SKFREE

Troubleshooting - Neregistrovane IP Debian
marsl - 09.06.2011 - 11:08
Post subject: Neregistrovane IP Debian
Caute.
Ako sa da vyriesiet problem s IP ktore nie su registoravane? Dajme tomu ze ich mam v databaze... Rozmyslal som o generatore prikazov ktore potom spustim.. Aleds sa v iptables spravit adress list? Lebo momentalne ma napadlo len spustit pre kazdeho uzivatle takyto priaz... iptables -t nat -I PREROUTING --src !10.100.1.1/24 --dst 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080

Ak sa nemylim ak pre kazdeho uzivatela spustim tento prikaz vsetkych okrem neho presmeruje na dany port...
Dik
ewew - 09.06.2011 - 13:12
Post subject:
Skus stranku Linux.die.net tam pohladaj modul iprange. Tento modul sa vklada cez -m (modul).
marsl - 09.06.2011 - 13:30
Post subject:
asi sa moc nechapeme je potrebujem namiesto IP vlozit adreslist .. nie Ip od 10.100.1.1 - 10.100.1.10... Proste s mysql-ka sa mi bude v intervaloch vytvarat adres list ktori bude ulozeny v nieakom *.list a Po restarte fw sa aplikuju pravidla...
JOFO - 09.06.2011 - 22:23
Post subject:
tak toto asi jedine naskriptovat, neviem zeby iptables mali nieco podobne
ewew - 09.06.2011 - 23:28
Post subject: Neregistrovane IP Debian
marsl wrote: ›Caute.
Ako sa da vyriesiet problem s IP ktore nie su registoravane? Dajme tomu ze ich mam v databaze... Rozmyslal som o generatore prikazov ktore potom spustim.. Aleds sa v iptables spravit adress list? Lebo momentalne ma napadlo len spustit pre kazdeho uzivatle takyto priaz... iptables -t nat -I PREROUTING --src !10.100.1.1/24 --dst 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080

Ak sa nemylim ak pre kazdeho uzivatela spustim tento prikaz vsetkych okrem neho presmeruje na dany port...
Dik


Môžeš nám povedať načo ten redirect ?
Je to vnútorná sieť alebo niečo za NAT ?

Tvoje pravidlo hovorí, že vlož pravidlo do reťaze PREROUTING v tabuľke NAT na pozíciu číslo x, paket prichádzajúci zo siete inej ako 10.100.1.1/24 s cielom localhost s protokolom TCP s cielovým portom 80 presmeruj na port 8080.

Pri pravidlách je nutné dávať pozor na to koľkými pravidlami musí iptables prejsť kým vykoná danú akciu.
Ak máš napríklad 200 IP obsadených je lepšie použiť iprange a máš vybavených 200 IP jedným pravidlom a ostatné dáš nech presmeruje na daný port.
Ak nechceš použiť spominaný modul tak definuj pravidlo pre menší počet IP.

Pokiaľ sa správne pamätám tak prepinač -I znači vlož na určitú pozíciu pravidlo. Prepinač -A vkladá pravidlo nakoniec reťaze.
shock - 10.06.2011 - 09:44
Post subject: Neregistrovane IP Debian
Quote: › Pokiaľ sa správne pamätám tak prepinač -I znači vlož na určitú pozíciu pravidlo. Prepinač -A vkladá pravidlo nakoniec reťaze.


tak si pre istotu osviez pamat a zistis, ze samotne -I vklada na zaciatok chainu
marsl - 10.06.2011 - 14:13
Post subject:
No moc ste ma nepotesili... Ako riesite vy neregistrovane IP? Ak si predstavim ze musim doplnit gateway o dlasich cca 400 pravidiel.. tak to sa mi nezda ako dobre riesenie...
marsl - 10.06.2011 - 14:26
Post subject:
Nasiel som nieco taketo pre Mikrotik. Ak mam na linuxe nastavene margovanie packetov a ako posledne pravidlo nastavim nieco taketo bude to fungovat? Vsetky packety ktore nebudu omargovane skor omarguje posledne pravidlo a potom cez dst-nat to len presmerujem?

Pre mikrotik som nasiel toto:

Code: ›
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
    nonreg-all-conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=nonreg-all-conn \
    disabled=yes new-packet-mark=nonreg-all passthrough=yes

add action=accept chain=prerouting disabled=yes packet-mark=nonreg-all
add action=dst-nat chain=dstnat
    disabled=yes dst-port=80 in-interface="LAN" packet-mark=nonreg-all \
    protocol=tcp to-addresses=server to-ports=82


Kedze v iptable sa moc nevyznam vie mi to niekto prepisat do podoby pre iptable?
Budem podvacny... Wink
lukic - 11.06.2011 - 10:59
Post subject:
marsl wrote: ›Nasiel som nieco taketo pre Mikrotik. Ak mam na linuxe nastavene margovanie packetov a ako posledne pravidlo nastavim nieco taketo bude to fungovat? Vsetky packety ktore nebudu omargovane skor omarguje posledne pravidlo a potom cez dst-nat to len presmerujem?

Pre mikrotik som nasiel toto:

Code: ›
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
    nonreg-all-conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=nonreg-all-conn \
    disabled=yes new-packet-mark=nonreg-all passthrough=yes

add action=accept chain=prerouting disabled=yes packet-mark=nonreg-all
add action=dst-nat chain=dstnat
    disabled=yes dst-port=80 in-interface="LAN" packet-mark=nonreg-all \
    protocol=tcp to-addresses=server to-ports=82


Kedze v iptable sa moc nevyznam vie mi to niekto prepisat do podoby pre iptable?
Budem podvacny... Wink


v podstate ked nic nezadas do iptables, tak dostanes to co je v mikrotiku - vsetky pravidla su disabled=yes, cize nefunkcne.. naviac si urezal table - predpokladam markovanie v mangle a nat v nat. Za predpokladu, ze disabled=no, LAN=eth1, nonreg-all=50 a nonreg-all-conn=40 malo by platit toto:
Code: ›
iptables -t mangle -I PREROUTING -m connmark --mark=40 -j CONNMARK --set-mark 50

iptables -t mangle -I PREROUTING -m connmark --mark=40 -j MARK --set-mark 50

iptables -t mangle -I PREROUTING -m connmark --mark=50 -j ACCEPT

iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 80 -m mark --mark=50 -j DNAT --to server:82

pravdupovediac vyznam celkom nechapem ale to sa bezne stava aj v ludskej reci, ked sa cosi vytrhne z kontextu a robi sa doslovny preklad.
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits