From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 21 Mar 2005 13:38:46 +0200 From: "Dmytro O. Redchuk" To: community@altlinux.ru Subject: Re: [Comm] TROUBLE WITH MASQURADING Message-ID: <20050321113846.GH5526@ldc.net> Mail-Followup-To: community@altlinux.ru References: <75485982.20050321111650@kuznetsov.org.ua> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-u Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <75485982.20050321111650@kuznetsov.org.ua> User-Agent: Mutt/1.4.2.1i X-Virus-Scanned: clamd / ClamAV version 0.74, clamav-milter version 0.74a on backup.ldc.net X-Virus-Scanned: amavisd-new at ldc.net X-Virus-Status: Clean X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 21 Mar 2005 11:38:58 -0000 Archived-At: List-Archive: List-Post: On Mon, Mar 21, 2005 at 11:16:50AM -0800, Alexey S. Kuznetsov wrote: > Привет всем! > У меня такая странная проблема....стоит сервер на нём: > ALT Linux Castle (build 20010806) > Kernel 2.4.7-alt2-up on an i686 > Он служит роутером для пользователей локальной сети.. > в этом сервере стоит 2 сетевые карты: > > # ifconfig > eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx > inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.255.248 [...] > eth1 Link encap:Ethernet HWaddr 00:02:44:6D:4E:FD > inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 [...] > Стоит ipchains c таким вот правилом: ipchains -I forward -s 192.168.2.0/24 -j MASQ > # trafshow -i eth0 -n > показывает трафик НЕЗАШЕЙПЕНЫЙ и опять же с удалённых адреов на > локальные....хотя должно показывать только коннекты на мой реальный > IP. Раньше так и было. Каким образом вообще на внешнем интерфейсы > могут оказаться внутренние ip?? Обычно я делал ещё (могу уже "путать педали" -- пишу по памяти): # # запретить форвардинг из внешнего мира: ipchains -A forward -i eth0 -o eth1 -l DENY # # разрешить input на внешний интерфейс только для "ответов" маскарадингу # (гляньте в доке адреса используемых маскарадом портов): ipchains -A input -i eth0 -d XXX.XXX.XXX.XXX --dport 60000:61000 -j ACCEPT # # запретить всё остальное на внешнем интерфейсе # (**BE SURE** to разрешить то, что действительно нужно): ipchains -A input -i eth0 -j DENY > > Кто-нибудь сталкивался с такой ситуацией?? Нет :-) Переходите на iptables, ну его в баню. Не пожалеете. > > -- > Sincerely, > Alexey S. Kuznetsov > AK2351-RIPE -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk