uz jsem blizko NATD
Dan Lukes
dan at obluda.cz
Wed Nov 27 05:24:32 CET 2002
Pentium wrote, On 11/26/02 03:00:
> > standardni /etc/rc.firewall, ale /etc/rc.ipfw,
> To zustalo standartin to bylo jen kvuli experimentu podle jedne prirucky
> to byla pouze kopiie ale uz jsem to vratil Provedl jsem tam jednu
> modifikaci misto lo0 jsem zadal ppp0 jen zkusebne
>
> Takze ipfw -a list
> server# ipfw -a list
> 00100 12 1289 allow ip from any to any via ppp0 <- to jsem zmenil
> misto lo0
> 00200 3 212 deny ip from any to 127.0.0.0/8
> 00300 0 0 deny ip from 127.0.0.0/8 to any
> 65000 47 4812 allow ip from any to any
> 65535 0 0 deny ip from any to any <-- podle tohoto soudim ze ok
To je, kazdopadne, zmena pro preklad smrtelna. Jednak v tomto listingu
zcela chybi radku vztahujici se k prekladu - a to, jak uz tady nekdo
jiny poukazal, naznacuje, ze je neco spatneho zasadne, protoze ty by tam
pri konfiguraci tak jak popisujete, ze ji mate, byt musely. Druhak, i
kdyby tam byly, tak by se, zvhledem k vasi zmene, nepouzily, takze by to
stejne nefungovalo.
> Podle vseho pakety prosly pres ipfw
Ano, a to vetsina kvuli pravidlu [100] nikoli [65000] jak by bylo bezne
u nemodifikovane "Open" konfigurace.
> **********************************************************
> > Tohle sice problem primo souvisejici s prekladem, nicmene, problem to
> > je, tak proc se o nem nezminit - nemate v poradku DNS
> To bohuzel jeste neumim spustit on se me porad ptal na nejakou domenu
> tak jsem si nejakou vycucal z prstu :] Nebo tam mam dat domenu localhost
Aha - to jste byl vy, kdo si zacal - pokud si dobre pamatuju, v nekterem
z minulych prispevku jste rikal neco o tom, ze jste si udelal domenu,
coz jsem evidentne nespravne pochopil jako informaci o tom, ze jste
vyrobil domenu a tedy vam jeji konfigurace nedela problemu vaznych a jde
o jen drobnou chybu v konfiguraci.
Dobra - at neresime prilis mnoho veci najednou, tohle vam zatim
nevyrabi zadny zasadni problem a navrhuji se k tomu vratit az bude
fungovat ten preklad.
> ? Tu by nemel hledat Muzu to vsude zmenit to neni problem.
> ***********************************************************
> adresu vam rekne 'ifconfig -a', aktualni 'default route" vam rekne
> ppp0: flags=8051 mtu 1500
> inet 212.90.224.215 --> 195.146.122.66 netmask 0xffffff00
...
> netstat -rn
...
> default 195.146.122.66 UGSc 2 7 ppp0
Vase aktualni IP adresa tedy byla 212.90.224.215 a default route byla
195.146.122.66
> PRi tom jsem objevil toto v logu Kppp pripojeni
> Ted jsem neco objevil !!!!
> Nov 26 01:58:33 server pppd[289]: pppd 2.3.5 started by root, uid 0
> Nov 26 01:58:33 server pppd[289]: Connect: ppp0 <--> /dev/cuaa0
> Nov 26 01:58:36 server pppd[289]: local IP address 212.90.224.215
> Nov 26 01:58:36 server pppd[289]: remote IP address 195.146.122.66
> Podle toho by se mne menila IP pri pripojeni a to by mohl byt problem
No samozrejme - pokud nemate s WorldOnLine dohodnuto, ze budete
dostavat stale stejnou adresu, pak pri kazdem pripojeni dostavate jinou.
A jina je (muze byt) pri kazdem pripojeni i default gateway.
