uz jsem blizko NATD

Dan Lukes dan at obluda.cz
Wed Nov 27 05:24:32 CET 2002


Pentium wrote, On 11/26/02 03:00:

> > standardni /etc/rc.firewall, ale /etc/rc.ipfw,
> To zustalo standartin to bylo jen kvuli experimentu podle jedne prirucky
> to byla pouze kopiie ale uz jsem to vratil Provedl jsem tam jednu
> modifikaci misto lo0 jsem zadal ppp0 jen zkusebne
>
> Takze ipfw -a list
> server# ipfw -a list
> 00100 12 1289 allow ip from any to any via ppp0 <- to jsem zmenil
> misto lo0
> 00200  3  212 deny ip from any to 127.0.0.0/8
> 00300  0    0 deny ip from 127.0.0.0/8 to any
> 65000 47 4812 allow ip from any to any
> 65535  0    0 deny ip from any to any <-- podle tohoto soudim ze ok


	To je, kazdopadne, zmena pro preklad smrtelna. Jednak v tomto listingu 
zcela chybi radku vztahujici se k prekladu - a to, jak uz tady nekdo 
jiny poukazal, naznacuje, ze je neco spatneho zasadne, protoze ty by tam 
pri konfiguraci tak jak popisujete, ze ji mate, byt musely. Druhak, i 
kdyby tam byly, tak by se, zvhledem k vasi zmene, nepouzily, takze by to 
stejne nefungovalo.

> Podle vseho pakety prosly pres ipfw


	Ano, a to vetsina kvuli pravidlu [100] nikoli [65000] jak by bylo bezne 
u nemodifikovane "Open" konfigurace.

> **********************************************************
> > Tohle sice problem primo souvisejici s prekladem, nicmene, problem to
> > je, tak proc se o nem nezminit - nemate v poradku DNS
> To bohuzel jeste neumim spustit on se me porad ptal na nejakou domenu
> tak jsem si nejakou vycucal z prstu :] Nebo tam mam dat domenu localhost


Aha - to jste byl vy, kdo si zacal - pokud si dobre pamatuju, v nekterem 
z minulych prispevku jste rikal neco o tom, ze jste si udelal domenu, 
coz jsem evidentne nespravne pochopil jako informaci o tom, ze jste 
vyrobil domenu a tedy vam jeji konfigurace nedela problemu vaznych a jde 
o jen drobnou chybu v konfiguraci.

	Dobra - at neresime prilis mnoho veci najednou, tohle vam zatim 
nevyrabi zadny zasadni problem a navrhuji se k tomu vratit az bude 
fungovat ten preklad.

> ? Tu by nemel hledat Muzu to vsude zmenit to neni problem.
> ***********************************************************
> adresu vam rekne 'ifconfig -a', aktualni 'default route" vam rekne
> ppp0: flags=8051 mtu 1500
>         inet 212.90.224.215 --> 195.146.122.66 netmask 0xffffff00

...

> netstat -rn

...

> default            195.146.122.66     UGSc        2        7   ppp0


	Vase aktualni IP adresa tedy byla 212.90.224.215 a default route byla 
195.146.122.66

> PRi tom jsem objevil toto v logu Kppp pripojeni
> Ted jsem neco objevil !!!!
> Nov 26 01:58:33 server pppd[289]: pppd 2.3.5 started by root, uid 0
> Nov 26 01:58:33 server pppd[289]: Connect: ppp0 <--> /dev/cuaa0
> Nov 26 01:58:36 server pppd[289]: local  IP address 212.90.224.215
> Nov 26 01:58:36 server pppd[289]: remote IP address 195.146.122.66
> Podle toho by se mne menila IP pri pripojeni a to by mohl byt problem

	No samozrejme - pokud nemate s WorldOnLine dohodnuto, ze budete 
dostavat stale stejnou adresu, pak pri kazdem pripojeni dostavate jinou. 
A jina je (muze byt) pri kazdem pripojeni i default gateway.

	Nicmene, to vam na onom FreeBSD nevadi, protoze patricnou konfiguraci 
routingu i IP adresy zajisti pppd a nevadi vam to ani na stanicich v one 
vnitrni siti, protoze jejich default gateway a IP adresa jsou nezavisle 
na vnejsi adrese onoho routeru.

> Zkusil jsem dat jako vychozi branu 195.146.122.66 ale ta take nesla
> pingnout
> z win9x takze v tom to neni z linuxu lze toto cislo pingnout
> tcpdump: listening on ppp0
> 02:34:17.386925 195.146.122.66 > 212.90.224.215: icmp: echo reply
> 02:34:18.282694 212.90.224.215 > 195.146.122.66: icmp: echo request
> Obavam se jestli mi nemeni to pripojeni adresu servru ale ping z win9x
> na 192.168.1.1 je stale funkcni takze nevim

	To je patrne nedorozumeni - server ma vice adres, pricemz jedna z nich, 
ta vnejsi, se meni s kazdym pripojenim, kdezto ta vnitrni, 192.168.1.1 
(ktera je navic default gatewayi pro Windowsy) se nemeni.

	Pokud muzete z Windows pingnout onu konstatni vnitrni adresu, ale 
nemuzete totez uspesne udelat pro adresu vnejsi (ve vasem prikladu 
212.90.224.215, nicmene je nutne pouzit adresu platnou v danem okamziku 
- a melo by v te chvili byt mozna take vytoceno) pak to je pomerne 
podstatna informace - zejmena pokud v te chvili byla aktivni 
"vsepropoustejici" konfigurace firewallu, jakou jste nam posilal. Pak by 
totiz nejspis nebyl stroj nakonfigurovan jako gateway.

	Pokud ale plati, ze z vnitrniho Linuxu "ven" pingnout muzete, ale z 
WIndows nikoliv, pak neni nic spatneho s konfiguraci routeru - spatna je 
konfigurace tech Windows (nejspis default gateway neni 192.168.1.1).


> *********************************************************
> pakety odchazely, a to se zdrojovou adresou neprelozenou
> neprelozenou - pak je chybne nakonfigurovan NAT (vcetne
> > > > souvisejici konfigurace firewallu)
> Podle toho co jste videl nahore je asi firewall ok takze ted k natu ten
> je take zapnuty a podle predeslych rad ho neni treba nijak konfigurovat
> ,ale ja jsem si hral:
> Hratky s NATD
> server# natd -redirect_address 192.168.1.99 195.146.122.66
> natd: aliasing address not given
>  zkousel jsem i primo toto ale napsalo to tuto chybu


(Zminena chybova hlaska souvisi s tim, ze jste NATu nerekl an jakem 
interface nebo na jake IP adrese ma vlastne prekladat)

	Navrhuji - nejprve si s NATD prilis nehrat a nechat ho spusteny v te 
konfiguraci, v jake ho system na zaklade natd_enable="YES" a 
natd_interface=... v rc.conf spusti sam. Firewall rozhodne v poradku 
nebyl a krome jiz zminene modifikace radku [100] v nem chybela prave 
cela sekce modifikaci pro NAT. Jejich nepritomnost si ale, pokud opravdu 
mate konfiguraci takovou, jakou rikate, nedovedu vysvetlit. Pomoci nam 
muze vystup "sh -x /etc/rc.firewall" (nebo toho scriptu, ktery aktualne 
pouzivate - a doporucuji v teto chvili pouzivat ten originalni, pricemz 
origilanim skutecne myslim ten originalni z instalace, nikoli ten, ve 
kterem jste nahradil lo0 ppp0 jak ukazoval nize pripojeny opis toho 
souboru nebo provedl jakekoliv jine modifikace).


> Vypis rc.conf jako zaver dopisu dal uz nic neni jen
> rc.firewall

...

>   add 100 pass all from any to any via ppp0

A tahle pasaz take vypada dost podezrele:

> [Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
>  case  in
>  [Yy][Ee][Ss])
>   if [ -n "" ]; then
>     add 50 divert natd all from any to any via


Nicmene, budu predpokladat, ze k poskozeni doslo pri vkladani do mailu.

			Dan


-- 
Dan Lukes     tel: +420 2 21914205, fax: +420 2 21914206
root of  FIONet, KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz




More information about the Users-l mailing list