[mdk-re] kernel-2.2.19+NAT

[mdk-re] kernel-2.2.19+NAT

[send2my]

Доброе время суток!
У меня банальная проблема, которую, к сожалению, я не смог решить в
одиночку, и обращаюсь за помощью к Вам, аважаемые.
Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
"поднять" NAT.
eth0 - 192.168.1.0/27
eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
Как это сделать - ума не приложу, туго с окружением... :-(
Помогите, люди добрые! Нужно срочно.
Где почитать, куда смотреть? Сейчас пытаюсь разобраться с ipchains
(forward).

Спасибо.
Извините, если что.

-- 
Best regards,
 send2my                          mailto:send2my@mail.ru

Re: [mdk-re] kernel-2.2.19+NAT

[Andrew Nazarkin]

Здравствуйте, send2my.

Вы писали 11 сентября 2001 г., 13:11:57:

s> Доброе время суток!
s> У меня банальная проблема, которую, к сожалению, я не смог решить в
s> одиночку, и обращаюсь за помощью к Вам, аважаемые.
s> Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
s> "поднять" NAT.
s> eth0 - 192.168.1.0/27
s> eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
s> Как это сделать - ума не приложу, туго с окружением... :-(
s> Помогите, люди добрые! Нужно срочно.
s> Где почитать, куда смотреть? Сейчас пытаюсь разобраться с ipchains
s> (forward).

s> Спасибо.
s> Извините, если что.


Брр. Не совсем ясно. Тебе примитивный маскарадинг настроить нужно или
связать две фейковые сетки через инет?

-- 
С уважением,
  Alting                         mailto:alting@mail.ru

Re: [mdk-re] kernel-2.2.19+NAT

[Vlad Drakula]

Hello send2my,

Tuesday, September 11, 2001, 3:11:57 PM, you wrote:

s> Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
s> "поднять" NAT.
s> eth0 - 192.168.1.0/27
s> eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
s> Как это сделать - ума не приложу, туго с окружением... :-(
s> Помогите, люди добрые! Нужно срочно.
s> Где почитать, куда смотреть? Сейчас пытаюсь разобраться с ipchains
s> (forward).

Это не NAT... В общем:

ipchains -A forward -s 192.168.1.0/24 -d 0.0 -j MASQ

все работает, правило как видишь пропускает все из внутреней сети во
вне... Для более тонкой настойки рекомендую читать соответсвующие факи
в нете, или ко мне на майл.


-- 
Best regards,
 Vlad                            mailto:sib_drakula@intramail.ru

Re: [mdk-re] kernel-2.2.19+NAT

[Maxim Ivanov]

Hello send2my,

Tuesday, September 11, 2001, 1:11:57 PM, you wrote:

s> Доброе время суток!
s> У меня банальная проблема, которую, к сожалению, я не смог решить в
s> одиночку, и обращаюсь за помощью к Вам, аважаемые.
s> Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
s> "поднять" NAT.
s> eth0 - 192.168.1.0/27
s> eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
s> Как это сделать - ума не приложу, туго с окружением... :-(
s> Помогите, люди добрые! Нужно срочно.


Если я ничего не путаю, NAT в Линуксе называется маскарадиногом...


Best regards,
 Maxim                            mailto:maxiva@yandex.ru

Re: [mdk-re] kernel-2.2.19+NAT

[Viacheslav Kaloshin]

а что,

echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p TCP -j MASQ
ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p UDP -j MASQ
ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p ICMP -j MASQ

уже не работает ?

On Tue, 11 Sep 2001 13:11:57 +0400
send2my <send2my@mail.ru> wrote:

S> Доброе время суток!
S> У меня банальная проблема, которую, к сожалению, я не смог решить в
S> одиночку, и обращаюсь за помощью к Вам, аважаемые.
S> Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
S> "поднять" NAT.
S> eth0 - 192.168.1.0/27
S> eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
S> Как это сделать - ума не приложу, туго с окружением... :-(
S> Помогите, люди добрые! Нужно срочно.
S> Где почитать, куда смотреть? Сейчас пытаюсь разобраться с ipchains
S> (forward).

S> Спасибо.
S> Извините, если что.

S> -- 
S> Best regards,
S> send2my                          mailto:send2my@mail.ru



S> _______________________________________________
S> Mandrake-russian mailing list
S> Mandrake-russian@altlinux.ru
S> http://altlinux.ru/mailman/listinfo/mandrake-russian


--
With best wishes,
Viacheslav Kaloshin
multik@asplinux.ru tel. +7 095 933 3549
http://linuxnews.ru

Re: [mdk-re] kernel-2.2.19+NAT

[HB trying to survive under Linux]

On Tue, Sep 11, 2001 at 01:11:57PM +0400, send2my wrote:
> У меня банальная проблема, которую, к сожалению, я не смог решить в
> одиночку, и обращаюсь за помощью к Вам, аважаемые.
> Провайдер выделил один IP-adress (тоже банально). Соответственно нужно
> "поднять" NAT.
> eth0 - 192.168.1.0/27
> eth1 - x.x.x.1 (один реальный адрес, смотрит наружу)
> Как это сделать - ума не приложу, туго с окружением... :-(
> Помогите, люди добрые! Нужно срочно.
> Где почитать, куда смотреть? Сейчас пытаюсь разобраться с ipchains
> (forward).

