normalni.
20.10.2004 23:18 jm
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Nastavte tam jiny rozsah adres, viz dole. Tim ze to nekoliduje bych si vubec nebyl jist, spis naopak.
20.10.2004 22:31 Zaphod | skóre: 37
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Privatny rozsah adries 10.0.0.0 ma standartne netmasku 255.0.0.0
Preto su zrejme wlan eth a ET na jednej sieti a nefunguje smerovanie paketov. (ifconfig -a vypise aktualnu konfiguraciu)
Ci staci rozlisenie 10.0... a 10.10... zalezi od sietovej masky na vasom pocitaci a v ET (to zrejme neovplyvnite)
Zabezpecte aby kazde sietove rozhranie bolo z inej siete a nat by mal fungovat. Oblubeny privatny rozsah je 192.168.0.0/255.255.0.0
21.10.2004 00:53 Marek
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
server:~# /internet-on
Connecting to host 00:0e:07:28:d2:27 ...
Service found on channel 1
Connecting to channel 1 ...
Connected. Bound to line 0 [/dev/bty0].
Serial connection established.
Using interface ppp0
Connect: ppp0 <--> /dev/bty0
local IP address 10.176.227.143
remote IP address 10.176.227.142
primary DNS address 160.218.10.200
secondary DNS address 160.218.43.200

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.176.227.142 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.10.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
0.0.0.0 10.176.227.142 0.0.0.0 UG 0 0 0 ppp0

Je to skutecne tak ... nejde to kvuli rozsahum, i pres to ze v routovaci tabulce je jasne napsano ze masky by to mely zvladnout. Precislovat stroje nemuzu, takze nakonec to bude chodit pouze pres SQUID jako proxy a je pokoj, jedna se o nouzovku na doma, takze to zvladnu i takto, nicmene tento bug posilam vyvojarum iptables ...
21.10.2004 01:04 Marek
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
No neni to tak jasne, ztracim jeste spojeni s gateway, cili se vzdalenou IP adresou ziskanou pppd, coz je jadro problemu, toto spojeni spadne bez jakychkoliv chyb v lokalnich log filech.
21.10.2004 09:38 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Pokračování prvního příspěvku ... děkuji všem za ochotu se podělit o zkušenosti a odhalení chyby nastavení maškarády. Skutečně šlo o kolizi IP adres kde používám řadu:

10.0.0.0 pro ethernet,
10.10.0.0 pro wifi
a konečně dynamicky přidělenou řadu od Eurotelu, která je také ve tvaru 10.XXX.XXX.XXX, což byl problém.

Problém není pouze v maškarádě, ale bohužel i ve squidu, který tuto chybu také vykazuje. Ve výsledku se stane následující, spojení zůstává aktivní, ale doje k nějaké neidentifikované chybě a následně nelze pingnout na pppd serverem přidělenou remote adresu, která je současně gateway. Přiřazení adres je vidět na jednom z příspěvků, kdy jsem sem pastnul route tabulku a kopii konzoly po pppd připojení.

Rada tedy zněla přiřadit jinou IP řadu vnitřním rozhraním ...

Chci dosáhnout stavu:
eth0 = 192.168.1.0/255.255.255.0
wlan0 = 192.168.2.0/255.255.255.0

K dosažení tohoto mám ovšem pár otázek:
A. do teď jsem používal pevné IP adresy (eth), protože připojované počítače, mají tento rozsah a pevné nastavení definováno z práce, teď, když už budu řešit přečíslování, otázka zní, využít dnsmasq (zatím je využíván pouze jako DNS server) i jako DHCP a jestli ano, jak ho nastavit aby pracoval pro obě rozhraní eth i wlan - rozsah viz výše ???

B. protože primárně používám OS X, potřeboval bych vědět, jestli existuje ve WinXP Home nějaká možnost změny IP adresy na domácí řady (jde o notebook přítelkyně, která určitě nebude přenastavovat nastavení sítí), prostě něco jak má třeba OS X, kde je system profile pro domácnost, kancelář, ... a tam je veškeré nastavení definováno a lze mezi ním přepínat. Prostě něco jako se používá třeba telefonické připojení k více providerům ale pro ethernet, předpokládám že winXP tuto vlastnost mají, ale nevím jestli i řada Home.

C. je skutečně správně, když mě Eurotel přidělí remote IP (po vytočení pppd), že je to zároveň gateway ?
21.10.2004 22:25 Marek
Rozbalit Rozbalit vše Re: Maškaráda/NAT + ppp/eth/wlan
Uz jsem z toho uplne zmateny, precisloval jsem sit na radu 192.168.1.0 pro ethernet, 192.168.2.0 pro wireless, a to z duvodu, abych nebyl v kolizi s Eurotelem a jeho radou 10.XXX.XXX.XXX, bohuzel toto neni to spravne reseni, problem pretrvava. Sit se bez problemu nahodi a pppd me vrati nasledujici hodnoty:

Connecting to host 00:0e:07:28:d2:27 ...
Service found on channel 1
Connecting to channel 1 ...
Connected. Bound to line 0 [/dev/bty0].
Serial connection established.
Using interface ppp0
Connect: ppp0 <--> /dev/bty0
local IP address 10.176.16.5
remote IP address 10.176.16.4
primary DNS address 160.218.10.200
secondary DNS address 160.218.43.200

Po sem to vypada dobre, a vse se tvari jak ma ... router se nastavi do nasleduciho stavu:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.176.16.4 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 10.176.16.4 0.0.0.0 UG 0 0 0 ppp0

Coz vypada take dobre, ale objevuje se prvni problem, nejsem schopen pingnout na pridelenou remote IP adresu, ale napriklad na DNS server prideleny Eurotelem ano, ale bohuzel ne nadlouho, spojeni zustane aktivni, ale po chvili neni mozne pingnout uz nikam, ale netusim proc ... firewall to nechrani, iptables -L:

Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
21.10.2004 23:08 Marek
Rozbalit Rozbalit vše Re: Maskaráda/NAT + ppp/eth/wlan
Navic sranda, problem nadale trva, ba co vic ... problem se objevuje pouze kdyz je spustena maskarada, nebo nat, pripadne squid. Kdyz je iptables cista viz vyse, a squid stoply, pripojeny mohu byt jak dlouho chci a to bez problemu, samozrejme s dusledkem ze se nedostanu ven, respektive ano, ale pouze ze serveru, odkud pisu i ted z lynxu.

Prosim poradte co s tim, ja to skutecne nechapu.
21.10.2004 23:24 Marek
Rozbalit Rozbalit vše Re: Maskaráda/NAT + ppp/eth/wlan
Navic sranda, problem nadale trva, ba co vic ... problem se objevuje pouze kdyz je spustena maskarada, nebo nat, pripadne squid. Kdyz je iptables cista viz vyse, a squid stoply, pripojeny mohu byt jak dlouho chci a to bez problemu, samozrejme s dusledkem ze se nedostanu ven, respektive ano, ale pouze ze serveru, odkud pisu i ted z lynxu.

Prosim poradte co s tim, ja to skutecne nechapu.
21.10.2004 23:26 Marek
Rozbalit Rozbalit vše Re: Maskaráda/NAT + ppp/eth/wlan
Navic sranda, problem nadale trva, ba co vic ... problem se objevuje pouze kdyz je spustena maskarada, nebo nat, pripadne squid. Kdyz je iptables cista viz vyse, a squid stoply, pripojeny mohu byt jak dlouho chci a to bez problemu, samozrejme s dusledkem ze se nedostanu ven, respektive ano, ale pouze ze serveru, odkud pisu i ted z lynxu.

Prosim poradte co s tim, ja to skutecne nechapu.
22.10.2004 11:35 Marek | skóre: 21
Rozbalit Rozbalit vše Re: Maskaráda/NAT + ppp/eth/wlan
Skutečně je to tak, problém přetrvává pouze když je aktivní iptables, případně squid ... když jsou obě služby deaktivovány je vše v pořádku, takže neplatí první verze, že byla kolize v IP rozsazích.

Osobně mám pocit, že musí být problém buďto v nastavení pppd, nebo něco přímo v jádru, zkuste mě prosím navést ...

Můj pppd script
/dev/bty0
115200
xonxoff # XON/XOFF
defaultroute
novj
novjccomp
nobsdcomp
noipx
noauth
nodetach
noipdefault
local
connect '/usr/sbin/chat -v -f /etc/chatscripts/provider'
disconnect '/usr/sbin/chat -v -f /etc/chatscripts/provider-hang'

Má část .config z překladu jádra
#
# Networking options
#
CONFIG_PACKET=y
# CONFIG_PACKET_MMAP is not set
# CONFIG_NETLINK_DEV is not set
CONFIG_NETFILTER=y
CONFIG_NETFILTER_DEBUG=y
CONFIG_FILTER=y
CONFIG_UNIX=y
CONFIG_NET_KEY=y
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_ADVANCED_ROUTER=y
CONFIG_IP_MULTIPLE_TABLES=y
# CONFIG_IP_ROUTE_FWMARK is not set
CONFIG_IP_ROUTE_NAT=y
CONFIG_IP_ROUTE_MULTIPATH=y
CONFIG_IP_ROUTE_TOS=y
CONFIG_IP_ROUTE_VERBOSE=y
# CONFIG_IP_PNP is not set
CONFIG_NET_IPIP=m
CONFIG_NET_IPGRE=m
# CONFIG_NET_IPGRE_BROADCAST is not set
# CONFIG_IP_MROUTE is not set
# CONFIG_ARPD is not set
# CONFIG_INET_ECN is not set
# CONFIG_SYN_COOKIES is not set
# CONFIG_INET_AH is not set
# CONFIG_INET_ESP is not set
# CONFIG_INET_IPCOMP is not set

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_MIRROR=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_LOCAL=y
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
# CONFIG_IP_NF_COMPAT_IPCHAINS is not set
# CONFIG_IP_NF_COMPAT_IPFWADM is not set

Jádro je ve verzi 2.4.27 - backport.org

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.