From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dor@ldc.net>
Date: Mon, 21 Mar 2005 13:38:46 +0200
From: "Dmytro O. Redchuk" <dor@ldc.net>
To: community@altlinux.ru
Subject: Re: [Comm] TROUBLE WITH MASQURADING
Message-ID: <20050321113846.GH5526@ldc.net>
Mail-Followup-To: community@altlinux.ru
References: <75485982.20050321111650@kuznetsov.org.ua>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-u
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <75485982.20050321111650@kuznetsov.org.ua>
User-Agent: Mutt/1.4.2.1i
X-Virus-Scanned: clamd / ClamAV version 0.74, clamav-milter version 0.74a
	on backup.ldc.net
X-Virus-Scanned: amavisd-new at ldc.net
X-Virus-Status: Clean
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Mon, 21 Mar 2005 11:38:58 -0000
Archived-At: <http://lore.altlinux.org/community/20050321113846.GH5526@ldc.net/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Mon, Mar 21, 2005 at 11:16:50AM -0800, Alexey S. Kuznetsov wrote:
> Привет всем!
>        У меня такая странная проблема....стоит сервер на нём:
>        ALT Linux Castle (build 20010806)
>        Kernel 2.4.7-alt2-up on an i686
> Он служит роутером для пользователей локальной сети..
> в этом сервере стоит 2 сетевые карты:
> 
> # ifconfig
> eth0      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx
>           inet addr:XXX.XXX.XXX.XXX  Bcast:XXX.XXX.XXX.XXX  Mask:255.255.255.248
[...]

> eth1      Link encap:Ethernet  HWaddr 00:02:44:6D:4E:FD
>           inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
[...]
> Стоит ipchains c таким вот правилом: ipchains -I forward -s 192.168.2.0/24 -j MASQ

> # trafshow -i eth0 -n
> показывает трафик НЕЗАШЕЙПЕНЫЙ и опять же с удалённых адреов на
> локальные....хотя должно показывать только коннекты на мой реальный
> IP. Раньше так и было. Каким образом вообще на внешнем интерфейсы
> могут оказаться внутренние ip??
Обычно я делал ещё (могу уже "путать педали" -- пишу по памяти):

# 
# запретить форвардинг из внешнего мира:
ipchains -A forward -i eth0 -o eth1 -l DENY
#
# разрешить input на внешний интерфейс только для "ответов" маскарадингу
# (гляньте в доке адреса используемых маскарадом портов):
ipchains -A input -i eth0 -d XXX.XXX.XXX.XXX --dport 60000:61000 -j ACCEPT
#
# запретить всё остальное на внешнем интерфейсе
# (**BE SURE** to разрешить то, что действительно нужно):
ipchains -A input -i eth0 -j DENY

> 
> Кто-нибудь сталкивался с такой ситуацией??
Нет :-)


Переходите на iptables, ну его в баню. Не пожалеете.

> 
> -- 
> Sincerely,
> Alexey S. Kuznetsov
> AK2351-RIPE

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk