Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Работа с сетью / Iptables routing same interface (125913 hits)
- By G0thic Date 13.09.07 08:23
Просидел вчера 2 часа! вспоминая iptables. :-) Так и не разобрался.
Нужен гугловский джабер. На работе на проксе открыт 443 порт. Пока не просекли успел пару раз пользоваться. Потом видимо заблэклистили talk.google.com. Задача - использовать домашний компьтер, подключеный к интернет по pppoe (обыкновенный дсл) для редиректа подключений.
Одна из идей - перебрасывать входящие подключения на 443 порт на 5223 к гуглу. Проблема в том, что редирект идет на одном и том же интерфейсе, пакеты не маршрутизируются и в -t nat не попадают, умирая где-то на входе. Это пока предварительный диагноз, т.к. пробовал трассировать подключаясь локально. Чуствую что нужно через iproute2 решать проблему маршрутизации. Погуглю ещё, может разбирусь.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By LOE (Site/forum admin) Date 13.09.07 09:32
На работе указываем сервером домашний комп
на Домашнем:
в -t nat в прероутинг заносим правило смены destination IP
в форварде разрешаем форвард
в -t nat в построутинге меняем source IP на домашний

ну плюс смена портов где надо
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By G0thic Date 13.09.07 12:27
да в общем так и думал. только когда дома тестировал локально - не получилось.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By LOE (Site/forum admin) Date 13.09.07 18:00
Локально на этой же домашней машине экспериментировать трудно.
Хотя есть вариант: поставить в виртуальной машине (да хоть в vmware) еще одну систему и "ходить" из нее.
Тогда будет чистый эксперимент.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By G0thic Date 14.09.07 03:40
Кстати да! Точно. надо будет попробовать.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By G0thic Date 18.09.07 18:25
Ну в общем все банально. Хоть интерфейс и один, а все равно надо
echo 1 > /proc/sys/net/ipv4/ip_forward
делать.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By LOE (Site/forum admin) Date 18.09.07 19:20
Хм...
Вообще-то, это подразумевалось.
Но, разумеется, не лишним будет напомнить всем читателям топика ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By G0thic Date 19.09.07 13:03
Ну как подразумевалось.. Я всегда считал что ip_forward включает форвард между самими интерфейсами. По крайней мере так отложилось. А тут-то интерфейс один..
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By G0thic Date 19.09.07 13:00
Пришел на работу, проверил - нет, не пашет. Осталась одна зацепка. Виртуальные машины и хост в одной подсети, поэтому работало.
Или оно принципиально не может работать. :-(
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By LOE (Site/forum admin) Date 19.09.07 18:54
Что говорят tcpdump'ы и счетчики в iptables? ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By G0thic Date 25.09.07 13:54
Я пока на это дело забил. Много инфы собирать надо, чтобы разобраться. Пока запускаю iso 6-го слакса в vmplayer-e. А оттуда на локальные иксы psi и все что нужно. USB bluetooth под виндой не работает, а под линуксом - отлично. Отсюда и gprs c инетом :-)
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By Bercut Date 26.09.07 05:55 Edited 26.09.07 06:35
слуш я мож чето не вкурил по сабжу,
тока вот сижу и думаю,
а че ......., почему не сделаеш впн на основе тогоже опенвпна там можно ходить по tcp / udp по заданому порту какой открыт
подключаешся к домашней сети из одного компа ака сервер_впн и из этой сети ходиш в инет куда нравится
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 26.09.07 14:43
может быть. если он поддерживает коннект на 443 порт через проксю.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By Bercut Date 27.09.07 06:07
не ты уж определись че открыто прокси (??? хттп сокс или ???) на 443 порту
или 433 порт открыт в форварде
???????
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 27.09.07 08:57
Ты читать умеешь или только писать с ошибками?
"на проксе открыт 443 порт." гугл забанен.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By Bercut Date 27.09.07 09:52 Edited 27.09.07 09:58
так, комуто надо завязывать с переработками (не мне, я и так ни че не делаю)
объясни более подробно что означают буквы "на проксе открыт 443 порт."
тк прокся суть сервис он-же демон он-же процесс то на нем не может быть портов, савсем
а по сему предыдущий мой пост имеет еще большую актуальность, используй больше слов для понятности
вопрос открыт

ps давно мы с тобой не пили. а то бы как раньше, начнем с синхронизации словарей,
а там уж и все мировые проблемы решим одним махом
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 28.09.07 09:11
Если напрямую открыт 443 порт, коннектишься на него на свою машину. А на ней в -t nat -A PREROUTING меняешь 443 на впн-овский порт.
Я вообще не понимаю проблем. Линукс предоставляет все, чтобы через себя провесить что хочешь ;-)
Если открыт хоть один порт, через него можно просочиться.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By G0thic Date 01.10.07 12:04
Не напрямую (не нат), а через проксю (метод connect на 443 порт, как обычно). Дома прероутинг на нужный порт сделать не проблема. Будет ли так работать опен впн - не знаю. Тем более не хочется тяжелый софт ставить. Хочется всетаки попроще, как описал сделать. Только вот не получилось сходу.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By LOE (Site/forum admin) Date 01.10.07 12:07
Хм. Это сложнее.
Надо гуглить на данную тему. Наверняка решение придумано.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By LOE (Site/forum admin) Date 01.10.07 12:12
Минутный поиск выдал: http://www.opennet.ru/base/net/ssh_over_ssl.txt.html - Использование SSH поверх прокси (через SSL CONNECT в squid)
Так что, было б желание, а решение найдется ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 01.10.07 12:21
ну ты попробуй расскажеш потом
а то задачка интересная вообще то
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 01.10.07 12:35
Я попробуй? Мне это [пока] не нужно.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 02.10.07 06:49
ну да чейто я
хорошо быть админом веся малыя и белыя и всякия
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 03.10.07 06:14
ничего не понял
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By Bercut Date 03.10.07 06:51
и прально
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent By G0thic Date 01.10.07 14:53
Да, покопался. Есть варианты. О результатах сообщу дополнительно.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By G0thic Date 01.10.07 13:27
как вариант, хотя имплементайшн для этого далеко не минутный, особенно для юникс-отличных систем.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By Bercut Date 01.10.07 12:19
так работать опен впн не будет

тут надо разный хацкерский софт
который инкапсулирует  ип пакеты в нттр
и пуляет на сервак а от туда уже по инету рассылает

помню встречал таких проектов правда для винды
такто тут нет смысла приводить
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 01.10.07 14:51
Кстати, по ссылке, которую любезно предоставил LOE, нашел в обсуждениях вариант с работой putty через http proxy и метод connect. А это значит, что редиректы портов можно организовать средствами ssh. Завтра попробую. Putty входит в репозиторий софта, разрешенного для использования в конторе. А это полдела и всяко лучше чем клиент openvpn.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By G0thic Date 04.10.07 07:17
Ну да, все получилось. Сходу. Осталось только одна проблема, стрим постоянно меняет айпишнег у дсл линии. Поэтому чтобы подключаться к домашней машине нужно его знать. Пока нашел временное решение - скидывать новый айпишнег смс-кой на мобильник при его смене.
cat /etc/ppp/ip-up.d/sendip
#!/bin/bash
ip add show ppp0|grep inet|cut -d\  -f 6|mailx -s ip мойномер@sms.beemail.ru

Но по идее нужно пользовать днс. При смене ип, писать его в зону. Наверное это нужно делать через acl баинда по ключам. Аха?
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By Bercut Date 04.10.07 08:15 Edited 04.10.07 08:17
да
твою бы энергию да в мирное русло

а ломануть стрим не пробовал
или уламать aka социальная инженерия

а не плохо придумано
сижу типа админю чето в путьке а сам звезьдю по жаберу
вот рабовладельцы охренеют в своем злобсве
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 04.10.07 11:43
в общем так и есть. в консольке все и происходить важное. ;-) или через x-forward :-)
а рабовладельцы пусть охреневают, главное чтобы всю подсетку стрима не забанили..
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - By Bercut Date 04.10.07 12:35
а за что их так банят не по деццки
чё они там злобных хацкеров развели
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By G0thic Date 04.10.07 13:15
К теме не относиться. Но отвечу. Слишком много продвинутых становиться. Все правила и защиты идут лесом. Баны по хосту уже не спасают. Мне вот надо с рапиды скачать - качаю.. айпишнег сменил и дальше качаю.. И все их ограничения коту под хвост.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By Bercut Date 05.10.07 07:31
анархия мать порядка
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By cutter Date 05.10.07 06:03
Открой для себя какой нибудь dynamic dns, например, http://www.dyndns.com
Parent - By G0thic Date 09.10.07 14:00
Ага, спасибо. Слышал конечно, но не смотрел за ненадобностью. Думаю самое то. Осталось только найти, где это можно пристроить.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent By G0thic Date 09.01.08 19:31
вот кстати, случайно наткнулся. zoneedit.com
может кому полезно будет.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Previous Next Up Topic Администрирование / Работа с сетью / Iptables routing same interface (125913 hits)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.082s with 11 database queries.