* [mdk-re] Ликбез @ 2002-02-27 15:02 roman_tutov 2002-02-27 15:18 ` cornet 2002-02-27 18:01 ` [mdk-re] " Чужой 0 siblings, 2 replies; 13+ messages in thread From: roman_tutov @ 2002-02-27 15:02 UTC (permalink / raw) To: mandrake-russian Hello mandrake-russian, Объясните пожалуйста барану (мне) основы настройки маскарада У меня имеется скрипт в котором описаны правила ipchains нужно собрать на другой машине систему и привинтить те же правила +подсчет трафика. Скрипты что у меня есть были написаны не ручками (и не мной) а сгенерированы какой-то программой . (Вроде pmfirewall но я не уверен ) Скачал/установил ipchains включил в ядре маскарад ,привинтил ppp (к провайдеру) соединился и скормил ipchains кучу правил. Сказал ipchains-save >x . Результат привожу ниже :input ACCEPT :forward DENY :output ACCEPT :acctboth - -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер дает Теперь вопрос : как должно выглядеть цепочка подсчета трафика , если нужно считать трафик для машин на интерфейсе 192.168.0.1 Ежели можно с подробными пояснениями . ЗЫ Маны и руководства читал . Правда мало что понял -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Ликбез 2002-02-27 15:02 [mdk-re] Ликбез roman_tutov @ 2002-02-27 15:18 ` cornet 2002-02-28 10:33 ` [mdk-re] Re[2]: " roman_tutov 2002-02-28 12:14 ` [mdk-re] Re[2]: [mdk-re] Ликбез roman_tutov 2002-02-27 18:01 ` [mdk-re] " Чужой 1 sibling, 2 replies; 13+ messages in thread From: cornet @ 2002-02-27 15:18 UTC (permalink / raw) To: mandrake-russian roman_tutov@mail.ru wrote: > > Hello mandrake-russian, > > Объясните пожалуйста барану (мне) основы настройки маскарада > > У меня имеется скрипт в котором описаны правила ipchains > нужно собрать на другой машине систему и привинтить те же правила > +подсчет трафика. > > Скрипты что у меня есть были написаны не ручками (и не мной) > а сгенерированы какой-то программой . (Вроде pmfirewall но я не > уверен ) > > Скачал/установил ipchains включил в ядре маскарад ,привинтил > ppp (к провайдеру) соединился и скормил ipchains кучу правил. Содержимое файла /etc/sysconfig/network в студию :-) В до кучи выводы ifconfig и route > Сказал ipchains-save >x . Результат привожу ниже > > :input ACCEPT > :forward DENY > :output ACCEPT > :acctboth - > > -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT > -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT > -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 > -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 > > то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер > дает Так оно маскарадится или нет? > Теперь вопрос : как должно выглядеть цепочка подсчета трафика , > если нужно считать трафик для машин на интерфейсе 192.168.0.1 Каждая цепочка считает трафик сама всегда. Для просмотра статистики цепочек ipchains -L -v -- Власенко Олег. Отдел технической поддержки ALT Linux Team. mailto:cornet@altlinux.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re[2]: [mdk-re] Ликбез 2002-02-27 15:18 ` cornet @ 2002-02-28 10:33 ` roman_tutov 2002-02-28 11:00 ` "Баталов Григорий" 2002-02-28 13:47 ` [mdk-re] Ликбе cornet 2002-02-28 12:14 ` [mdk-re] Re[2]: [mdk-re] Ликбез roman_tutov 1 sibling, 2 replies; 13+ messages in thread From: roman_tutov @ 2002-02-28 10:33 UTC (permalink / raw) To: cornet Hello cornet, Wednesday, February 27, 2002, 3:25:58 PM, you wrote: >> Объясните пожалуйста барану (мне) основы настройки маскарада >> >> У меня имеется скрипт в котором описаны правила ipchains >> нужно собрать на другой машине систему и привинтить те же правила >> +подсчет трафика. >> >> Скрипты что у меня есть были написаны не ручками (и не мной) >> а сгенерированы какой-то программой . (Вроде pmfirewall но я не >> уверен ) >> >> Скачал/установил ipchains включил в ядре маскарад ,привинтил >> ppp (к провайдеру) соединился и скормил ipchains кучу правил. c> Содержимое файла c> /etc/sysconfig/network c> в студию :-) NETWORKING=yes FORWARD_IPV4=yes HOSTNAME=localhost.localdomain DOMAINNAME=localdomain GATEWAYDEV=ppp0 c> В до кучи выводы c> ifconfig Не обнаружен c> и c> route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface c6.rmts.aaanet. * 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default c6.rmts.aaanet. 0.0.0.0 UG 0 0 0 ppp0 >> Сказал ipchains-save >x . Результат привожу ниже >> >> :input ACCEPT >> :forward DENY >> :output ACCEPT >> :acctboth - >> >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 >> >> то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер >> дает c> Так оно маскарадится или нет? >> Теперь вопрос : как должно выглядеть цепочка подсчета трафика , >> если нужно считать трафик для машин на интерфейсе 192.168.0.1 c> Каждая цепочка считает трафик сама всегда. Для просмотра c> статистики цепочек c> ipchains -L -v -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Ликбез 2002-02-28 10:33 ` [mdk-re] Re[2]: " roman_tutov @ 2002-02-28 11:00 ` "Баталов Григорий" 2002-02-28 13:47 ` [mdk-re] Ликбе cornet 1 sibling, 0 replies; 13+ messages in thread From: "Баталов Григорий" @ 2002-02-28 11:00 UTC (permalink / raw) To: mandrake-russian On Thu, 28 Feb 2002 10:32:36 +0300 roman_tutov@mail.ru wrote: > c> В до кучи выводы > c> ifconfig > Не обнаружен От рута ifconfig запускали? -- Баталов Григорий, системный администратор АО "Ковдорский ГОК" ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Ликбе 2002-02-28 10:33 ` [mdk-re] Re[2]: " roman_tutov 2002-02-28 11:00 ` "Баталов Григорий" @ 2002-02-28 13:47 ` cornet 2002-02-28 14:42 ` [mdk-re] " roman_tutov 1 sibling, 1 reply; 13+ messages in thread From: cornet @ 2002-02-28 13:47 UTC (permalink / raw) To: mandrake-russian roman_tutov@mail.ru wrote: > > Hello cornet, > > Wednesday, February 27, 2002, 3:25:58 PM, you wrote: > > >> Объясните пожалуйста барану (мне) основы настройки маскарада > >> > >> У меня имеется скрипт в котором описаны правила ipchains > >> нужно собрать на другой машине систему и привинтить те же правила > >> +подсчет трафика. > >> > >> Скрипты что у меня есть были написаны не ручками (и не мной) > >> а сгенерированы какой-то программой . (Вроде pmfirewall но я не > >> уверен ) > >> > >> Скачал/установил ipchains включил в ядре маскарад ,привинтил > >> ppp (к провайдеру) соединился и скормил ipchains кучу правил. > > c> Содержимое файла > c> /etc/sysconfig/network > c> в студию :-) > > NETWORKING=yes > FORWARD_IPV4=yes > HOSTNAME=localhost.localdomain > DOMAINNAME=localdomain > GATEWAYDEV=ppp0 Нормально. > c> В до кучи выводы > c> ifconfig > Не обнаружен От root'а его надо, или /sbin/ifconfig > c> и > c> route > > Kernel IP routing table > Destination Gateway Genmask Flags Metric Ref Use Iface > c6.rmts.aaanet. * 255.255.255.255 UH 0 0 0 ppp0 > 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 > 127.0.0.0 * 255.0.0.0 U 0 0 0 lo > default c6.rmts.aaanet. 0.0.0.0 UG 0 0 0 ppp0 Вполне. Попробуйте выполнить такой скрипт: <BEGIN> #!/bin/sh modprobe ipchains IPCHAINS=/sbin/ipchains Any="0.0.0.0/0" $IPCHAINS -P input ACCEPT $IPCHAINS -P forward ACCEPT $IPCHAINS -P output ACCEPT $IPCHAINS -F $IPCHAINS -X # input rules # forward rules $IPCHAINS -A forward -s 192.168.0.0/24 -d $Any -j MASQ # output rules <EOF> Это _простейший_ маскарад, который тупо маскарадит все из внутренней подсети наружу. -- Власенко Олег. Отдел технической поддержки ALT Linux Team. mailto:cornet@altlinux.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: [mdk-re] Ликбе 2002-02-28 13:47 ` [mdk-re] Ликбе cornet @ 2002-02-28 14:42 ` roman_tutov 2002-02-28 15:29 ` cornet 0 siblings, 1 reply; 13+ messages in thread From: roman_tutov @ 2002-02-28 14:42 UTC (permalink / raw) To: cornet Hello cornet, Thursday, February 28, 2002, 1:52:04 PM, you wrote: c> Попробуйте выполнить такой скрипт: c> <BEGIN> c> #!