| Author |
Message |
|
|
Post subject: Neregistrovane IP Debian
 Posted: 09.06.2011 - 11:08 #91730
|
|
Basic
Joined: Dec 08, 2006
Posts: 401
|
|
Caute.
Ako sa da vyriesiet problem s IP ktore nie su registoravane? Dajme tomu ze ich mam v databaze... Rozmyslal som o generatore prikazov ktore potom spustim.. Aleds sa v iptables spravit adress list? Lebo momentalne ma napadlo len spustit pre kazdeho uzivatle takyto priaz... iptables -t nat -I PREROUTING --src !10.100.1.1/24 --dst 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080
Ak sa nemylim ak pre kazdeho uzivatela spustim tento prikaz vsetkych okrem neho presmeruje na dany port...
Dik |
|
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 09.06.2011 - 13:12 #91734
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
| Skus stranku Linux.die.net tam pohladaj modul iprange. Tento modul sa vklada cez -m (modul). |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 09.06.2011 - 13:30 #91735
|
|
Basic
Joined: Dec 08, 2006
Posts: 401
|
|
| asi sa moc nechapeme je potrebujem namiesto IP vlozit adreslist .. nie Ip od 10.100.1.1 - 10.100.1.10... Proste s mysql-ka sa mi bude v intervaloch vytvarat adres list ktori bude ulozeny v nieakom *.list a Po restarte fw sa aplikuju pravidla... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 09.06.2011 - 22:23 #91742
|
|
Majster
Joined: Jan 08, 2006
Posts: 2584
|
|
| tak toto asi jedine naskriptovat, neviem zeby iptables mali nieco podobne |
|
|
| |
|
|
|
|
|
|
|
Post subject: Neregistrovane IP Debian
Posted: 09.06.2011 - 23:28 #91744
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
marsl wrote: ›Caute.
Ako sa da vyriesiet problem s IP ktore nie su registoravane? Dajme tomu ze ich mam v databaze... Rozmyslal som o generatore prikazov ktore potom spustim.. Aleds sa v iptables spravit adress list? Lebo momentalne ma napadlo len spustit pre kazdeho uzivatle takyto priaz... iptables -t nat -I PREROUTING --src !10.100.1.1/24 --dst 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8080
Ak sa nemylim ak pre kazdeho uzivatela spustim tento prikaz vsetkych okrem neho presmeruje na dany port...
Dik
Môžeš nám povedať načo ten redirect ?
Je to vnútorná sieť alebo niečo za NAT ?
Tvoje pravidlo hovorí, že vlož pravidlo do reťaze PREROUTING v tabuľke NAT na pozíciu číslo x, paket prichádzajúci zo siete inej ako 10.100.1.1/24 s cielom localhost s protokolom TCP s cielovým portom 80 presmeruj na port 8080.
Pri pravidlách je nutné dávať pozor na to koľkými pravidlami musí iptables prejsť kým vykoná danú akciu.
Ak máš napríklad 200 IP obsadených je lepšie použiť iprange a máš vybavených 200 IP jedným pravidlom a ostatné dáš nech presmeruje na daný port.
Ak nechceš použiť spominaný modul tak definuj pravidlo pre menší počet IP.
Pokiaľ sa správne pamätám tak prepinač -I znači vlož na určitú pozíciu pravidlo. Prepinač -A vkladá pravidlo nakoniec reťaze. |
|
|
| |
|
|
|
|
|
|
|
Post subject: Neregistrovane IP Debian
Posted: 10.06.2011 - 09:44 #91750
|
|
Basic
Joined: Apr 14, 2004
Posts: 92
|
|
Quote: › Pokiaľ sa správne pamätám tak prepinač -I znači vlož na určitú pozíciu pravidlo. Prepinač -A vkladá pravidlo nakoniec reťaze.
tak si pre istotu osviez pamat a zistis, ze samotne -I vklada na zaciatok chainu |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 10.06.2011 - 14:13 #91754
|
|
Basic
Joined: Dec 08, 2006
Posts: 401
|
|
| No moc ste ma nepotesili... Ako riesite vy neregistrovane IP? Ak si predstavim ze musim doplnit gateway o dlasich cca 400 pravidiel.. tak to sa mi nezda ako dobre riesenie... |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 10.06.2011 - 14:26 #91755
|
|
Basic
Joined: Dec 08, 2006
Posts: 401
|
|
Nasiel som nieco taketo pre Mikrotik. Ak mam na linuxe nastavene margovanie packetov a ako posledne pravidlo nastavim nieco taketo bude to fungovat? Vsetky packety ktore nebudu omargovane skor omarguje posledne pravidlo a potom cez dst-nat to len presmerujem?
Pre mikrotik som nasiel toto:
Code: ›
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
nonreg-all-conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=nonreg-all-conn \
disabled=yes new-packet-mark=nonreg-all passthrough=yes
add action=accept chain=prerouting disabled=yes packet-mark=nonreg-all
add action=dst-nat chain=dstnat
disabled=yes dst-port=80 in-interface="LAN" packet-mark=nonreg-all \
protocol=tcp to-addresses=server to-ports=82
Kedze v iptable sa moc nevyznam vie mi to niekto prepisat do podoby pre iptable?
Budem podvacny...  |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Neregistrovane IP Debian
Posted: 11.06.2011 - 10:59 #91770
|
|
Basic
Joined: Máj 15, 2003
Posts: 161
|
|
marsl wrote: ›Nasiel som nieco taketo pre Mikrotik. Ak mam na linuxe nastavene margovanie packetov a ako posledne pravidlo nastavim nieco taketo bude to fungovat? Vsetky packety ktore nebudu omargovane skor omarguje posledne pravidlo a potom cez dst-nat to len presmerujem?
Pre mikrotik som nasiel toto:
Code: ›
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
nonreg-all-conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=nonreg-all-conn \
disabled=yes new-packet-mark=nonreg-all passthrough=yes
add action=accept chain=prerouting disabled=yes packet-mark=nonreg-all
add action=dst-nat chain=dstnat
disabled=yes dst-port=80 in-interface="LAN" packet-mark=nonreg-all \
protocol=tcp to-addresses=server to-ports=82
Kedze v iptable sa moc nevyznam vie mi to niekto prepisat do podoby pre iptable?
Budem podvacny...
v podstate ked nic nezadas do iptables, tak dostanes to co je v mikrotiku - vsetky pravidla su disabled=yes, cize nefunkcne.. naviac si urezal table - predpokladam markovanie v mangle a nat v nat. Za predpokladu, ze disabled=no, LAN=eth1, nonreg-all=50 a nonreg-all-conn=40 malo by platit toto:
Code: ›
iptables -t mangle -I PREROUTING -m connmark --mark=40 -j CONNMARK --set-mark 50
iptables -t mangle -I PREROUTING -m connmark --mark=40 -j MARK --set-mark 50
iptables -t mangle -I PREROUTING -m connmark --mark=50 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 80 -m mark --mark=50 -j DNAT --to server:82
pravdupovediac vyznam celkom nechapem ale to sa bezne stava aj v ludskej reci, ked sa cosi vytrhne z kontextu a robi sa doslovny preklad. |
|
|
| |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits |
