Сети
Доброе время суток.
Ни как не могу решить проблемку с заворотом трафика.
Необходимо из сети А (172.х.х.х) проходящих через сервак Б (217.9.147.х) весь
трафик по 25 110 портам завернуть на сервак В (81.18.х.х).
Подписаться
Бесплатный дискуссионный лист
Подписчиков 97
| ← Апрель 2004 → | ||||||
|
3
|
4
|
|||||
|---|---|---|---|---|---|---|
|
5
|
6
|
9
|
10
|
11
|
||
|
14
|
17
|
18
|
||||
|
19
|
20
|
23
|
24
|
25
|
||
|
26
|
27
|
30
|
||||
За последние 60 дней ни разу не выходила
Сайт листа:
http://kirov.lug.ru
Открыт:
15-09-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.kirovlug-list@subscribe.ru
Модератор
Статистика
97 подписчиков
0 за неделю
0 за неделю
Ответы:
Hello Alex,
Monday, April 12, 2004, 4:57:08 PM, you wrote:
весь
звиняюсь обшибся REDIRECT только порты подменяет
а по поводу заворота,по подробней можно,
сколько интерфейсов на машине 217.9.147.х как она связана с
81.18.х.х?
В сообщении от Понедельник 12 Апрель 2004 17:11 Alex написал(a):
217.9.147.х это ВТ
81.18.х.х insys
Так что связаны инетом
172.х.х.х это сеть на основе ВТ без выхода в инет, но с доступом только к
217.9.147.9.х
В сообщении от Понедельник 12 Апрель 2004 16:57 Alex написал(a):
Насколько я помню REDIRECT только по портам работает
Iptables Tutorial 1.1.19
Автор: Oskar Andreasson
5.9. Действие REDIRECT
Выполняет перенаправление пакетов и потоков на другой порт той же самой
машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на
порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного"
проксирования (transparent proxying), когда машины в локальной сети даже не
подозревают о существовании прокси.
REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы
nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и
вышеуказанных. Для действия REDIRECT предусмотрен только один ключ.
Таблица 6-20. Действие REDIRECT
Ключ --to-ports
Пример iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports
8080
Описание Ключ --to-ports определяет порт или диапазон портов назначения. Без
указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на
тот порт, куда и был назначен. В примере, приведенном выше, --to-ports 8080
указан один порт назначения. Если нужно указать диапазон портов, то мы должны
написать нечто подобное --to-ports 8080-8090. Этот ключ можно использовать
только в правилах, где критерий содержит явное указание на протокол TCP или
UDP с помощью ключа --protocol.
В сообщении от Понедельник 12 Апрель 2004 16:57 Alex написал(a):
Я уже писал, что данное решение не правильное, но оно меня подталкнула на одну
мысль.
В общем у меня все получилось.
Что мы имеем (тест)
2 локальных сети с адресами
А - 192.168.0.0
В - 192.168.1.0
Почтовый сервер в сети В с адресом 192.168.1.1
Почтового клиента в сети А с адресом 192.168.0.55
Шлюз с 2 сетевыми картами с ip 192.168.0.2 и 192.168.1.2
Соответственно прописан маршрут
На шлюзе eth0 192.168.1.0 255.255.255.0
И на почтовом серваке eth1 192.168.0.0 255.255.255.0
Проверяем правильность настройки маршрутов (ping проходит нормально между
сетями).
на почтовом клиенте для начала настраиваем что почтовым сервером будет
192.168.1.1 письма нормально проходят.
Затем на шлюзе (192.168.0.2) прописываем правило фаервола)
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 -p tcp -m multiport
--destination-port 22,53,110,143 -j DNAT --to-destination 192.168.1.1
Затем на почтовом клиенте меняем 192.168.1.1 на 192.168.0.2
почта свободно уходит и приходит.
Спасибо всем.
А если обычный SNAT?
C уважением, Kolotov Alexandr aka mr. Эбола
отвечать: akmypo***@m*****.ru
ICQ: 100349254
| Registered Linux user # 236664 |
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.kirovlug-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.kirovlug--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
У меня сделано так:
192.168.1.x
|
[192.168.1.1 -> 10.0.0.2]
|
[10.0.0.1 -> 192.168.2.254]
|
192.168.2.x
IP в квадратных скобках - одна машина. Вообщем, на всех машинах
192.168.1.x стоит gateway на 192.168.1.1, на котором включен
ip_forward и банальный маскарад, а также маршрут по умолчанию на
10.0.0.1. На последнем в свою очередь также ip_forward "on" и DNAT.
Немного мудрено, но для меня такая конфигурация подходит...
