Файревол как средство маршрутизации. (Немогу понять в чём проблема !!!!)

[Djon$]

У меня компютерный клуб на 20 машин.
Выход в интернет через маршрутизатор Slackware 10.0
Соединение через ppp0 интерфейс, пытаюсь запустить одну игруху, может кто слышал LineAge2, ну спрос у игроков появился..
А вот сама суть проблемы:
Сама линейка работает через порты 7777 и 2106 об этом я на форуме прочитал, но когда стоит форвардинг открывать порты я так понял не обязательно. Заходит игруха на сервер без проблем, а вот потом после того как залогинишся начинается самое вкусное, неизвестно почему дальше заставки (ЗАКРУЗКА) идти не хочет, такое ощущени что пакеты кудато пропадают, писал об этом и на форуме ихнего сервера, но там я так понял НУБЫ, все руками розводят говорят мол клиент у тя голимый, а что самое интересно что играл я этим клиентом нормально без проблем только через мобильный интерет (GPRS), заходит, играет без проблем !!!
Смотрел iptraf-ом соединение ка-бы есть но потом пропадает.
Подскажите как решить эту проблему !!!!
можна даже по ICQ 197466089 очень надо !!!

[Tokra]

Скинь свой rc.firewall сюда

[Angel_13th]

iptables -A FORWARD -j LOG, а дальше читай логи.

[Djon$]

Скинь свой rc.firewall сюда

На лови !!!
Удалил - по ненадобности..

[Djon$]

iptables -A FORWARD -j LOG, а дальше читай логи.

Несколько раз пробовал НИЧЁ не пишет !!!

Я так понял что тут ответа на вопрос не найду, все тупо отморозились !!!
Ну да ладно.. будем искать ответы в другом месте .

[Warderer]

Куда именно не пишет? Где ищете записи? Именно эта запись у меня все нормально пишет в /var/log/syslog, куда сказано сваливать все сообщения, кроме отсеиваемых фильтрами.

[Djon$]

Куда именно не пишет? Где ищете записи? Именно эта запись у меня все нормально пишет в /var/log/syslog, куда сказано сваливать все сообщения, кроме отсеиваемых фильтрами.

Вот именно туда и ниче не пишется когда захожу в игрушку тоесть вообще нащёт форварда информации нету, как-будто ничё не форвардицца !!!

echo "Enable Forwarding.............."
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -j LOG

По сути должно писать всё что форвардицца !! А оно ничё не пишет !
Самое интересное что на сервак заходит, а когда выключаеш форвардинг не заходит - хотя нужные порты (2106 и 7777) прописаны и открыты.

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 7777 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 2106 -j allowed

Отдельно прописал, может ему нужно такой запрос - перестраховался.

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2106 -j ACCEPT

Смотрел iptraf-ом:
Поначалу идёт запрос на 2106 а потом устанавливается соединение на 7777 - но колличество пакетов просто мизерное, вырезал только то что надо:

Fri Feb 17 19:24:41 2006; ******** IP traffic monitor started ********
Fri Feb 17 19:24:56 2006; TCP; ppp0; 48 bytes; from ip37-227.zt.ukrtel.net:ivs-video to 83.222.2.102:ekshell (source MAC addr ); first packet (SYN)
Fri Feb 17 19:24:56 2006; UDP; ppp0; 71 bytes; from ip37-227.zt.ukrtel.net:32769 to ns.zt.ukrtel.net:domain

Fri Feb 17 19:24:56 2006; TCP; ppp0; 48 bytes; from 83.222.2.102:ekshell to ip37-227.zt.ukrtel.net:ivs-video (source MAC addr ); first packet (SYN)
Fri Feb 17 19:24:59 2006; TCP; ppp0; 40 bytes; from ip37-227.zt.ukrtel.net:ivs-video to 83.222.2.102:ekshell (source MAC addr ); FIN sent; 7 packets, 390 bytes, avg flow rate 0.00 kbits/s
Fri Feb 17 19:24:59 2006; TCP; ppp0; 48 bytes; from ip37-227.zt.ukrtel.net:2233 to 83.222.2.102:7777 (source MAC addr ); first packet (SYN)

Fri Feb 17 19:24:59 2006; TCP; ppp0; 40 bytes; from 83.222.2.102:ekshell to ip37-227.zt.ukrtel.net:ivs-video (source MAC addr ); FIN acknowleged
Fri Feb 17 19:24:59 2006; TCP; ppp0; 40 bytes; from 83.222.2.102:ekshell to ip37-227.zt.ukrtel.net:ivs-video (source MAC addr ); FIN sent; 7 packets, 409 bytes, avg flow rate 0.00 kbits/s
Fri Feb 17 19:24:59 2006; TCP; ppp0; 40 bytes; from ip37-227.zt.ukrtel.net:ivs-video to 83.222.2.102:ekshell (source MAC addr ); FIN acknowleged
Fri Feb 17 19:24:59 2006; TCP; ppp0; 48 bytes; from 83.222.2.102:7777 to ip37-227.zt.ukrtel.net:2233 (source MAC addr ); first packet (SYN)
Fri Feb 17 19:25:42 2006; ******** IP traffic monitor stopped ********

Вот такая вот чехарда.
Подскажите в чём может быть проблема, или нужно както по иному (специфически) файревол настраивать !!!

