Отправляет email-рассылки с помощью сервиса Sendsay

Linux: разрешение вопросов, перспективы и общение

Подписаться Бесплатный дискуссионный лист Подписчиков 997
  Октябрь 2004  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт листа: http://www.linuxrsp.ru
Открыт: 25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес модератора: comp.soft.linux.discuss-owner@subscribe.ru

Модератор
Фёдор Сорекс

Статистика

997 подписчиков
0 за неделю

routing vs masquerading

i386-redhat-linux-gnu)

при разговоре с root-ом моего провайдера он (root) потребовал, чтобы я не использовал
routing, а использовал masquerading в их сети (конфигурация ниже), сославшись
на то, что:
1. это некошерно.
2. это создает проблемы ему и их сети.

я в таких вещах не силен, подскажите, он прав, или просто не выспался :)

их сетка - 10.18.14.0/24
в их сети два моих компа (в разных концах города):
1) 10.18.14.10 # leaf bering uclibc
2) 10.18.14.20 # linux xp aka fedora core 1
к машине 1) подключена моя локальная сетка 10.10.1.0/24, к которой мне нужен
доступ с машины 2)

думаю, проще привести таблицы routing-а

машина 1)
$ ip r
213.138.111.192 dev ppp0 proto kernel scope link src 10.18.15.89
10.10.1.0/24 dev eth1 proto kernel scope link src 10.10.1.254
10.18.14.0/24 dev eth0 proto kernel scope link src 10.18.14.10
default via 213.138.111.192 dev ppp0

машина 2)
$ ip r
213.138.111.192 dev ppp0 proto kernel scope link src 10.18.15.39
#10.10.1.0/24 via 10.18.14.10 dev eth0 # вот это ему не нравится
#10.18.14.0/24 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 213.138.111.192 dev ppp0

с уважением, александр баракин

p.s. а еще он обвинил меня в sniffing-е за использование команды
# nmap -n -sP 10.18.14.*
с помощью нее мне часто удается "пробиться" от 1) к 2) или наоборот, от 2) к
1) (смотря, где я нахожусь в этот момент), когда простой ping молчит мертво (да-да,
есть в их сети такая фича :).
но тут моих знаний хватило - он просто "гонит" :)))

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12688; Возраст листа: 455; Участников: 1274
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/249615



-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
alexander barakin
Sat, 23 Oct 2004 17:58:20 +0300 (#249615)

 

Ответы:

i386-redhat-linux-gnu)

ответа нет. видимо, вопрос плохо сформулирован.
попробую по-другому.
есть провайдер со своей локальной сетью (сеть А).
есть два моих компьютера в этой сети (условно обзову их 1 и 2).
есть МОЯ локальная сеть, подключенная к компьютеру 1 (сеть Б).
компьютеры из сети Б выходят в сеть А через nat.
тут у провайдера вопросов (кажется) нет.

какие есть сетевые решения (говорите, что в голову пришло) для того, чтобы мой
компьютер 2 мог видеть мою сеть Б?

сейчас у меня это настроено простой командой
$ ip route add <Б> via <1>
провайдеру это не нравится - говорит, в его сети А не должно ходить пакетов,
адресованных в другие сети.

с уважением и в ожидании, александр баракин.

p.s. для гуру проблема, наверно, выеденного яйца не стоит, но я пока не гуру
:))

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12786; Возраст листа: 459; Участников: 1281
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/251720



-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
alexander barakin
Wed, 27 Oct 2004 13:19:20 +0300 (#251720)

 

мой

ИМХО...

a) маскарадинг тут не спасет - необходим портмаппинг...
б) забодяжить VPN...

Ответить  
Kolotov Alexandr
Wed, 27 Oct 2004 15:15:49 +0400 (#251754)

 

On Wed, Oct 27, 2004 at 13:19 +0300, alexander barakin wrote:

мой

Используйте gif (или gre или iptunnel -- так кажется оно в линукс
называется) туннель мужду этими машинами...

Вот что я сделал только-что:

хост A:
% sudo ifconfig gif0 create
% sudo ifconfig gif0 inet 10.0.0.1 netmask 255.255.255.0
% sudo ifconfig gif0 up
% sudo ifconfig gif0
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> mtu 1280
inet 10.0.0.1 --> 0.0.0.0 netmask 0xffffff00
inet6 fe80::2e0:4cff:fe00:a391%gif0 -> prefixlen 64 scopeid 0x6

хост Б:
% sudo ifconfig gif0 create
% sudo ifconfig gif0 inet 10.0.0.2 netmask 255.255.255.0
% sudo ifconfig gif0 up
% sudo ifconfig gif0
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> mtu 1280
inet 10.0.0.2 --> 0.0.0.0 netmask 0xffffff00
inet6 fe80::2c0:dfff:fefa:23f0%gif0 -> prefixlen 64 scopeid 0x7

Теперь пинганем (с хоста A):
% ping -c 1 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=0.769 ms
10.0.0.2 ping statistics 1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.769/0.769/0.769/0.000 ms

Ну и то же самое с хоста Б.

Это все конечно на OpenBSD, но я думаю в Линуксе по аналогии тоже
делается...

man ip (раздел про ip tunnel)... Это, к сожалению все, что я могу
сказать по этому поводу... Но если будут еще мысли, отпишу...