/bin/sh c> modprobe ipchains c> IPCHAINS=/sbin/ipchains c> Any="0.0.0.0/0" c> $IPCHAINS -P input ACCEPT c> $IPCHAINS -P forward ACCEPT c> $IPCHAINS -P output ACCEPT c> $IPCHAINS -F c> $IPCHAINS -X c> # input rules c> # forward rules c> $IPCHAINS -A forward -s 192.168.0.0/24 -d $Any -j MASQ c> # output rules c> <EOF> c> Это _простейший_ маскарад, который тупо маскарадит все из c> внутренней подсети наружу. Сейчас попробую. А что это даст ? Маскарад запускается .Качество его исполнения - это отдельный вопрос . Непонятно как добавить цепочку подсчета трафика для внутреннего интерфейса и что такое "acctboth" которое в правилах мелькает . ЗЫ . Я документацией обложился ...Скоро вумный буду ...просто жуть :) -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [mdk-re] Re: [mdk-re] Ликбе 2002-02-28 14:42 ` [mdk-re] " roman_tutov @ 2002-02-28 15:29 ` cornet 2002-02-28 16:40 ` [mdk-re] Re[2]: " roman_tutov 0 siblings, 1 reply; 13+ messages in thread From: cornet @ 2002-02-28 15:29 UTC (permalink / raw) To: mandrake-russian roman_tutov@mail.ru wrote: skip. > c> Это _простейший_ маскарад, который тупо маскарадит все из > c> внутренней подсети наружу. > > Сейчас попробую. А что это даст ? Простейшую проверку что маскарад работает и вопрос только в конфигурации. > Маскарад запускается .Качество его > исполнения - это отдельный вопрос . Непонятно как добавить цепочку > подсчета трафика для внутреннего интерфейса Он ВСЕГДА подсчитывается, сам, без всякого вмешательства :-) Просто скажите ipchains -L -v и получите статистику по всем цепочкам. Попробуйте прогу gfcc это гуевая конфигурилка для ipchains, очень удобна для начала. Там и примеры есть... -- Власенко Олег. Отдел технической поддержки ALT Linux Team. mailto:cornet@altlinux.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re[2]: [mdk-re] Re: [mdk-re] Ликбе 2002-02-28 15:29 ` cornet @ 2002-02-28 16:40 ` roman_tutov 0 siblings, 0 replies; 13+ messages in thread From: roman_tutov @ 2002-02-28 16:40 UTC (permalink / raw) To: cornet Hello cornet, Thursday, February 28, 2002, 3:37:00 PM, you wrote: >> c> Это _простейший_ маскарад, который тупо маскарадит все из >> c> внутренней подсети наружу. >> >> Сейчас попробую. А что это даст ? c> Простейшую проверку что маскарад работает и вопрос только в c> конфигурации. >> Маскарад запускается .Качество его >> исполнения - это отдельный вопрос . Непонятно как добавить цепочку >> подсчета трафика для внутреннего интерфейса c> Он ВСЕГДА подсчитывается, сам, без всякого вмешательства :-) c> Просто скажите c> ipchains -L -v c> и получите статистику по всем цепочкам. c> Попробуйте прогу c> gfcc c> это гуевая конфигурилка для ipchains, очень удобна для начала. c> Там и примеры есть... Премного благодарен . Я на некоторое время выпадаю из флейма Дабы "увидеть берег" в этом море инфориации .. -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re[2]: [mdk-re] Ликбез 2002-02-27 15:18 ` cornet 2002-02-28 10:33 ` [mdk-re] Re[2]: " roman_tutov @ 2002-02-28 12:14 ` roman_tutov 1 sibling, 0 replies; 13+ messages in thread From: roman_tutov @ 2002-02-28 12:14 UTC (permalink / raw) To: cornet Hello cornet, Wednesday, February 27, 2002, 3:25:58 PM, you wrote: >> >> Объясните пожалуйста барану (мне) основы настройки маскарада >> >> У меня имеется скрипт в котором описаны правила ipchains >> нужно собрать на другой машине систему и привинтить те же правила >> +подсчет трафика. >> >> Скрипты что у меня есть были написаны не ручками (и не мной) >> а сгенерированы какой-то программой . (Вроде pmfirewall но я не >> уверен ) >> >> Скачал/установил ipchains включил в ядре маскарад ,привинтил >> ppp (к провайдеру) соединился и скормил ipchains кучу правил. c> Содержимое файла c> /etc/sysconfig/network c> в студию :-) c> В до кучи выводы c> ifconfig c> и c> route >> Сказал ipchains-save >x . Результат привожу ниже >> >> :input ACCEPT >> :forward DENY >> :output ACCEPT >> :acctboth - >> >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 >> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 >> Добавление : Выборка из перлового скрипка Bandmin'a где он создает цепочки system("/sbin/ipchains","-D","input","-j","acctboth"); system("/sbin/ipchains","-D","output","-j","acctboth"); system("/sbin/ipchains","-N","acctboth"); system("/sbin/ipchains","-F","acctboth"); system("/sbin/ipchains","-I","input","-j","acctboth"); system("/sbin/ipchains","-I","output","-j","acctboth"); system("/sbin/ipchains","-A","acctboth","-s",$ip,"-b","-p","all"); system("/sbin/ipchains","-A","acctboth","-s","0.0.0.0/0","-d","0.0.0.0/0"); -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: [mdk-re] Ликбез 2002-02-27 15:02 [mdk-re] Ликбез roman_tutov 2002-02-27 15:18 ` cornet @ 2002-02-27 18:01 ` Чужой 2002-02-28 10:42 ` [mdk-re] " roman_tutov 1 sibling, 1 reply; 13+ messages in thread From: Чужой @ 2002-02-27 18:01 UTC (permalink / raw) To: mandrake-russian > Объясните пожалуйста барану (мне) основы настройки маскарада > > У меня имеется скрипт в котором описаны правила ipchains > нужно собрать на другой машине систему и привинтить те же правила > +подсчет трафика. > > Скрипты что у меня есть были написаны не ручками (и не мной) > а сгенерированы какой-то программой . (Вроде pmfirewall но я не > уверен ) > > Скачал/установил ipchains включил в ядре маскарад ,привинтил > ppp (к провайдеру) соединился и скормил ipchains кучу правил. > > Сказал ipchains-save >x . Результат привожу ниже > > :input ACCEPT > :forward DENY Зачем сюда DENY воткнуто? когда в цепочках input и output должно фильтроваться лишнее! > :output ACCEPT > :acctboth - > > -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT > -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них трафик считать? > -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 > -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80. > -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255 > -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 А цепочка acctboth что дает? Так и не понял - ACCEPT или DENY? ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликбез 2002-02-27 18:01 ` [mdk-re] " Чужой @ 2002-02-28 10:42 ` roman_tutov 2002-02-28 11:44 ` [mdk-re] Re: [mdk-re] Dmitry Lebkov 2002-02-28 19:54 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликб Чужой 0 siblings, 2 replies; 13+ messages in thread From: roman_tutov @ 2002-02-28 10:42 UTC (permalink / raw) To: Чужой Hello Чужой, Wednesday, February 27, 2002, 6:05:32 PM, you wrote: >> :output ACCEPT >> :acctboth - >> >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j Ч> ACCEPT >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT Ч> Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них Ч> трафик считать? Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только предполагать для чего это было сделано(не мной). И публикую я всё это в надежде , что кто-нибудь мне объяснит что же это такое и как работает . >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 Ч> По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80. Я так понял . что это хоть и некрасиво написано , зато вполне работоспособно ? -- Best regards, roman mailto:roman_tutov@mail.ru ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: [mdk-re] 2002-02-28 10:42 ` [mdk-re] " roman_tutov @ 2002-02-28 11:44 ` Dmitry Lebkov 2002-02-28 19:54 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликб Чужой 1 sibling, 0 replies; 13+ messages in thread From: Dmitry Lebkov @ 2002-02-28 11:44 UTC (permalink / raw) To: mandrake-russian Посмотри на http://www.opennet.ru/docs/HOWTO-RU/Ipchains.koi8-r.html