Portál AbcLinuxu, 10. května 2025 09:53

Dotaz: Problem s verejnyma IP

24.8.2005 13:37 PAvel
Problem s verejnyma IP
Přečteno: 131×
Odpovědět | Admin
Cau, mam nekloik verejnych adres, ktere pouzivam ve vnitrni siti. Nastavene to mam takto: 
ifconfig eth0:0 verejna_IP1 up
ifconfig eth0:1 verejna_IP2 up

iptables -t nat -I POSTROUTING -j SNAT -s 192.168.1.2 --to-source verejna_IP1
iptables -t nat -I POSTROUTING -j SNAT -s 192.168.1.3 --to-source verejna_IP2

iptables -t nat -I PREROUTING -d verejna_IP1 --to-destination 192.168.1.2
iptables -t nat -I PREROUTING -d verejna_IP2 --to-destination 192.168.1.3
Problem je, ze se na z venku na ty vnejsi ip adresy nedostanu. Pingnout na ne jde, pouze pokud jsou vypnuty iptables, ale to zdrejme odpovi pouze ta sitovka, ktera je na serveru. Dekuji
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

24.8.2005 13:45 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jak na to koukám, poradil bych:
  1. nepoužívat ifconfig
  2. NATovat jen ty pakety, které opravdu chcete (přidat nějaké -i nebo -o)
  3. pokud máte jádro řady 2.4, použít raději Fast NAT (bezstavový překlad 1:1 realizovaný routerem); s jádrem 2.6 bych se podíval na NETMAP nebo použil Proxy ARP
  4. ale především se podívat, co se vlastně děje, tj. za pomoci tcpdump/ethereal zjistit, kde přesně ten problém vzniká
24.8.2005 14:07 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pokud je ten výpis přesný, tak vám v PREROUTING chybí -j DNAT
Quando omni flunkus moritati
24.8.2005 14:20 Pavel
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Ano, spatne jsem to opsal. Musi tam byt samozrejme j DNAT
24.8.2005 15:06 tomas84 | skóre: 30
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Copy & past Vám asi nic neříká, že? :-D
24.8.2005 14:34 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
jeste se podivej na forward, jestli mas povolenej forward z venci na ty vnitrni adresy
Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
24.8.2005 14:54 Pavel
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Mam to takto: 
-A FORWARD -i vnejsi_ip -o vnitrni_ip -j ACCEPT
-A FORWARD -i vnitrni_ip -o vnejsi_ip -j ACCEPT
24.8.2005 15:04 tomas84 | skóre: 30
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Parametry -i a -o určují vstupní a výstupní interface, ne IP adresy. Příště než se budete ptát, přečtěte si manuál programu, který používáte!

viz man iptables
24.8.2005 15:08 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
predpokladam ze se Pavel upsal
Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
24.8.2005 15:06 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
no ja mam povolen forward -i vnejsi_eth -o vnitrni_eth -d vnitrni_ip forward na zvenci dovnitr pro jinou ip nez na kterou jde ta presmerovana verejna ip nepovoluju (established, etc ano)

a i filtruju co muze dovnitr na ktere porty, vsechny dovnitr nepoustim, ale jinak to mam v podstate stejne jako ty
Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.
24.8.2005 15:53 Pavel
Rozbalit Rozbalit vše Re: Problem s verejnyma IP
Zde je moje nastaveni iptables, treba nekdo najde nejakou chybu: 
*mangle
:PREROUTING ACCEPT [434:74388]
:OUTCOUNT - [0:0]
:POSTROUTING ACCEPT [430:74108]
:INCOUNT - [0:0]

-A OUTPUT -o eth0 -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth1 -p tcp --sport 4899 -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth0 -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth0 -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth0 -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth0 -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
-A OUTPUT -o eth0 -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput
-A PREROUTING  -p tcp --sport ssh -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --sport 4899 -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --sport ftp -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --dport ftp -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --dport telnet -j TOS --set-tos Minimize-Delay
-A PREROUTING  -p tcp --sport ftp-data -j TOS --set-tos Maximize-Throughput


COMMIT
# Completed on Tue Jul 22 14:53:09 2003
# Generated by iptables-save vM1.2.7a on Tue Jul 22 14:53:09 2003
*nat
:PREROUTING ACCEPT [5852:452571]
:POSTROUTING ACCEPT [1236:78684]
:OUTPUT ACCEPT [1243:79152]
########################Verejne IP################################
-I POSTROUTING -j SNAT -s 192.168.1.4 --to-source 85.132.171.5
-I PREROUTING -j DNAT -d 85.132.171.5 --to-destination 192.168.1.4
#####################################################################
-A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE 
-A POSTROUTING -s 192.168.1.2 -j MASQUERADE
-A POSTROUTING -s 192.168.1.3 -j MASQUERADE
##########################################################
COMMIT
# Completed on Tue Jul 22 14:53:09 2003
# Generated by iptables-save v1.2.7a on Tue Jul 22 14:53:09 2003
*filter
:INPUT ACCEPT [24708:12811027]
:FORWARD ACCEPT [455797:50210080]
:OUTPUT ACCEPT [25062:11776260]
-P OUTPUT DROP
-P INPUT DROP
-P FORWARD DROP

