[mdk-re] Ликбез

[mdk-re] Ликбез

[roman_tutov]

Hello mandrake-russian,

  Объясните пожалуйста барану (мне) основы настройки маскарада

  У меня имеется скрипт в котором описаны правила ipchains
  нужно собрать на другой машине систему и привинтить те же правила
  +подсчет трафика.

  Скрипты что у меня есть были написаны не ручками (и не мной)
  а сгенерированы какой-то программой . (Вроде pmfirewall но я не
  уверен )

  Скачал/установил ipchains включил в ядре маскарад ,привинтил
  ppp (к провайдеру) соединился и скормил ipchains кучу правил.

  Сказал ipchains-save >x . Результат привожу ниже

:input ACCEPT
:forward DENY
:output ACCEPT
:acctboth -

-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
-A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
-A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
-A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
-A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
-A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
-A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
-A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
-A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
-A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
-A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
-A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0  

то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер
дает

Теперь вопрос : как должно выглядеть цепочка подсчета трафика ,
если нужно считать трафик для машин на интерфейсе 192.168.0.1

Ежели можно с подробными пояснениями .


ЗЫ Маны и руководства читал . Правда мало что понял

-- 
Best regards, roman                mailto:roman_tutov@mail.ru

Re: [mdk-re] Ликбез

[cornet]

roman_tutov@mail.ru wrote:
> 
> Hello mandrake-russian,
> 
>   Объясните пожалуйста барану (мне) основы настройки маскарада
> 
>   У меня имеется скрипт в котором описаны правила ipchains
>   нужно собрать на другой машине систему и привинтить те же правила
>   +подсчет трафика.
> 
>   Скрипты что у меня есть были написаны не ручками (и не мной)
>   а сгенерированы какой-то программой . (Вроде pmfirewall но я не
>   уверен )
> 
>   Скачал/установил ipchains включил в ядре маскарад ,привинтил
>   ppp (к провайдеру) соединился и скормил ipchains кучу правил.

Содержимое файла 
/etc/sysconfig/network
в студию :-)
В до кучи выводы
ifconfig
и 
route
 
>   Сказал ipchains-save >x . Результат привожу ниже
> 
> :input ACCEPT
> :forward DENY
> :output ACCEPT
> :acctboth -
> 
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0
> 
> то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер
> дает

Так оно маскарадится или нет?

> Теперь вопрос : как должно выглядеть цепочка подсчета трафика ,
> если нужно считать трафик для машин на интерфейсе 192.168.0.1

Каждая цепочка считает трафик сама всегда. Для просмотра
статистики цепочек
ipchains -L -v

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

[mdk-re] Re: [mdk-re] Ликбез

[Чужой]

>   Объясните пожалуйста барану (мне) основы настройки маскарада
>
>   У меня имеется скрипт в котором описаны правила ipchains
>   нужно собрать на другой машине систему и привинтить те же правила
>   +подсчет трафика.
>
>   Скрипты что у меня есть были написаны не ручками (и не мной)
>   а сгенерированы какой-то программой . (Вроде pmfirewall но я не
>   уверен )
>
>   Скачал/установил ipchains включил в ядре маскарад ,привинтил
>   ppp (к провайдеру) соединился и скормил ipchains кучу правил.
>
>   Сказал ipchains-save >x . Результат привожу ниже
>
> :input ACCEPT
> :forward DENY

    Зачем сюда DENY воткнуто? когда в цепочках input и output должно
фильтроваться лишнее!

> :output ACCEPT
> :acctboth -
>
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
ACCEPT
> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT

    Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них
трафик считать?

> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08

    По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО
ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d
0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что
используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно
там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80.

> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0

    А цепочка acctboth что дает? Так и не понял - ACCEPT или DENY?

[mdk-re] Re[2]: [mdk-re] Ликбез

[roman_tutov]

Hello cornet,

Wednesday, February 27, 2002, 3:25:58 PM, you wrote:

>>   Объясните пожалуйста барану (мне) основы настройки маскарада
>> 
>>   У меня имеется скрипт в котором описаны правила ipchains
>>   нужно собрать на другой машине систему и привинтить те же правила
>>   +подсчет трафика.
>> 
>>   Скрипты что у меня есть были написаны не ручками (и не мной)
>>   а сгенерированы какой-то программой . (Вроде pmfirewall но я не
>>   уверен )
>> 
>>   Скачал/установил ipchains включил в ядре маскарад ,привинтил
>>   ppp (к провайдеру) соединился и скормил ipchains кучу правил.

