* [Comm] NAT
@ 2003-06-05 8:05 Кочетков Владимир
2003-06-05 11:32 ` Mike Lykov
2003-06-05 11:45 ` Andriy Dobrovol's'kii
0 siblings, 2 replies; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-05 8:05 UTC (permalink / raw)
To: community
Здравствуйте, community !
Не могу разобраться как в iptables задается статичное преобразование
адреса. Сейчас адреса меняются на адрес шлюза:
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
А нужно еще добавить статичные преобразования,
например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12
--
С уважением,
Кочетков Владимир mailto:kvn@toltc.samen.elektra.ru
Тольяттинские тепловые сети
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-05 8:05 [Comm] NAT Кочетков Владимир
@ 2003-06-05 11:32 ` Mike Lykov
2003-06-05 11:45 ` Andriy Dobrovol's'kii
1 sibling, 0 replies; 27+ messages in thread
From: Mike Lykov @ 2003-06-05 11:32 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 348 bytes --]
В сообщении от Четверг 05 Июнь 2003 13:05 Кочетков Владимир написал:
> Не могу разобраться как в iptables задается статичное преобразование
> адреса. Сейчас адреса меняются на адрес шлюза:
> А нужно еще добавить статичные преобразования,
> например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12
надо читать man iptables насчет опций -s & --to-source
--
Mike
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 307 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-05 8:05 [Comm] NAT Кочетков Владимир
2003-06-05 11:32 ` Mike Lykov
@ 2003-06-05 11:45 ` Andriy Dobrovol's'kii
2003-06-06 7:02 ` Re[2]: " Кочетков Владимир
1 sibling, 1 reply; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-05 11:45 UTC (permalink / raw)
To: community
Кочетков Владимир wrote:
> Здравствуйте, community !
>
> Не могу разобраться как в iptables задается статичное преобразование
> адреса. Сейчас адреса меняются на адрес шлюза:
>
> $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
>
> А нужно еще добавить статичные преобразования,
> например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12
>
Абсолютно не понял, что Вам нужно.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-05 11:45 ` Andriy Dobrovol's'kii
@ 2003-06-06 7:02 ` Кочетков Владимир
2003-06-06 7:11 ` Владимир
0 siblings, 1 reply; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-06 7:02 UTC (permalink / raw)
To: Andriy Dobrovol's'kii
Здравствуйте, Andriy.
Вы писали 5 июня 2003 г., 16:45:16:
> Абсолютно не понял, что Вам нужно.
Да... , пожалуй я и сам бы не понял ;-))
Подробнее это выглядит так:
Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
192.168.1.1. На ней настроен iptables на преобразование адресов
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
Нужно настроить выход одной машины под своим отдельным ip.
Например во внутренней сети машинка 192.168.1.12 должна выходить
наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
выдает по ip.
Добавление в конфиг
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
--to-source xxx.xxx.xxx.12
не помогло :-(
Может ошибся в написании ?
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 7:02 ` Re[2]: " Кочетков Владимир
@ 2003-06-06 7:11 ` Владимир
2003-06-06 7:42 ` Konstantin V. Gaidukov
` (2 more replies)
0 siblings, 3 replies; 27+ messages in thread
From: Владимир @ 2003-06-06 7:11 UTC (permalink / raw)
To: community
Кочетков Владимир пишет:
>Здравствуйте, Andriy.
>
>Вы писали 5 июня 2003 г., 16:45:16:
>
>
>
>>Абсолютно не понял, что Вам нужно.
>>
>>
>
>Да... , пожалуй я и сам бы не понял ;-))
>
>Подробнее это выглядит так:
>Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>192.168.1.1. На ней настроен iptables на преобразование адресов
>
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Нужно настроить выход одной машины под своим отдельным ip.
>Например во внутренней сети машинка 192.168.1.12 должна выходить
>наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>выдает по ip.
>
>Добавление в конфиг
>
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>--to-source xxx.xxx.xxx.12
>
>не помогло :-(
>Может ошибся в написании ?