Я прекрасно вас понимаю, т. к. сам 3 дня назад был в том же положении,
в к-ром вы сейчас :))
Раз вам нужно срочно, вот вам предельно краткая инструкция ('#' -- это,
естественно, приглашение bash у root, а не символ комментария):

# ipchains -P forward DENY
# ipchains -A forward -i eth1 -s 192.168.1.0/27 -j MASQ
# echo 1 > /proc/sys/net/ipv4/ip_forward

Это все! :-)
(ну, конечно, есть ряд оговорок, что, например, ядро должно
поддерживать Masquerading и т. д. и т. п., но если у вас
Mandrake RE Spring 2001 в дефолтной установе, то проблем быть не должно)
Разумеется, правильно настроены должны быть и клиентские машины, а не только
тот хост, к-рый непосредственно подключен к Сети.

Если интересно, спрашивайте, я вспомню и перечислю те источники, к-рые
помогли _мне_. Само собой разумеется, man pages во всех подобных
случаях непригодны. 

-- 
HB

Re: [mdk-re] kernel-2.2.19+NAT

[HB trying to survive under Linux]

On Tue, Sep 11, 2001 at 03:24:54PM +0600, Vlad Drakula wrote:

> Это не NAT... В общем:
> 
> ipchains -A forward -s 192.168.1.0/24 -d 0.0 -j MASQ

Это _именно_ NAT.

-- 
HB

Re: [mdk-re] kernel-2.2.19+NAT

[HB trying to survive under Linux]

On Tue, Sep 11, 2001 at 01:31:37PM +0400, Viacheslav Kaloshin wrote:
> а что,
> 
> echo 1 > /proc/sys/net/ipv4/ip_forward
> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p TCP -j MASQ
> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p UDP -j MASQ
> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p ICMP -j MASQ
> 
> уже не работает ?

Работает-работает. Попутно делая дырищу в безопасности.

-- 
HB

Re: [mdk-re] kernel-2.2.19+NAT

[Vyt]

On Tue, 11 Sep 2001 15:45:28 +0400
HB trying to survive under Linux <npecca@yahoo.com> wrote:

> On Tue, Sep 11, 2001 at 03:24:54PM +0600, Vlad Drakula wrote:
> 
> > Это не NAT... В общем:
> > 
> > ipchains -A forward -s 192.168.1.0/24 -d 0.0 -j MASQ
> 
> Это _именно_ NAT.

NAT, помимо всего прочего, включает в себя возможность трансляции
адресов не только на один реальный, ограничение пропускной
способности канала. Так что это все-таки не NAT.

<skipped>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@jabber.org

Re: [mdk-re] kernel-2.2.19+NAT

[Viacheslav Kaloshin]

On Tue, 11 Sep 2001 15:53:04 +0400
HB trying to survive under Linux <npecca@yahoo.com> wrote:

HTTSUL> On Tue, Sep 11, 2001 at 01:31:37PM +0400, Viacheslav Kaloshin
wrote:
>> а что,
>> 
>> echo 1 > /proc/sys/net/ipv4/ip_forward
>> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p TCP -j MASQ
>> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p UDP -j MASQ
>> ipchains -A forward -s 192.168.1.0/27 -d 0/0 -p ICMP -j MASQ
>> 
>> уже не работает ?

HTTSUL> Работает-работает. Попутно делая дырищу в безопасности.

это какую-же ? то, что любая машина из 192.168.1 может выйти наружу ? так
в первоначальном условии так и было - выпустить машины наружу ... а вот
кого выпускать, куда и как - не было ...

да и в таком "конфиге" никто внутрь не пролезет, если снутри не помогут
...


--
With best wishes,
Viacheslav Kaloshin
multik@asplinux.ru tel. +7 095 933 3549
http://linuxnews.ru

Re: [mdk-re] kernel-2.2.19+NAT

[HB trying to survive under Linux]

On Tue, Sep 11, 2001 at 03:56:32PM +0400, Vyt wrote:

> > > Это не NAT... В общем:
> > > 
> > > ipchains -A forward -s 192.168.1.0/24 -d 0.0 -j MASQ
> > 
> > Это _именно_ NAT.
> 
> NAT, помимо всего прочего, включает в себя возможность трансляции
> адресов не только на один реальный, ограничение пропускной
> способности канала. Так что это все-таки не NAT.

<imho>
Вполне допускаю, что я ошибаюсь, тем не менее, это все-таки NAT.
То, что это его очень частный случай, -- вопрос второй. Что включает
в себя NAT помимо этого частного случая -- уже третий вопрос.
Окунь -- все-таки рыба. Хотя понятие "рыба" включает в себя и других
килек в томате ;-)
</imho>

-- 
HB

[mdk-re] mod_ssl

[Ilya Kovalev]

Народ, подскажите такую штуку.
Есть Apache, и на нем есть несколько виртуальных серверов.
SSL встает как <VirtualHost _default_:443> (то есть как IP-based), далее
хотелось бы на тот же IP нацепить еще несколько виртуальных хостов
как Name-based. И таким образов чтобы SSL support был только на одном
Name-based виртуальном хосте. Как можно так исхитриться, помогите...

Илья

Re: [mdk-re] mod_ssl

[AT]

> Есть Apache, и на нем есть несколько виртуальных серверов.
> SSL встает как <VirtualHost _default_:443> (то есть как IP-based), далее
> хотелось бы на тот же IP нацепить еще несколько виртуальных хостов
> как Name-based. И таким образов чтобы SSL support был только на одном
> Name-based виртуальном хосте. Как можно так исхитриться, помогите...

SSL в Apache не поддерживает NameBased виртуальные хосты, поэтому SSL
будет работать для любого HTTP соединения на 443 порт.

Просмотрите архив рассылки apache-talk на www.lexa.ru, там эта тема
временами обсуждается.

> 
> Илья
> 

__
AT

Re: [mdk-re] kernel-2.2.19+NAT

[Sergei]

Вторник 11 Сентябрь 2001 16:28, Вы написали:
> <imho>
> Вполне допускаю, что я ошибаюсь, тем не менее, это все-таки NAT.
> То, что это его очень частный случай, -- вопрос второй. Что включает
> в себя NAT помимо этого частного случая -- уже третий вопрос.
> Окунь -- все-таки рыба. Хотя понятие "рыба" включает в себя и других
> килек в томате ;-)
> </imho>
Тогда дайте более конкретные вопросы дабы получить конкретные ответы.
Итак, есть 2 сетки. Что требуется для внутренней и что для внешней?

В принципе, простейшее Вам уже написали. Может, что-то еще, подразумеваемое 
Вами, но не написанное?

-- 
С уважением, Епифанов Сергей.

Re: [mdk-re] mod_ssl

[Sergei]

Вторник 11 Сентябрь 2001 18:20, Вы написали:
> Народ, подскажите такую штуку.
> Есть Apache, и на нем есть несколько виртуальных серверов.
> SSL встает как <VirtualHost _default_:443> (то есть как IP-based), далее
> хотелось бы на тот же IP нацепить еще несколько виртуальных хостов
> как Name-based. И таким образов чтобы SSL support был только на одном
> Name-based виртуальном хосте. Как можно так исхитриться, помогите...
В документации по Apache написано, что реализация SSL для Name Based 
виртуальных хостов невозможна (смотрите FAQ по mod_ssl).

-- 
С уважением, Епифанов Сергей.

Re: [mdk-re] kernel-2.2.19+NAT

[HB trying to survive under Linux]

On Wed, Sep 12, 2001 at 03:37:16AM +0400, Sergei wrote:
> Вторник 11 Сентябрь 2001 16:28, Вы написали:
> > <imho>
> > Вполне допускаю, что я ошибаюсь, тем не менее, это все-таки NAT.
> > То, что это его очень частный случай, -- вопрос второй. Что включает
> > в себя NAT помимо этого частного случая -- уже третий вопрос.
> > Окунь -- все-таки рыба. Хотя понятие "рыба" включает в себя и других
> > килек в томате ;-)
> > </imho>
> Тогда дайте более конкретные вопросы дабы получить конкретные ответы.

Сергей, вы перепутали меня с автором этого thread. Я, HB <npecca@yahoo.com>,
не задавал в этом thread никаких вопросов. Скажу больше, я дал ответ тому,
кто их задал :)

-- 
HB

Re: [mdk-re] kernel-2.2.19+NAT

[Sergei]

Среда 12 Сентябрь 2001 11:26, Вы написали:

> Сергей, вы перепутали меня с автором этого thread. Я, HB
> <npecca@yahoo.com>, не задавал в этом thread никаких вопросов. Скажу
> больше, я дал ответ тому, кто их задал :)
Просто не тому адресовал вопрос, извиняюсь. Думаю, автор этого обсуждения 
поймет.

-- 
С уважением, Епифанов Сергей.