C уважением, Kolotov Alexandr aka mr. Эбола
отвечать: akmypo***@m*****.ru
ICQ: 100349254
| Registered Linux user # 236664 |
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.linux.kirovlug-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.kirovlug--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
Hello ALL,
Установка ACL на файловую систему ext2/ext3
Вступление :)
Возникла идея перевести файловый сервер под linux/
Стандартная система разграничения прав в linux для ext3 не устраивала в виду
своей
ограниченности. В результате было принято решение перейти на систему с поддержкой
ACL.
Может быть кому-нибудь мой опыт будет интересен, потому опишу.
Имелась система АСП Урал 9 на ядре 2.4.20-9asp.
Почитав литературу выбрал 2 возможных пути:
1) установка ядра 2.6.х со встроенной поддержкой;
2) установка патчей на существующую систему.
В первом случае применительно к ACL все просто, при компиляции ядра выбирается
поддержка для
нужной файловой системы, собирается ядро и все работает. Но столкнулся с непредвиденной
проблемой, а именно - загрузка модулей. Как не издевался над системой - не смог
добиться
автоматической загрузки (руками все грузилось)...Ничего не хочу плохого говорить
об Урале, скорее
всего мои кривые руки :(
Второй вариант.
Необходимо было найти патч для моего ядра 2.4.20. На http://acl.bestbits.at такого
не обнаружил
(были более новые). Связавшись с владельцем сайта (Andreas Gruenbacher agru***@s*****.de)
выяснил,
что он их уже сложил в http://acl.bestbits.at/old/ и порекомендовал пользоваться
новыми ядрами
:)
Из большого перечня остановился на linux-2.4.20-xattr+acl+trusted-0.8.55.diff.gz.
fileutils- для acl имелись в стандартной поставке УРАЛ, если их нет, можно выкачать
от туда же.
Размер 242кб, размер патча 54кб.
Попытался наложить патч на ядро. Процесс прошел с ошибками. Выкачал еще с десяток
различных
патчей, различных версий, результат тот же.
Наложение патча на чистое ядро 2.4.20 (не сборки АСП) прошло успешно (причем
любого).
Предположение - ядро АСП уже пропатчено несовместимыми патчами. Для укрепления
в своих
предположениях написал в тех. поддержку АСП. Получил ответ
"К сожалению, в штатном ядре ASPLinux нет поддержки ACL для ext3. Вы можете либо
установить
файловую систему XFS, в которой такая поддержка есть, либо попробовать собрать
ядро с патчами
отсюда:http://acl.bestbits.at/"
На мои возражения о несовместимости патчей ответили "Попробуйте все-таки воспользоваться
файловой системой xfs для радела, на котором лежат данные
samba-файл-сервера. Поддержка ACL для ext2/ext3 появиться только вместе с ядром
2.6 в следующих
версиях дистрибутива."
Итог - было поставлено чистое ядро 2.4.20. На него установлен патч
linux-2.4.20-xattr+acl+trusted-0.8.55.diff.gz. После его установки (патча) в
пункте file system
выбора опций ядра появились опции Posix ACL и support acl для ext3 и ext2.
После сборки ядра и запуска системы, стала доступна опция acl при монтировании
файловой системы
(mount -t ext3 -o acl /dev/hd...............). И стали работать setacl и getacl (без опции
только в
тестовом режиме, при попытке реально записать на диск operation is not support).
Следующий шаг - установка самбы.
Самбу поставил второй версии из стандартной поставки. (тройку пока решено было
не ставить). В
самбе обнаружил опцию "наследования acl", на что влияет не понял, если кто пояснит
буду
благодарен. Впечатления от связки самба 2+acl. Подтвердилось предположение о
том, что они не
связаны :). Все обрабатывается на уровне файловой системы. Т.е. добавить расширенные
права я
могу только консольной командой setacl. При создании папки пользователем (допустим
из виндовс)
создаются со стандартными правами (предположение - м.б. наследование acl влияет
на это???).
После "руками" администратор добавляет нужные права остальным пользователям или
запрещает. Имхо
тяжело поэтому имеет смысл делать только для папок целиком. Как в линуксе, так
и при копировании
из-под виндовс уже установленные права переносятся нормально и не теряются. При
попытке изменить
права на сетевом диске посредством стандартной процедуры виндовс (доступ/пользователи)
система
предложила подключиться к домену или ввести пароль администратора домена, т.к.
домен отсутствует
данный вариант не прошел. Т.о. другого способа изменить права кроме как консолью
в линукс не
нашел :(. (что не говорит о его отсутствии).
Вот такой опыт установки и эксплуатации(пока в тестировании).
Если кто ставил в связку самба3+acl прошу рассказать в чем отличия .
Hello Ivan,
Monday, April 12, 2004, 4:36:57 PM, you wrote:
iptables -t nat -A PREROUTING -p tcp -s 172.0.0.0/8 -d
217.9.147.0/24 --dport 25:110 -j REDIRECT 81.18.х.х
примерно так
только надо для этого патч patch-o-matic ставить
с поддержкой REDIRECT вроде бы