Nicmene, to vam na onom FreeBSD nevadi, protoze patricnou konfiguraci
routingu i IP adresy zajisti pppd a nevadi vam to ani na stanicich v one
vnitrni siti, protoze jejich default gateway a IP adresa jsou nezavisle
na vnejsi adrese onoho routeru.
> Zkusil jsem dat jako vychozi branu 195.146.122.66 ale ta take nesla
> pingnout
> z win9x takze v tom to neni z linuxu lze toto cislo pingnout
> tcpdump: listening on ppp0
> 02:34:17.386925 195.146.122.66 > 212.90.224.215: icmp: echo reply
> 02:34:18.282694 212.90.224.215 > 195.146.122.66: icmp: echo request
> Obavam se jestli mi nemeni to pripojeni adresu servru ale ping z win9x
> na 192.168.1.1 je stale funkcni takze nevim
To je patrne nedorozumeni - server ma vice adres, pricemz jedna z nich,
ta vnejsi, se meni s kazdym pripojenim, kdezto ta vnitrni, 192.168.1.1
(ktera je navic default gatewayi pro Windowsy) se nemeni.
Pokud muzete z Windows pingnout onu konstatni vnitrni adresu, ale
nemuzete totez uspesne udelat pro adresu vnejsi (ve vasem prikladu
212.90.224.215, nicmene je nutne pouzit adresu platnou v danem okamziku
- a melo by v te chvili byt mozna take vytoceno) pak to je pomerne
podstatna informace - zejmena pokud v te chvili byla aktivni
"vsepropoustejici" konfigurace firewallu, jakou jste nam posilal. Pak by
totiz nejspis nebyl stroj nakonfigurovan jako gateway.
Pokud ale plati, ze z vnitrniho Linuxu "ven" pingnout muzete, ale z
WIndows nikoliv, pak neni nic spatneho s konfiguraci routeru - spatna je
konfigurace tech Windows (nejspis default gateway neni 192.168.1.1).
> *********************************************************
> pakety odchazely, a to se zdrojovou adresou neprelozenou
> neprelozenou - pak je chybne nakonfigurovan NAT (vcetne
> > > > souvisejici konfigurace firewallu)
> Podle toho co jste videl nahore je asi firewall ok takze ted k natu ten
> je take zapnuty a podle predeslych rad ho neni treba nijak konfigurovat
> ,ale ja jsem si hral:
> Hratky s NATD
> server# natd -redirect_address 192.168.1.99 195.146.122.66
> natd: aliasing address not given
> zkousel jsem i primo toto ale napsalo to tuto chybu
(Zminena chybova hlaska souvisi s tim, ze jste NATu nerekl an jakem
interface nebo na jake IP adrese ma vlastne prekladat)
Navrhuji - nejprve si s NATD prilis nehrat a nechat ho spusteny v te
konfiguraci, v jake ho system na zaklade natd_enable="YES" a
natd_interface=... v rc.conf spusti sam. Firewall rozhodne v poradku
nebyl a krome jiz zminene modifikace radku [100] v nem chybela prave
cela sekce modifikaci pro NAT. Jejich nepritomnost si ale, pokud opravdu
mate konfiguraci takovou, jakou rikate, nedovedu vysvetlit. Pomoci nam
muze vystup "sh -x /etc/rc.firewall" (nebo toho scriptu, ktery aktualne
pouzivate - a doporucuji v teto chvili pouzivat ten originalni, pricemz
origilanim skutecne myslim ten originalni z instalace, nikoli ten, ve
kterem jste nahradil lo0 ppp0 jak ukazoval nize pripojeny opis toho
souboru nebo provedl jakekoliv jine modifikace).
> Vypis rc.conf jako zaver dopisu dal uz nic neni jen
> rc.firewall
...
> add 100 pass all from any to any via ppp0
A tahle pasaz take vypada dost podezrele:
> [Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
> case in
> [Yy][Ee][Ss])
> if [ -n "" ]; then
> add 50 divert natd all from any to any via
Nicmene, budu predpokladat, ze k poskozeni doslo pri vkladani do mailu.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list