P.S.

Решил попробовать на простом диалапе под виндой !!
Создал соединение, расшарил:
играли с 3 машин на скорости соединения 24 кб/с - почти не лагало.
Напрашивается вопрос зачем этот линух ... хотя сам лично лину уважаю !!
Но это так мысли вслух

[testlogin]

надо пологать что протокол л2 работает подобно ftp те устанавалиется командное соеденени(те на логин серв) а затем сервер конектица к клиенту на целевой порт, а если клиент сидит за маршрутником то не какова соеденения не происходт...

[Djon$]

надо пологать что протокол л2 работает подобно ftp те устанавалиется командное соеденени(те на логин серв) а затем сервер конектица к клиенту на целевой порт, а если клиент сидит за маршрутником то не какова соеденения не происходт...

Ну и как этоу проблему можно решить ??
Если есть соображения на этот счёт то подскажи !!

[testlogin]

natd -p 8883 -n rl0 -redirect_port tcp 192.168.10.3:2106 2106
natd -p 8884 -n rl0 -redirect_port tcp 192.168.10.2:7777 7777


ipfw add 51 divert 8883 tcp from any to реал_ип dst-port 2106 in recv rl0
ipfw add 61 divert 8883 tcp from 192.168.10.3 2106 to any out xmit rl0
ipfw add 51 divert 8884 tcp from any to реал_ип dst-port 7777 in recv rl0
ipfw add 61 divert 8884 tcp from 192.168.10.2 7777 to any out xmit rl0

вот так это делаться во фряхе.. с ipfw и natd я не знаком.... так что портируй сам в iptables

[(asper]

natd -p 8883 -n rl0 -redirect_port tcp 192.168.10.3:2106 2106
natd -p 8884 -n rl0 -redirect_port tcp 192.168.10.2:7777 7777


ipfw add 51 divert 8883 tcp from any to реал_ип dst-port 2106 in recv rl0
ipfw add 61 divert 8883 tcp from 192.168.10.3 2106 to any out xmit rl0
ipfw add 51 divert 8884 tcp from any to реал_ип dst-port 7777 in recv rl0
ipfw add 61 divert 8884 tcp from 192.168.10.2 7777 to any out xmit rl0

вот так это делаться во фряхе.. с ipfw и natd я не знаком.... так что портируй сам в iptables

Я так понимаю это ответ и на мой вопрос про NAT и FTP
Я прошу прощения что влажу

если получилось то можно будет взглянуть на результат (т.е. правила для Iptables)

[Djon$]

natd -p 8883 -n rl0 -redirect_port tcp 192.168.10.3:2106 2106
natd -p 8884 -n rl0 -redirect_port tcp 192.168.10.2:7777 7777


ipfw add 51 divert 8883 tcp from any to реал_ип dst-port 2106 in recv rl0
ipfw add 61 divert 8883 tcp from 192.168.10.3 2106 to any out xmit rl0
ipfw add 51 divert 8884 tcp from any to реал_ип dst-port 7777 in recv rl0
ipfw add 61 divert 8884 tcp from 192.168.10.2 7777 to any out xmit rl0

вот так это делаться во фряхе.. с ipfw и natd я не знаком.... так что портируй сам в iptables

Оригинально !!
Ну чтож, будем пробовать. Результат выложу попозже.

Попробовал описать вот так:

iptables -t nat -A PREROUTING -p tcp -d $INEТ_IP --dport $UNPRIVPORTS -j DNAT --to-destination 192.168.1.1-192.168.1.10
UNPRIVPORTS=1024-65535
Иначе не получится, так-как запросы ко мне приходят не на эти порты (2106,7777), тоесть каждый раз по разному.
Пытался сделать отдельно для хоста:
iptables -t nat -A PREROUTING -p tcp -d $INEТ_IP --dport $UNPRIVPORTS -j DNAT --to-destination 192.168.1.1:1024-8000

- непроканало !!!

Во фряхе вообще не шарю !!! Помогите перекинуть правила в Линуху !!!!!

[Angel_13th]

Djon$ Это правила для FreeBSD. Тебе просто дали пример портов на которые стоит расшарить соединения.

[deisler]

iptables'ом форвардинг делать не надо, т.к. создаёт большую нагрузку на проц.
Форвардинг делать надо таким образом:
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf

А роутинг надо утилитой ip из пакета iproute2 разруливать не забыв подключить нужные опции в ядре.

[vidok]

а кстати откуда такая инфа про загрузку процессора iptablesом, напиши поподробнее, очень интересно, всегда думал что без разницы в принципе

[deisler]

На собственном опыте говорю, да и потом, при установке iptables в gentoo чётко и ясно пишут, что просят не использовать iptables для форвардинга, а использовать sysctl.