>
>
Присмотритесь внимательней, в данном случае имеет значение
_В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
--
Best regards
Vladimir
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 7:11 ` Владимир
@ 2003-06-06 7:42 ` Konstantin V. Gaidukov
2003-06-06 8:26 ` Andriy Dobrovol's'kii
2003-06-06 8:31 ` [Comm] squid & wb_ntlmauth troubles Konstantin V. Gaidukov
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
2 siblings, 1 reply; 27+ messages in thread
From: Konstantin V. Gaidukov @ 2003-06-06 7:42 UTC (permalink / raw)
To: community
Владимир пишет:
> Кочетков Владимир пишет:
>
>> Здравствуйте, Andriy.
>>
>> Вы писали 5 июня 2003 г., 16:45:16:
>>
>>
>>
>>> Абсолютно не понял, что Вам нужно.
>>>
>>
>>
>> Да... , пожалуй я и сам бы не понял ;-))
>>
>> Подробнее это выглядит так:
>> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>> 192.168.1.1. На ней настроен iptables на преобразование адресов
>>
>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
>> xxx.xxx.xxx.7
>
Можно, если ничего не помогает, изменить на:
$IPTABLES -t nat -A POSTROUTING -s !192.168.1.12 -o eth0 -j SNAT
--to-source xxx.xxx.xxx.7
>>
>>
>> Нужно настроить выход одной машины под своим отдельным ip.
>> Например во внутренней сети машинка 192.168.1.12 должна выходить
>> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>> выдает по ip.
>>
>> Добавление в конфиг
>>
>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>> --to-source xxx.xxx.xxx.12
>>
>> не помогло :-(
>> Может ошибся в написании ?
>>
>>
>
> Присмотритесь внимательней, в данном случае имеет значение
> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 7:42 ` Konstantin V. Gaidukov
@ 2003-06-06 8:26 ` Andriy Dobrovol's'kii
0 siblings, 0 replies; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-06 8:26 UTC (permalink / raw)
To: community
Konstantin V. Gaidukov wrote:
> Владимир пишет:
>
>> Кочетков Владимир пишет:
>>
>>> Здравствуйте, Andriy.
>>>
>>> Вы писали 5 июня 2003 г., 16:45:16:
>>>
>>>
>>>
>>>> Абсолютно не понял, что Вам нужно.
>>>>
>>>
>>>
>>>
>>> Да... , пожалуй я и сам бы не понял ;-))
>>>
>>> Подробнее это выглядит так:
>>> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>>> 192.168.1.1. На ней настроен iptables на преобразование адресов
>>>
>>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
>>> xxx.xxx.xxx.7
>>
>>
> Можно, если ничего не помогает, изменить на:
> $IPTABLES -t nat -A POSTROUTING -s !192.168.1.12 -o eth0 -j SNAT
> --to-source xxx.xxx.xxx.7
>
Ни в коем случае! А вот на порядок загрузки правил посмотреть нужно.
Чтоб сперва проверялось на уникальный адрес, а уже затем выполнялась
массовая подстановка.
>>>
>>>
>>> Нужно настроить выход одной машины под своим отдельным ip.
>>> Например во внутренней сети машинка 192.168.1.12 должна выходить
>>> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>>> выдает по ip.
>>>
>>> Добавление в конфиг
>>>
>>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>>> --to-source xxx.xxx.xxx.12
>>>
>>> не помогло :-(
>>> Может ошибся в написании ?
>>>
>>>
>>
>> Присмотритесь внимательней, в данном случае имеет значение
>> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>
>
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* [Comm] squid & wb_ntlmauth troubles
2003-06-06 7:11 ` Владимир
2003-06-06 7:42 ` Konstantin V. Gaidukov
@ 2003-06-06 8:31 ` Konstantin V. Gaidukov
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
2 siblings, 0 replies; 27+ messages in thread
From: Konstantin V. Gaidukov @ 2003-06-06 8:31 UTC (permalink / raw)
To: community
Никак не получается прикрутить squid для авторизациии через домен W2k
------------------------------------- smb.conf
----------------------------------
workgroup = OMG
log file = /var/log/samba/log.%m
max log size = 50
hosts allow = 192.168.1. 10.0.0. 127.
security = domain
password server = oscar pc-43
encrypt passwords = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind separator = "\"
winbind use default domain = yes
dns proxy = no
template homedir = /home/samba/temp/%D/%U
template shell = /bin/bash
-----------------------------------squid.conf----------------------------------------
auth_param ntlm program /path/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl MyUser proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl MyNet src 192.168.1.0/255.255.255.0
http_access allow MyUser
http_access allow MyNet
http_access deny all
------------------------------------
winbind прикручен:
#wbinfo -t
Secret is good
#wbinfo -a domain\\user%password
OK!
#/path/wb_auth -d
>domain\user password
OK!
При присоединении клиента через IE, выдается окно для ввода пароля, но
!!!!!
вводим правильный пароль - в доступе отказано.
Если поменять ntlm и basic местами - выдается окно ввода пароля и
авторизация проходит успешно.
При входе в интернет через Mozill'у для виндов - сразу окно ввода пароля
- и авторизация проходит успешно.
Squid 2.5, причем не только в ALT'овской сборке, но самосбор STABLE2 /
STABLE3
Samba 2.2.7 ALT (стандарт из ALT Master 2.2)
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-06 7:11 ` Владимир
2003-06-06 7:42 ` Konstantin V. Gaidukov
2003-06-06 8:31 ` [Comm] squid & wb_ntlmauth troubles Konstantin V. Gaidukov
@ 2003-06-06 9:37 ` Кочетков Владимир
2003-06-06 10:34 ` Alexander Simernin
` (4 more replies)
2 siblings, 5 replies; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-06 9:37 UTC (permalink / raw)
To: Владимир
Здравствуйте, Владимир.
Вы писали 6 июня 2003 г., 12:11:43:
В> Присмотритесь внимательней, в данном случае имеет значение
В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
Порядок такой:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
Пробовал также:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
Результат один, с 192.168.1.12 прохода нет :-(
Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
туда гляжу ? Как должно выглядеть правило NAT ?
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
@ 2003-06-06 10:34 ` Alexander Simernin
2003-06-06 11:04 ` Владимир
` (3 subsequent siblings)
4 siblings, 0 replies; 27+ messages in thread
From: Alexander Simernin @ 2003-06-06 10:34 UTC (permalink / raw)
To: community
В сообщении от Пятница 06 Июнь 2003 13:37 Кочетков Владимир написал(a):
> Здравствуйте, Владимир.
>
> Вы писали 6 июня 2003 г., 12:11:43:
>
> В> Присмотритесь внимательней, в данном случае имеет значение
> В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12 $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7
>
> Пробовал также:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12 $IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j
> SNAT --to-source xxx.xxx.xxx.7
>
> Результат один, с 192.168.1.12 прохода нет :-(
>
> Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
> туда гляжу ? Как должно выглядеть правило NAT ?
А попробовать iptables -t nat -L ? :)
--
Best regards, mailto:simernin@maxus.ru
Alexander.
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
2003-06-06 10:34 ` Alexander Simernin
@ 2003-06-06 11:04 ` Владимир
2003-06-09 6:18 ` Re[2]: " Кочетков Владимир
2003-06-06 11:08 ` Konstantin V. Gaidukov
` (2 subsequent siblings)
4 siblings, 1 reply; 27+ messages in thread
From: Владимир @ 2003-06-06 11:04 UTC (permalink / raw)
To: community
Кочетков Владимир пишет:
>Здравствуйте, Владимир.
>
>Вы писали 6 июня 2003 г., 12:11:43:
>
>В> Присмотритесь внимательней, в данном случае имеет значение
>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>Порядок такой:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Пробовал также:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Результат один, с 192.168.1.12 прохода нет :-(
>
>Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
>туда гляжу ? Как должно выглядеть правило NAT ?
>
>
Если таблица не указана явно, подразумевается filter
Вывод покажите (с счетчиками)
iptables -t nat --line-number -vnL
--
Best regards
Vladimir
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
2003-06-06 10:34 ` Alexander Simernin
2003-06-06 11:04 ` Владимир
@ 2003-06-06 11:08 ` Konstantin V. Gaidukov
2003-06-06 11:36 ` Re[2]: " Yuri Hramov
2003-06-06 11:40 ` Yuri Hramov
4 siblings, 0 replies; 27+ messages in thread
From: Konstantin V. Gaidukov @ 2003-06-06 11:08 UTC (permalink / raw)
To: community
Кочетков Владимир пишет:
>Здравствуйте, Владимир.
>
>Вы писали 6 июня 2003 г., 12:11:43:
>
>В> Присмотритесь внимательней, в данном случае имеет значение
>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>Порядок такой:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Пробовал также:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Результат один, с 192.168.1.12 прохода нет :-(
>
>Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
>туда гляжу ? Как должно выглядеть правило NAT ?
>
>
iptables -L -t nat
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: Re[2]: [Comm] NAT
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
` (2 preceding siblings ...)
2003-06-06 11:08 ` Konstantin V. Gaidukov
@ 2003-06-06 11:36 ` Yuri Hramov
2003-06-06 11:40 ` Yuri Hramov
4 siblings, 0 replies; 27+ messages in thread
From: Yuri Hramov @ 2003-06-06 11:36 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 522 bytes --]
В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:
> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7
А почему POSTROUTING?
> Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
> туда гляжу ? Как должно выглядеть правило NAT ?
iptables -L -t nat
--
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания)
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: Re[2]: [Comm] NAT
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
` (3 preceding siblings ...)
2003-06-06 11:36 ` Re[2]: " Yuri Hramov
@ 2003-06-06 11:40 ` Yuri Hramov
2003-06-07 11:46 ` Igor Solovyov
2003-06-09 6:19 ` Re[4]: " Кочетков Владимир
4 siblings, 2 replies; 27+ messages in thread
From: Yuri Hramov @ 2003-06-06 11:40 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 554 bytes --]
В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:
Пардоньте, в предыдущем письме взглючил.
> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12
Обрабатываем пришедшее с eth0 и адресом 192.168.1.12
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7
Обрабатываем ВСЕ, пришедшее с eth0
Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12
--
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания)
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: Re[2]: [Comm] NAT
2003-06-06 11:40 ` Yuri Hramov
@ 2003-06-07 11:46 ` Igor Solovyov
2003-06-09 6:19 ` Re[4]: " Кочетков Владимир
1 sibling, 0 replies; 27+ messages in thread
From: Igor Solovyov @ 2003-06-07 11:46 UTC (permalink / raw)
To: community
Hi!
On Fri, 6 Jun 2003 15:40:35 +0400
Yuri Hramov <hramov@k-technology.ru> wrote:
> > Порядок такой:
> > $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j
> > SNAT --to-source xxx.xxx.xxx.12
>
> Обрабатываем пришедшее с eth0 и адресом 192.168.1.12
IMHO у Вас тут в этом правиле написано отнюдь не
"пришедшее с eth0", а ровно наоборот - уходящее на eth0.
> > $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> > xxx.xxx.xxx.7
>
> Обрабатываем ВСЕ, пришедшее с eth0
и тут - уходящее на eth0.
--
Best regards!
Igor Solovyov
System/network administrator
JSC CB "Zlatkombank"
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-06 11:04 ` Владимир
@ 2003-06-09 6:18 ` Кочетков Владимир
2003-06-09 7:35 ` Andriy Dobrovol's'kii
0 siblings, 1 reply; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-09 6:18 UTC (permalink / raw)
To: Владимир
Здравствуйте, Владимир.
Вы писали 6 июня 2003 г., 16:04:07:
>>В> Присмотритесь внимательней, в данном случае имеет значение
>>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>
>>Порядок такой:
>>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
В> Если таблица не указана явно, подразумевается filter
В> Вывод покажите (с счетчиками)
В> iptables -t nat --line-number -vnL
Вот такая картина:
Chain PREROUTING (policy ACCEPT 1377 packets, 249K bytes)
num pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 19 packets, 4167 bytes)
num pkts bytes target prot opt in out source destination
1 21 1456 SNAT all -- * eth0 192.168.1.12 0.0.0.0/0 to:xxx.xxx.xxx.12
2 95 28856 SNAT all -- * eth0 0.0.0.0/0 0.0.0.0/0 to:xxx.xxx.xxx.7
Chain OUTPUT (policy ACCEPT 48 packets, 7199 bytes)
num pkts bytes target prot opt in out source destination
Где eth0 внешний интерфейс с ip xxx.xxx.xxx.7
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[4]: [Comm] NAT
2003-06-06 11:40 ` Yuri Hramov
2003-06-07 11:46 ` Igor Solovyov
@ 2003-06-09 6:19 ` Кочетков Владимир
2003-06-09 9:45 ` Yuri Hramov
1 sibling, 1 reply; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-09 6:19 UTC (permalink / raw)
To: Yuri Hramov
Здравствуйте, Yuri.
Вы писали 6 июня 2003 г., 16:40:35:
YH> В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:
YH> Пардоньте, в предыдущем письме взглючил.
>> Порядок такой:
>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
>> xxx.xxx.xxx.12
YH> Обрабатываем пришедшее с eth0 и адресом 192.168.1.12
>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
>> xxx.xxx.xxx.7
YH> Обрабатываем ВСЕ, пришедшее с eth0
YH> Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12
Все с точностью наоборот, все идущее на eth0 ;-))
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-09 6:18 ` Re[2]: " Кочетков Владимир
@ 2003-06-09 7:35 ` Andriy Dobrovol's'kii
2003-06-09 8:11 ` Re[2]: " Кочетков Владимир
0 siblings, 1 reply; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-09 7:35 UTC (permalink / raw)
To: community
Кочетков Владимир wrote:
> Здравствуйте, Владимир.
>
> Вы писали 6 июня 2003 г., 16:04:07:
>
>
>
>>>В> Присмотритесь внимательней, в данном случае имеет значение
>>>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>>
>>>Порядок такой:
>>>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>
> В> Если таблица не указана явно, подразумевается filter
> В> Вывод покажите (с счетчиками)
>
> В> iptables -t nat --line-number -vnL
>
> Вот такая картина:
>
> Chain PREROUTING (policy ACCEPT 1377 packets, 249K bytes)
> num pkts bytes target prot opt in out source destination
>
> Chain POSTROUTING (policy ACCEPT 19 packets, 4167 bytes)
> num pkts bytes target prot opt in out source destination
> 1 21 1456 SNAT all -- * eth0 192.168.1.12 0.0.0.0/0 to:xxx.xxx.xxx.12
> 2 95 28856 SNAT all -- * eth0 0.0.0.0/0 0.0.0.0/0 to:xxx.xxx.xxx.7
>
> Chain OUTPUT (policy ACCEPT 48 packets, 7199 bytes)
> num pkts bytes target prot opt in out source destination
>
> Где eth0 внешний интерфейс с ip xxx.xxx.xxx.7
>
>
> Ну, пакетики через первое правило уходят.
Я только не пойму, как Вы их назад получить собрались? Или у eth0
настроено два IP? Да, и в цепочке форвардинга хождение пакетов
разрешено?
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-09 7:35 ` Andriy Dobrovol's'kii
@ 2003-06-09 8:11 ` Кочетков Владимир
2003-06-09 9:00 ` Andriy Dobrovol's'kii
2003-06-09 10:14 ` Re[2]: " Yuri Hramov
0 siblings, 2 replies; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-09 8:11 UTC (permalink / raw)
To: Andriy Dobrovol's'kii
Здравствуйте, Andriy.
Вы писали 9 июня 2003 г., 12:35:19:
>> Ну, пакетики через первое правило уходят.
ADsk> Я только не пойму, как Вы их назад получить собрались? Или у eth0
ADsk> настроено два IP? Да, и в цепочке форвардинга хождение пакетов
ADsk> разрешено?
Вот и я тоже не пойму, задача ставилась так:
Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
192.168.1.1. На ней настроен iptables на преобразование адресов
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
Нужно настроить выход одной машины под своим отдельным ip.
Например во внутренней сети машинка 192.168.1.12 должна выходить
наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
выдает по ip.
На что мне и предложили добавить правило:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-09 8:11 ` Re[2]: " Кочетков Владимир
@ 2003-06-09 9:00 ` Andriy Dobrovol's'kii
2003-06-09 9:32 ` Re[2]: " Кочетков Владимир
2003-06-09 10:14 ` Re[2]: " Yuri Hramov
1 sibling, 1 reply; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-09 9:00 UTC (permalink / raw)
To: community
Кочетков Владимир wrote:
> Здравствуйте, Andriy.
>
> Вы писали 9 июня 2003 г., 12:35:19:
>
>
>>>Ну, пакетики через первое правило уходят.
>
> ADsk> Я только не пойму, как Вы их назад получить собрались? Или у eth0
> ADsk> настроено два IP? Да, и в цепочке форвардинга хождение пакетов
> ADsk> разрешено?
>
> Вот и я тоже не пойму, задача ставилась так:
>
> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
> 192.168.1.1. На ней настроен iptables на преобразование адресов
>
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
> Нужно настроить выход одной машины под своим отдельным ip.
> Например во внутренней сети машинка 192.168.1.12 должна выходить
> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
> выдает по ip.
>
> На что мне и предложили добавить правило:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
Ну, попробуйте добавить второй IP внешней карте. И провайдер должен
об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад
дорогу не найдут.
Или вставьте ещё одну карту и пускайте этот поток через неё... Но,
как-то это муторно...
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-09 9:00 ` Andriy Dobrovol's'kii
@ 2003-06-09 9:32 ` Кочетков Владимир
2003-06-09 9:49 ` Andriy Dobrovol's'kii
0 siblings, 1 reply; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-09 9:32 UTC (permalink / raw)
To: Andriy Dobrovol's'kii
Здравствуйте, Andriy.
Вы писали 9 июня 2003 г., 14:00:36:
ADsk> Ну, попробуйте добавить второй IP внешней карте. И провайдер должен
ADsk> об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад
ADsk> дорогу не найдут.
ADsk> Или вставьте ещё одну карту и пускайте этот поток через неё... Но,
ADsk> как-то это муторно...
А вот счас нашел такой вариант через iproute
ip rule add from 192.168.1.12 nat xxx.xxx.xxx.12
ip route add nat xxx.xxx.xxx.12 via 192.168.1.12
Возможно ли его применение с iptables, там пример описывался с
ipchains ?
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: Re[4]: [Comm] NAT
2003-06-09 6:19 ` Re[4]: " Кочетков Владимир
@ 2003-06-09 9:45 ` Yuri Hramov
0 siblings, 0 replies; 27+ messages in thread
From: Yuri Hramov @ 2003-06-09 9:45 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 473 bytes --]
В сообщении от 9 Июнь 2003 10:19 Кочетков Владимир написал:
> >> > >> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> >> xxx.xxx.xxx.7
>
> YH> Обрабатываем ВСЕ, пришедшее с eth0
>
> YH> Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12
> Все с точностью наоборот, все идущее на eth0 ;-))
Это я заметил уже после отправки второго письма ;)
--
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания)
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-09 9:32 ` Re[2]: " Кочетков Владимир
@ 2003-06-09 9:49 ` Andriy Dobrovol's'kii
2003-06-09 10:11 ` Re[2]: " Кочетков Владимир
0 siblings, 1 reply; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-09 9:49 UTC (permalink / raw)
To: community
Кочетков Владимир wrote:
> Здравствуйте, Andriy.