Ответить  
Mike Belopuhov
Thu, 28 Oct 2004 02:55:17 +0400 (#252161)

 

i386-redhat-linux-gnu)

On Thu, 28 Oct 2004 02:55:17 +0400
Mike Belopuhov <mkb-mall@l*****.ru> wrote:

почти так и называется, и чем глубже заковыриваюсь, тем больше вижу, что это
именно то, что мне нужно.

проблема (в моем случае) осложняется тем, что router-ом для моей сетки стоит
leaf bering uclibc. настроен и хорошо вписывается в убогие параметры машины (486
+ 16М памяти). команды ifconfig и даже route :) нету. вместо них - пакет iproute2.
а у него несколько иная терминология. примеров настройки туннеля в инете достаточно,
но как-то все с помощью то ifconfig+route, то в перемешку с ними. так, чтоб только
командой "ip" с параметрами я, увы, не нашел.
а мой собственный перевод в термины iproute, видимо, неадекватен :(
туннели-то я создаю, но вот пакеты по ним не ходят :(((
чего-то я, кажись, недопонимаю.

с уважением, александр баракин.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12811; Возраст листа: 460; Участников: 1281
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/252685



-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
alexander barakin
Thu, 28 Oct 2004 18:42:05 +0300 (#252685)

 

On Thu, Oct 28, 2004 at 18:42 +0300, alexander barakin wrote:

Ищите доку (PDF) с таким названием:

Linux Advanced Routing & Traffic Control HOWTO

это на lartc.org. Там и описывается весь iproute2.

Еще в ip(8) в разделе SEE ALSO указана дока ip-cref.ps, я ее не
видел, но думаю что тот PDF поновее и включает ее...

Я еще не встречал человека, которому man ip показался бы адекватным,
потому что всю эту хрень писали двое русских (Alexey Kuznetsov
собственно iproute2 и Michail Litvak man к нему) и некоторые вещи
кажутся (в том числе и самим разработчикам =) ... как бы это лучше
сказать... Вот, например, такая фраза:

14.2. Clark-Shenker-Zhang algorithm (CSZ)

This is so theoretical that not even Alexey (the main CBQ author)
claims to understand it.

Тащат в систему сами не зная что... А пользователи потом голову
себе ломают...

Ответить  
Mike Belopuhov
Fri, 29 Oct 2004 01:25:15 +0400 (#252950)

 

i386-redhat-linux-gnu)

On Fri, 29 Oct 2004 01:25:15 +0400
Mike Belopuhov <mkb-mall@l*****.ru> wrote:

спасибо, обязательно поищу и почитаю для общего развития.

есть такой документ, входит в пакет iproute2. опции вызова ip там описаны :(

да, я тоже заметил странности.
например, прилагается там же и документ ip-tunnels.ps. вроде бы описывается создание
и конфигурирование туннелей. но почему-то не коммандой ip, а командой ifconfig!
:))

нашел грабли. проблемы были с конфигурацией shorewall. всякие там зоны и т.п.,
выставленные наугад, естественно, не катили.

а сам туннель-то создается и запускается элементарно:

$ ip tunl a <tunnel-name> mode ipip ttl 32 remote \
<host_2-ip> local <host_1-ip>
$ ip a a 10.0.0.1 peer 10.0.0.2 dev <tunnel-name>
$ ip l s <tunnel-name> up

на второй машине то же самое, только ip-шники меняются местами.
ну и для доступа к своей сетке (соединенной с хост_1) я добавляю на хост_2 правило
рутинга:
$ ip r a <local-net-with-mask> via 10.0.0.1

может, кому пригодятся мои ценные наблюдения :)

с уважением, александр баракин.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12841; Возраст листа: 461; Участников: 1276
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/253402



-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Ответить  
alexander barakin
Fri, 29 Oct 2004 12:23:03 +0300 (#253402)

 

On Thu, Oct 28, 2004 at 02:55 +0400, Mike Belopuhov wrote:

И неправильно сделал... только сегодня заметил (:

Во первых видно, что туннеля нету (-: потом не понятно к каким реальным
IP идет привязка... Заморочил только Вам голову... Исправляюсь ;-)

Вот так правильно:

hostA% sudo ifconfig gif0 create
hostA% sudo ifconfig gif0 10.0.0.1 10.0.0.2 netmask 255.255.255.255 up
hostA% sudo ifconfig gif0 tunnel 192.168.1.72 192.168.1.71
hostA% sudo ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
physical address inet 192.168.1.72 --> 192.168.1.71
inet6 fe80::2e0:4cff:fe00:a391%gif0 -> prefixlen 64 scopeid 0xa
inet 10.0.0.1 --> 10.0.0.2 netmask 0xffffffff

Вот теперь видно, что физически это 192.168.1.72 и 192.168.1.71,
а туннель создается между 10.0.0.1 и 10.0.0.2.

На хосте Б делается та же операция с обратными адресами. Вот теперь все!
Testing...

hostA% ping -c 1 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=0.969 ms
10.0.0.2 ping statistics 1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.969/0.969/0.969/0.000 ms

hostB% sudo tcpdump -tttvvvi gif0
Oct 28 23:54:53.044728 10.0.0.2 > 10.0.0.1: icmp: echo reply
(id:9850 seq:0) (ttl 255, id 54117)

OK. Я за одно проверил SSH, FTP и правила PF на gif интерфейсе ;)
Вроде все работает...

Вот даже я попался..... Однако, тот не ошибается, кто ничего
не делает....

Ответить  
Mike Belopuhov
Fri, 29 Oct 2004 01:24:47 +0400 (#252949)