#snazsi kontrola rezervovanych adres
-N logdrop
-A logdrop -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "Rezervovana adresa"
-A logdrop -j DROP
-N IN_FW
-A IN_FW -s 10.0.0.0/8 -j logdrop
-A IN_FW -s 172.16.0.0/12 -j logdrop
-N syn_flood
-A syn_flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn_flood -j DROP
##############################################################
#FORWARD
-A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
-A FORWARD -i eth0 -j IN_FW
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -i eth3 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth3 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward drop: "
-A FORWARD -i eth2 -o eth0:5 -j ACCEPT
-A FORWARD -i eth0:5 -o eth2 -d 192.168.1.4 -j ACCEPT
###############################################################
#INPUT
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
-A INPUT -i eth0 -j IN_FW
-A INPUT -i eth0 -p tcp --syn -j syn_flood
-A INPUT -i eth0 -p icmp -j syn_flood
#################
-A INPUT -i eth0 -p TCP --dport 21 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 25 -j ACCEPT
-A INPUT -i eth0 -p UDP --dport 53 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 53 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 81 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 90 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 8090 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 110 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 143 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 443 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 411 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 412 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 555 -j ACCEPT
-A INPUT -i eth2 -p TCP --dport 411 -j ACCEPT 
-A INPUT -i eth2 -p TCP --dport 555 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 873 -j ACCEPT 
-A INPUT -i eth2 -p TCP --dport 873 -j ACCEPT
-A INPUT -i eth1 -p TCP --dport 873 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 953 -j ACCEPT
-A INPUT -i eth1 -p TCP --dport 953 -j ACCEPT
-A INPUT -i eth2 -p TCP --dport 953 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 5190 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 6666 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 6667 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 3128 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 2400 -j ACCEPT 
-A INPUT -i eth1 -p TCP --dport 2400 -j ACCEPT 
-A INPUT -i eth1 -p TCP --dport 5901 -j ACCEPT 
-A INPUT -i eth1 -p TCP --dport 5902 -j ACCEPT 
-A INPUT -i eth1 -p TCP --dport 5903 -j ACCEPT 
-A INPUT -i eth1 -p TCP --dport 5801 -j ACCEPT 
-A INPUT -i eth0 -p TCP --dport 5901 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 5801 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 5809 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 9734 -j ACCEPT
-A INPUT -i eth0 -p TCP --dport 1412 -j ACCEPT
-A INPUT -i eth1 -p TCP --dport 1412 -j ACCEPT

#############################
#SLUZBA auth
-A INPUT -i eth0 -p TCP --dport 113 -m limit --limit 12/h -j LOG
-A INPUT -i eth0 -p TCP --dport 113 -j REJECT --reject-with tcp-reset
#Ping of death
-A INPUT -i eth0 -p ICMP --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT
#loopback
-A INPUT -i lo -j ACCEPT
#pakety z lokalni site
-A INPUT -i eth1 -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth1 -d 212.71.133.66 -j ACCEPT
-A INPUT -i eth1 -d 192.168.2.255/255.255.255.0 -j ACCEPT
-A INPUT -i eth1 -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth1 -d 192.168.20.0/255.255.255.0 -j ACCEPT

-A INPUT -i eth2 -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth2 -d 212.71.133.66 -j ACCEPT
-A INPUT -i eth2 -d 192.168.1.255/255.255.255.0 -j ACCEPT
-A INPUT -i eth2 -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth2 -d 192.168.20.0/255.255.255.0 -j ACCEPT

-A INPUT -i eth3 -d 192.168.20.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth3 -d 212.71.133.66 -j ACCEPT
-A INPUT -i eth3 -d 192.168.20.255/255.255.255.0 -j ACCEPT
-A INPUT -i eth3 -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -i eth3 -d 192.168.2.0/255.255.255.0 -j ACCEPT

#Navazany spojeni
-A INPUT -d 212.71.133.66 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Vsechno ostani log
-A INPUT -m limit --limit 12/h -j LOG --log-prefix "INPUT drop: "
################################################################
#OUTPUT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A OUTPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A OUTPUT -s 192.168.20.0/255.255.255.0 -j ACCEPT
-A OUTPUT -s 212.71.133.66 -j ACCEPT
-A OUTPUT -p TCP --dport 9734 -j ACCEPT
#logovani
-A OUTPUT -j LOG --log-prefix "OUTPUT drop: "
#################################################################

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.