c> Содержимое файла 
c> /etc/sysconfig/network
c> в студию :-)

NETWORKING=yes
FORWARD_IPV4=yes
HOSTNAME=localhost.localdomain
DOMAINNAME=localdomain
GATEWAYDEV=ppp0

c> В до кучи выводы
c> ifconfig
Не обнаружен

c> и 
c> route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
c6.rmts.aaanet. *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         c6.rmts.aaanet. 0.0.0.0         UG    0      0        0 ppp0


>>   Сказал ipchains-save >x . Результат привожу ниже
>> 
>> :input ACCEPT
>> :forward DENY
>> :output ACCEPT
>> :acctboth -
>> 
>> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
>> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0
>> 
>> то , что 80.80.111.и_так_далее это адрес ,что динамически провайдер
>> дает

c> Так оно маскарадится или нет?

>> Теперь вопрос : как должно выглядеть цепочка подсчета трафика ,
>> если нужно считать трафик для машин на интерфейсе 192.168.0.1

c> Каждая цепочка считает трафик сама всегда. Для просмотра
c> статистики цепочек
c> ipchains -L -v

-- 
Best regards,
 roman                            mailto:roman_tutov@mail.ru

[mdk-re] Re: [mdk-re] Re: [mdk-re] Ликбез

[roman_tutov]

Hello Чужой,

Wednesday, February 27, 2002, 6:05:32 PM, you wrote:

>> :output ACCEPT
>> :acctboth -
>>
>> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
Ч> ACCEPT
>> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT

Ч>     Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них
Ч> трафик считать?

Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только
предполагать для чего это было сделано(не мной). И публикую я всё это
в надежде , что кто-нибудь мне объяснит что же это такое и как
работает .


>> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08

Ч>     По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО
Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d
Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что
Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно
Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80.
Я так понял . что это хоть и некрасиво написано , зато вполне
работоспособно ?

-- 
Best regards,
 roman                            mailto:roman_tutov@mail.ru

Re: [mdk-re] Ликбез

["Баталов Григорий"]

On Thu, 28 Feb 2002 10:32:36 +0300
roman_tutov@mail.ru wrote:

> c> В до кучи выводы
> c> ifconfig
> Не обнаружен

  От рута ifconfig запускали?

-- 
 Баталов Григорий,
 системный администратор
 АО "Ковдорский ГОК"

[mdk-re] Re: [mdk-re]

[Dmitry Lebkov]

Посмотри на http://www.opennet.ru/docs/HOWTO-RU/Ipchains.koi8-r.html

Там все достаточно хорошо расписано. Особенно полезен пример в самом конце этого
документа. Так же - man ipchains в самом конце описывает как построить цепочки
для подсчета трафика.


On Thu, 28 Feb 2002 10:49:18 +0300
roman_tutov@mail.ru wrote:

> Hello Чужой,
> 
> Wednesday, February 27, 2002, 6:05:32 PM, you wrote:
> 
> >> :output ACCEPT
> >> :acctboth -
> >>
> >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
> Ч> ACCEPT
> >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> 
> Ч>     Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через них
> Ч> трафик считать?
> 
> Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только
> предполагать для чего это было сделано(не мной). И публикую я всё это
> в надежде , что кто-нибудь мне объяснит что же это такое и как
> работает .
> 
> 
> >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
> 
> Ч>     По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО
> Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d
> Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии что
> Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат? Ладно
> Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80.

2Чужой: это не изврат а установка битов TOS (Type Of Service). Посмотри на это как
        на установку "минмальной задержки" для КОНКРЕТНОГО СЕРВИСА (в вышеприведенном
        примере - для HTTP, SMTP, SSH, FTP, POP3, Telnet) а не для диапазона портов.

> Я так понял . что это хоть и некрасиво написано , зато вполне
> работоспособно ?
> 

WBR, Dmitry Lebkov

[mdk-re] Re[2]: [mdk-re] Ликбез

[roman_tutov]

Hello cornet,

Wednesday, February 27, 2002, 3:25:58 PM, you wrote:

>>
>>   Объясните пожалуйста барану (мне) основы настройки маскарада
>> 
>>   У меня имеется скрипт в котором описаны правила ipchains
>>   нужно собрать на другой машине систему и привинтить те же правила
>>   +подсчет трафика.
>> 
>>   Скрипты что у меня есть были написаны не ручками (и не мной)
>>   а сгенерированы какой-то программой . (Вроде pmfirewall но я не
>>   уверен )
>> 
>>   Скачал/установил ipchains включил в ядре маскарад ,привинтил
>>   ppp (к провайдеру) соединился и скормил ipchains кучу правил.

c> Содержимое файла 
c> /etc/sysconfig/network
c> в студию :-)
c> В до кучи выводы
c> ifconfig
c> и 
c> route
 
>>   Сказал ipchains-save >x . Результат привожу ниже
>> 
>> :input ACCEPT
>> :forward DENY
>> :output ACCEPT
>> :acctboth -
>> 
>> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
>> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
>> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
>> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 80.80.111.230/255.255.255.255 -d 0.0.0.0/0.0.0.0
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 80.80.111.230/255.255.255.255
>> -A acctboth -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0
>> 
Добавление : Выборка из перлового скрипка Bandmin'a где он создает
цепочки


system("/sbin/ipchains","-D","input","-j","acctboth");
               
system("/sbin/ipchains","-D","output","-j","acctboth");
                system("/sbin/ipchains","-N","acctboth");
                system("/sbin/ipchains","-F","acctboth");
               
system("/sbin/ipchains","-I","input","-j","acctboth");
               
system("/sbin/ipchains","-I","output","-j","acctboth");
               
system("/sbin/ipchains","-A","acctboth","-s",$ip,"-b","-p","all");
               
system("/sbin/ipchains","-A","acctboth","-s","0.0.0.0/0","-d","0.0.0.0/0");


-- 
Best regards,
 roman                            mailto:roman_tutov@mail.ru

[mdk-re] Ликбе

[cornet]

roman_tutov@mail.ru wrote:
> 
> Hello cornet,
> 
> Wednesday, February 27, 2002, 3:25:58 PM, you wrote:
> 
> >>   Объясните пожалуйста барану (мне) основы настройки маскарада
> >>
> >>   У меня имеется скрипт в котором описаны правила ipchains
> >>   нужно собрать на другой машине систему и привинтить те же правила
> >>   +подсчет трафика.
> >>
> >>   Скрипты что у меня есть были написаны не ручками (и не мной)
> >>   а сгенерированы какой-то программой . (Вроде pmfirewall но я не
> >>   уверен )
> >>
> >>   Скачал/установил ipchains включил в ядре маскарад ,привинтил
> >>   ppp (к провайдеру) соединился и скормил ipchains кучу правил.
> 
> c> Содержимое файла
> c> /etc/sysconfig/network
> c> в студию :-)
> 
> NETWORKING=yes
> FORWARD_IPV4=yes
> HOSTNAME=localhost.localdomain
> DOMAINNAME=localdomain
> GATEWAYDEV=ppp0

Нормально. 

> c> В до кучи выводы
> c> ifconfig
> Не обнаружен

От root'а его надо, или
/sbin/ifconfig 

> c> и
> c> route
> 
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
> c6.rmts.aaanet. *               255.255.255.255 UH    0      0        0 ppp0
> 192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
> 127.0.0.0       *               255.0.0.0       U     0      0        0 lo
> default         c6.rmts.aaanet. 0.0.0.0         UG    0      0        0 ppp0

Вполне.

Попробуйте выполнить такой скрипт:
<BEGIN>
#!/bin/sh

modprobe ipchains

IPCHAINS=/sbin/ipchains

Any="0.0.0.0/0"

$IPCHAINS -P input ACCEPT
$IPCHAINS -P forward ACCEPT
$IPCHAINS -P output ACCEPT

$IPCHAINS -F
$IPCHAINS -X

# input rules

# forward rules
$IPCHAINS -A forward -s 192.168.0.0/24 -d $Any -j MASQ

# output rules
<EOF>

Это _простейший_ маскарад, который тупо маскарадит все из
внутренней подсети наружу.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

[mdk-re] Re: [mdk-re] Ликбе

[roman_tutov]

Hello cornet,

Thursday, February 28, 2002, 1:52:04 PM, you wrote:


c> Попробуйте выполнить такой скрипт:
c> <BEGIN>
c> #!/bin/sh

c> modprobe ipchains

c> IPCHAINS=/sbin/ipchains

c> Any="0.0.0.0/0"

c> $IPCHAINS -P input ACCEPT
c> $IPCHAINS -P forward ACCEPT
c> $IPCHAINS -P output ACCEPT

c> $IPCHAINS -F
c> $IPCHAINS -X

c> # input rules

c> # forward rules
c> $IPCHAINS -A forward -s 192.168.0.0/24 -d $Any -j MASQ

c> # output rules
c> <EOF>

c> Это _простейший_ маскарад, который тупо маскарадит все из
c> внутренней подсети наружу.

Сейчас попробую. А что это даст ? Маскарад запускается .Качество его
исполнения - это отдельный вопрос . Непонятно как добавить цепочку
подсчета трафика для внутреннего интерфейса и что такое "acctboth"
которое в правилах мелькает .

ЗЫ . Я документацией обложился ...Скоро вумный буду ...просто жуть :)
-- 
Best regards,
 roman                            mailto:roman_tutov@mail.ru

Re: [mdk-re] Re: [mdk-re] Ликбе

[cornet]

roman_tutov@mail.ru wrote:
skip.

> c> Это _простейший_ маскарад, который тупо маскарадит все из
> c> внутренней подсети наружу.
> 
> Сейчас попробую. А что это даст ?

Простейшую проверку что маскарад работает и вопрос только в
конфигурации.

> Маскарад запускается .Качество его
> исполнения - это отдельный вопрос . Непонятно как добавить цепочку
> подсчета трафика для внутреннего интерфейса

Он ВСЕГДА подсчитывается, сам, без всякого вмешательства :-)

Просто скажите
ipchains -L -v
и получите статистику по всем цепочкам.

Попробуйте прогу
gfcc
это гуевая конфигурилка для ipchains, очень удобна для начала.
Там и примеры есть...


-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru

[mdk-re] Re[2]: [mdk-re] Re: [mdk-re] Ликбе

[roman_tutov]

Hello cornet,

Thursday, February 28, 2002, 3:37:00 PM, you wrote:


>> c> Это _простейший_ маскарад, который тупо маскарадит все из
>> c> внутренней подсети наружу.
>> 
>> Сейчас попробую. А что это даст ?

c> Простейшую проверку что маскарад работает и вопрос только в
c> конфигурации.

>> Маскарад запускается .Качество его
>> исполнения - это отдельный вопрос . Непонятно как добавить цепочку
>> подсчета трафика для внутреннего интерфейса

c> Он ВСЕГДА подсчитывается, сам, без всякого вмешательства :-)

c> Просто скажите
c> ipchains -L -v
c> и получите статистику по всем цепочкам.

c> Попробуйте прогу
c> gfcc
c> это гуевая конфигурилка для ipchains, очень удобна для начала.
c> Там и примеры есть...
Премного благодарен . Я на некоторое время выпадаю из флейма
Дабы "увидеть берег" в этом море инфориации ..

-- 
Best regards, roman                   mailto:roman_tutov@mail.ru

[mdk-re] Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] Ликб

[Чужой]

> >> :output ACCEPT
> >> :acctboth -
> >>
> >> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> >> -A input -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> >> -A forward -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
> Ч> ACCEPT
> >> -A forward -s 80.80.107.179/255.255.255.255 -d 0.0.0.0/0.0.0.0 -j
ACCEPT
>
> Ч>     Че-то вот эти 2 верхние строчки ИМХО лишние! Или вы хотите через
них
> Ч> трафик считать?
>
> Я сам не добавлял сюда ни одной цепочки . и в общем-то могу только
> предполагать для чего это было сделано(не мной). И публикую я всё это
> в надежде , что кто-нибудь мне объяснит что же это такое и как
> работает .
>
>
> >> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j acctboth
> >> -A output -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 23:23 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -t 01 10
> >> -A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -t 01 08
>
> Ч>     По верхним 7 строчкам могу сказать одно - БОЖЕ - КТО ЭТО ПИСАЛ? КТО
> Ч> ПИСАЛ ПРОГУ АВТОМАТИЧЕСКИ ГЕНЕРЯЩУЮ ТАКОЕ??? Я вот о чем: стоит -d
> Ч> 0.0.0.0/0.0.0.0 20:20, означает, что получатель кто угодно, при условии
что
> Ч> используется дипазон портов от 20 и до 20!!! Это зачем такой изврат?
Ладно
> Ч> там понимаю такой вариант: -d 0.0.0.0/0.0.0.0 20:80.
> Я так понял . что это хоть и некрасиво написано , зато вполне
> работоспособно ?

    Ну в принципе - будет работать! ИМХО уберите из цепочки forward общее
правило DENY - оно просто не нужно! То есть чтобы было:
:forward ACCEPT