>
> Вы писали 9 июня 2003 г., 14:00:36:
> ADsk> Ну, попробуйте добавить второй IP внешней карте. И провайдер должен
> ADsk> об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад
> ADsk> дорогу не найдут.
> ADsk> Или вставьте ещё одну карту и пускайте этот поток через неё... Но,
> ADsk> как-то это муторно...
>
> А вот счас нашел такой вариант через iproute
>
> ip rule add from 192.168.1.12 nat xxx.xxx.xxx.12
> ip route add nat xxx.xxx.xxx.12 via 192.168.1.12
>
> Возможно ли его применение с iptables, там пример описывался с
> ipchains ?
Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными
адресами. Проблема возврата этих пакетов. Ведь карта имеет только
один адрес? Так куда вернутся пакеты для привелигированной машины?
Потому и пишу, что нужно ставить второй IP на ту же карту.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] NAT
2003-06-09 9:49 ` Andriy Dobrovol's'kii
@ 2003-06-09 10:11 ` Кочетков Владимир
2003-06-09 10:38 ` Andriy Dobrovol's'kii
2003-06-10 6:01 ` Alexander Vasiliev
0 siblings, 2 replies; 27+ messages in thread
From: Кочетков Владимир @ 2003-06-09 10:11 UTC (permalink / raw)
To: Andriy Dobrovol's'kii
Здравствуйте, Andriy.
Вы писали 9 июня 2003 г., 14:49:09:
ADsk> Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными
ADsk> адресами. Проблема возврата этих пакетов. Ведь карта имеет только
ADsk> один адрес? Так куда вернутся пакеты для привелигированной машины?
ADsk> Потому и пишу, что нужно ставить второй IP на ту же карту.
Тоесть если я правильно понял необходимо задать алиас на интерфейс с
ip xxx.xxx.xxx.12
А что если придется тоже самое сделать для десятка машин, забить
десяток алиасов ?
Может есть какой то другой способ ?
--
С уважением,
Кочетков mailto:kvn@toltc.samen.elektra.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: Re[2]: [Comm] NAT
2003-06-09 8:11 ` Re[2]: " Кочетков Владимир
2003-06-09 9:00 ` Andriy Dobrovol's'kii
@ 2003-06-09 10:14 ` Yuri Hramov
1 sibling, 0 replies; 27+ messages in thread
From: Yuri Hramov @ 2003-06-09 10:14 UTC (permalink / raw)
To: community
[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 374 bytes --]
В сообщении от 9 Июнь 2003 12:11 Кочетков Владимир написал:
> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
> 192.168.1.1. На ней настроен iptables на преобразование адресов
А где интерфейс xxx.xxx.xxx.12? Он вообще существует? Настроен?
--
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания)
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-09 10:11 ` Re[2]: " Кочетков Владимир
@ 2003-06-09 10:38 ` Andriy Dobrovol's'kii
2003-06-10 6:01 ` Alexander Vasiliev
1 sibling, 0 replies; 27+ messages in thread
From: Andriy Dobrovol's'kii @ 2003-06-09 10:38 UTC (permalink / raw)
To: community
Кочетков Владимир wrote:
> Здравствуйте, Andriy.
>
> Вы писали 9 июня 2003 г., 14:49:09:
>
> ADsk> Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными
> ADsk> адресами. Проблема возврата этих пакетов. Ведь карта имеет только
> ADsk> один адрес? Так куда вернутся пакеты для привелигированной машины?
> ADsk> Потому и пишу, что нужно ставить второй IP на ту же карту.
>
> Тоесть если я правильно понял необходимо задать алиас на интерфейс с
> ip xxx.xxx.xxx.12
Угу.
> А что если придется тоже самое сделать для десятка машин, забить
> десяток алиасов ?
_Я_ другого варианта не знаю. Может кто-то подскажет.
> Может есть какой то другой способ ?
>
Поставьте машинку конвертор адресов до основного шлюза. Пусть она
только преобразованием адресов и занимается. А шлюз только форвардит
пакеты уже без преобразования. Может так станет вразумительней. Или
провайдер должен сам решать проблему возврата пакетов по правильному
маршруту... Но, как это будет выглядеть "в натуре"... слабо себе
представляю.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 265-7824 Department of Gas Electronics
Fax: (380-44) 265-2329 Institute of Physics of NASU
*********************************************************************
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] NAT
2003-06-09 10:11 ` Re[2]: " Кочетков Владимир
2003-06-09 10:38 ` Andriy Dobrovol's'kii
@ 2003-06-10 6:01 ` Alexander Vasiliev
1 sibling, 0 replies; 27+ messages in thread
From: Alexander Vasiliev @ 2003-06-10 6:01 UTC (permalink / raw)
To: Andriy Dobrovol's'kii
On Mon, Jun 09, 2003 at 03:11:30PM +0500, Кочетков Владимир wrote:
> Тоесть если я правильно понял необходимо задать алиас на интерфейс с
> ip xxx.xxx.xxx.12
> А что если придется тоже самое сделать для десятка машин, забить
> десяток алиасов ?
> Может есть какой то другой способ ?
Взять у провайдера не отдельные ip, а сеть ххх.ххх.ххх.0/27 (или
ххх.ххх.ххх.0/26, сколько вам нужно). Шлюз настроить на прием
пакетов для всей сети. Поднять на нем dhcp сервер и раздавать ip
так, как вам нужно.
--
Александр Васильев
ЗАО "Таском"
vav@tascom.ru
^ permalink raw reply [flat|nested] 27+ messages in thread
end of thread, other threads:[~2003-06-10 6:01 UTC | newest]
Thread overview: 27+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-06-05 8:05 [Comm] NAT Кочетков Владимир
2003-06-05 11:32 ` Mike Lykov
2003-06-05 11:45 ` Andriy Dobrovol's'kii
2003-06-06 7:02 ` Re[2]: " Кочетков Владимир
2003-06-06 7:11 ` Владимир
2003-06-06 7:42 ` Konstantin V. Gaidukov
2003-06-06 8:26 ` Andriy Dobrovol's'kii
2003-06-06 8:31 ` [Comm] squid & wb_ntlmauth troubles Konstantin V. Gaidukov
2003-06-06 9:37 ` Re[2]: [Comm] NAT Кочетков Владимир
2003-06-06 10:34 ` Alexander Simernin
2003-06-06 11:04 ` Владимир
2003-06-09 6:18 ` Re[2]: " Кочетков Владимир
2003-06-09 7:35 ` Andriy Dobrovol's'kii
2003-06-09 8:11 ` Re[2]: " Кочетков Владимир
2003-06-09 9:00 ` Andriy Dobrovol's'kii
2003-06-09 9:32 ` Re[2]: " Кочетков Владимир
2003-06-09 9:49 ` Andriy Dobrovol's'kii
2003-06-09 10:11 ` Re[2]: " Кочетков Владимир
2003-06-09 10:38 ` Andriy Dobrovol's'kii
2003-06-10 6:01 ` Alexander Vasiliev
2003-06-09 10:14 ` Re[2]: " Yuri Hramov
2003-06-06 11:08 ` Konstantin V. Gaidukov
2003-06-06 11:36 ` Re[2]: " Yuri Hramov
2003-06-06 11:40 ` Yuri Hramov
2003-06-07 11:46 ` Igor Solovyov
2003-06-09 6:19 ` Re[4]: " Кочетков Владимир
2003-06-09 9:45 ` Yuri Hramov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git