Там все достаточно хорошо расписано. Особенно полезен пример в самом конце этого документа. Так же - man ipchains в самом конце описывает как построить цепочки для подсчета трафика. On Thu, 28 Feb 2002 10:49:18 +0300 roman_tutov@mail.ru wrote: > Hello Чужой, > > Wednesday, February 27, 2002, 6:05:32 PM, you wrote: > > >> :output ACCEPT > >> :acctboth - > >> > >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j > Ч> ACCEPT > >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT > > Ч> Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них > Ч> трафик считать? > > Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только > предполагать для чего это было сделано(не мной). И публикую я всё это > в надежде , что кто-нибудь мне объяснит что же это такое и как > работает . > > > >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 > > Ч> По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО > Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d > Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что > Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно > Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80. 2Чужой: это не изврат а установка битов TOS (Type Of Service). Посмотри на это как на установку "минмальной задержки" для КОНКРЕТНОГО СЕРВИСА (в вышеприведенном примере - для HTTP, SMTP, SSH, FTP, POP3, Telnet) а не для диапазона портов. > Я так понял . что это хоть и некрасиво написано , зато вполне > работоспособно ? > WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 13+ messages in thread
* [mdk-re] Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликб 2002-02-28 10:42 ` [mdk-re] " roman_tutov 2002-02-28 11:44 ` [mdk-re] Re: [mdk-re] Dmitry Lebkov @ 2002-02-28 19:54 ` Чужой 1 sibling, 0 replies; 13+ messages in thread From: Чужой @ 2002-02-28 19:54 UTC (permalink / raw) To: mandrake-russian > >> :output ACCEPT > >> :acctboth - > >> > >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j > Ч> ACCEPT > >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT > > Ч> Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них > Ч> трафик считать? > > Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только > предполагать для чего это было сделано(не мной). И публикую я всё это > в надежде , что кто-нибудь мне объяснит что же это такое и как > работает . > > > >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth > >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10 > >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08 > > Ч> По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО > Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d > Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что > Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно > Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80. > Я так понял . что это хоть и некрасиво написано , зато вполне > работоспособно ? Ну в принципе - будет работать! ИМХО уберите из цепочки forward общее правило DENY - оно просто не нужно! То есть чтобы было: :forward ACCEPT ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2002-02-28 19:54 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-02-27 15:02 [mdk-re] Ликбез roman_tutov 2002-02-27 15:18 ` cornet 2002-02-28 10:33 ` [mdk-re] Re[2]: " roman_tutov 2002-02-28 11:00 ` "Баталов Григорий" 2002-02-28 13:47 ` [mdk-re] Ликбе cornet 2002-02-28 14:42 ` [mdk-re] " roman_tutov 2002-02-28 15:29 ` cornet 2002-02-28 16:40 ` [mdk-re] Re[2]: " roman_tutov 2002-02-28 12:14 ` [mdk-re] Re[2]: [mdk-re] Ликбез roman_tutov 2002-02-27 18:01 ` [mdk-re] " Чужой 2002-02-28 10:42 ` [mdk-re] " roman_tutov 2002-02-28 11:44 ` [mdk-re] Re: [mdk-re] Dmitry Lebkov 2002-02-28 19:54 ` [mdk-re] Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликб Чужой
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git