• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    DELVITLinux pro zacatecniky a obycejne uzivatele (NO FLAMES!)
    VLASTIS
    VLASTIS --- ---
    MRDAC_BEDEN:
    5] takhle na jakykoliv trafic ktery je routovany ven pres sitovku eth1 to funguje

    takze problem NAT solved =ackoliv nechapu pro zprovozneni bylo nutne system restartovat

    diky

    jeste bych neja poterboval vyresit ze pres eth0 smi prochazet jen konkretni provoz a pokud se obejvi jiny, tak vygenerovat externi SYSLOG zpravu a nejlepe provoz z dane IP kompletne blokovat
    MRDAC_BEDEN
    MRDAC_BEDEN --- ---
    VLASTIS: postupuj bod po bodu
    1) znovu over ip_forward, to je nejcastejsi fail
    2) to ze je iptables -L prazdne je v poradku
    3) znovu over sitove karty, ze si nepletes vnitrni a vnejsi sitovou kartu a ip adresy
    4) odstran SNAT
    5) tento prikaz by mel stacit (eth1 je vnejsi sitovka do internetu):
    # Masquerade.
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    6) pokud to presto nepujde bude to chybou, ktera nesouvisi s NATovanim, ale bude to jina chyba v tve siti. Takze zkousej ping na IP!!! adresy ze stanice na server, ze serveru na stanice, ze serveru do internetu, ze stanice do internetu. Napr. 8.8.8.8 je IP adresa free dns googlu
    ping 8.8.8.8
    VLASTIS
    VLASTIS --- ---
    MRDAC_BEDEN:

    # iptables -L -t nat
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    SNAT all -- 192.168.9.0/24 anywhere to:10.10.10.10
    SNAT all -- 192.168.9.0/24 anywhere to:10.10.10.10
    SNAT all -- 192.168.9.0/24 anywhere to:10.10.10.10
    SNAT all -- 192.168.9.0/24 anywhere to:10.10.10.10
    MASQUERADE all -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    to ze je to tam vickrat je nejspis zpusobeno tim, ze to mam v rc.local a nastavene ukladani stsvu pri ukonceni iptables
    ta posledni maskarada byl jen pokus na zaklade toho co jste pastovali
    RIVA
    RIVA --- ---
    RIVA: mhm, mozna bych mel uvest ze to ssdcko je pripojeny pres radic na pci-e karte.
    RIVA
    RIVA --- ---
    Aha, tak to jsem z toho kapku jelen. Zvlast kdyz mi tady Disks manager ukazuje ze mam na ssdcku dve partitions, jednu ext4 a jednu LVM a pak mi system monitor tady ukazuje ze na nem jsou 3 ext4 partitions (root, boot a home).
    MRDAC_BEDEN
    MRDAC_BEDEN --- ---
    VLASTIS: to je v poradku. tebe zajima vypis tabulky NAT, ktera vypada takhle:
    root@server1:~# iptables -L -t nat
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    MASQUERADE all -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    root@server1:~#
    VLASTIS
    VLASTIS --- ---
    lvm je vrstva pod FS - je to spise SW raid
    RIVA
    RIVA --- ---
    Nemuzete mi prosim nekdo polopaticky a blbuvzdorne vysvetlit co presne je LVM? Je to filesystem jako treba ext4, nebo NTFS? Z oficialni wiki to proste nechapu...
    VLASTIS
    VLASTIS --- ---
    a mate me totok:
    # iptables --list
    Chain INPUT (policy ACCEPT)
    target prot opt source destination

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination


    nemelo by tu byt neco videt?
    VLASTIS
    VLASTIS --- ---
    ten iptstate u me vypada takto:
    IPTState - IPTables State Top
    Version: 2.2.1 Sort: SrcIP b: change sorting h: help
    Source Destination Proto State TTL
    192.168.9.171 10.10.10.240 icmp 8/0 (2) 0:00:26 (cervene)
    PUPU
    PUPU --- ---
    VLASTIS: to co zobrazi by mely byt prave ty preklady. ale ted na to koukam a mam pocit, ze to kdysi vypadalo nejak jinak. takhle to moc citelne neni...
    VLASTIS
    VLASTIS --- ---
    PUPU: tam nevidim preklady, nebo jo?

    GILHAD: eth1 je vnejsi iface do ktereho potrebuji natovat

    co je zajimave, tak ted po nekolika hodinach to opet fungovalo - a po restartu opet ne-na cilovy server chodi neprelozene pakety
    PUPU
    PUPU --- ---
    VLASTIS: myslis iptstate?
    GILHAD
    GILHAD --- ---
    a jdou tam skutecne z eth1 a nikoli z eth0 (coz byva obvykle jmeno, kdyz je jen jedna sitovka)?

    jinak ja mam ve fungujicich pravidlech uvadeno tohle:

    iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 25 -j SNAT --to-source 10.10.10.10
    ptables -t nat -A POSTROUTING -p udp -m udp --dport 25 -j SNAT --to-source 10.10.10.10
    (plus nejake presmerovani prichozich)
    VLASTIS
    VLASTIS --- ---
    ted mi to dokonce chvili fungovalo - az do otoceni serveru

    pokud znovu aplikuju stejny prikaz tak se nepreklada ;/

    kde se da kouknout na online stav?
    VLASTIS
    VLASTIS --- ---
    :) bohuzel ne

    CHOROBA
    CHOROBA --- ---
    echo 1 > /proc/sys/net/ipv4/ip_forward
    VLASTIS
    VLASTIS --- ---
    ahoj,
    potreboval bych poradit jak debugovat NAT v iptables

    mam pouze tento zaznam:
    iptables -t nat -s 192.168.9.0/24 -o eth1 -A POSTROUTING -j SNAT --to-source 10.10.10.10

    nic jineho
    na eth0 je rozsah 192.168.9.0/24
    na eth1 je 10.10.10.10/24

    bohuzel mi to nepreklada - na server v siti 10.10.10.0 prichazi pozadavku z 192.168.9.X

    kde zacit?

    dekuji
    DELVIT
    DELVIT --- ---
    AQUARIUS: Samo da se pouzit primo iptables (a pamatuji si z hlavy -save a ne prinace .) ). Nicmene ucelem bylo zjisteni jestli jsou tam nejaka pravidla a to je celkem jedno :)).

    Kazdopadne jsou z toho logu zajimave ty warning hlasky. To vypada, jako by tam nesedeli nejak verze nebo podobne.
    AQUARIUS
    AQUARIUS --- ---
    DELVIT: neni na to lepsi pouzit primo iptables?
    iptables -L -n -v
    Jinak v CentOSu je konfigurace v /etc/sysconfig/iptables , klikaci nastroj se jmenuje system-config-securitylevel
    Kliknutím sem můžete změnit nastavení reklam