[Djon$]

На собственном опыте говорю, да и потом, при установке iptables в gentoo чётко и ясно пишут, что просят не использовать iptables для форвардинга, а использовать sysctl.

Подскажи на примере как это сделать!!!!
А вот часть статьи об маскараде:

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT.

Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.

Действие MASQUERADE допускается указывать только в цепочке POSTROUTING таблицы nat, так же как и действие SNAT. MASQUERADE имеет ключ, описываемый ниже, использование которого необязательно

На собственном опыте говорю, да и потом, при установке iptables в gentoo чётко и ясно пишут, что просят не использовать iptables для форвардинга, а использовать sysctl.

Самое интересное что на других клубах всё идет...

[deisler]

Подскажи на примере как это сделать!!!!

Форвардинг делать надо таким образом:
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf

Самое интересное что на других клубах всё идет...

Я не говорил что не будет работать, я говорил что будет нагрузка на проц, а при большом трафике очень большая.

[Djon$]

Подскажи на примере как это сделать!!!!

Форвардинг делать надо таким образом:
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf

Самое интересное что на других клубах всё идет...

Я не говорил что не будет работать, я говорил что будет нагрузка на проц, а при большом трафике очень большая.

В принципе я вьехал, ну и тгда сразу напишу пример того что надо зделать у меня:

ip route add 192.168.1/24 via 80.207.23.34 (80,207,23,34 - внешний айпишник)

Вот что у меня сейчас активно:

ip -s route


213.179.232.81 dev ppp0 proto kernel scope link src 80.207.23.34
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.33
127.0.0.0/8 dev lo scope link
default via 213.179.232.81 dev ppp0

Тоесть, когда я пропишу новый маршрут все пакеты буду проходить напрямую, ведь так ???
Поправьте меня если я неправ..
Да кстати, тогда форвардинг в файреволе можно отключить, оставить только NAT !?

[(asper]

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT.

Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.

Действие MASQUERADE допускается указывать только в цепочке POSTROUTING таблицы nat, так же как и действие SNAT. MASQUERADE имеет ключ, описываемый ниже, использование которого необязательно

Извините а можно почитать всю эту статью
Откуда это
Очень хотелось бы просветитьтся

[Djon$]

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT.

Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.

Действие MASQUERADE допускается указывать только в цепочке POSTROUTING таблицы nat, так же как и действие SNAT. MASQUERADE имеет ключ, описываемый ниже, использование которого необязательно

Извините а можно почитать всю эту статью
Откуда это
Очень хотелось бы просветитьтся

Зайди сюда: http://gazette.linux.ru.net/rus/articles/i...s-tutorial.html

[Djon$]

Подскажи на примере как это сделать!!!!

Форвардинг делать надо таким образом:
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf

Самое интересное что на других клубах всё идет...

Я не говорил что не будет работать, я говорил что будет нагрузка на проц, а при большом трафике очень большая.

В принципе я вьехал, ну и тгда сразу напишу пример того что надо зделать у меня:

ip route add 192.168.1/24 via 80.207.23.34 (80,207,23,34 - внешний айпишник)

Вот что у меня сейчас активно:

ip -s route


213.179.232.81 dev ppp0 proto kernel scope link src 80.207.23.34
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.33
127.0.0.0/8 dev lo scope link
default via 213.179.232.81 dev ppp0

Тоесть, когда я пропишу новый маршрут все пакеты буду проходить напрямую, ведь так ???
Поправьте меня если я неправ..
Да кстати, тогда форвардинг в файреволе можно отключить, оставить только NAT !?

пробовал, НИХРЕНА не работает !

[deisler]

# ifconfig
# route -n
в студию

[Djon$]

# ifconfig
# route -n
в студию

# ifconfig

eth0 Link encap:Ethernet HWaddr 00:11:09:F0:80:18
inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8092439 errors:0 dropped:0 overruns:0 frame:0
TX packets:17689563 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:733333086 (699.3 Mb) TX bytes:2074377633 (1978.2 Mb)
Interrupt:23 Base address:0x2d00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:595197 errors:0 dropped:0 overruns:0 frame:0
TX packets:595197 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:52532909 (50.0 Mb) TX bytes:52532909 (50.0 Mb)

ppp0 Link encap:Point-to-Point Protocol
inet addr:213.179.227.37 P-t-P:213.179.232.86 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:576 Metric:1
RX packets:1323378 errors:29 dropped:0 overruns:0 frame:0
TX packets:1330379 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:593570918 (566.0 Mb) TX bytes:98882034 (94.3 Mb)

# route -n

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
213.179.232.86 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.179.232.86 0.0.0.0 UG 0 0 0 ppp0

[deisler]

# iptables -F
# iptables -t nat -F
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf
# iptables -P FORWARD ACCEPT
# iptables -t nat -P POSTROUTING ACCEPT
Если статистический ip у соединения ppp0
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 213.179.227.37
Если динамический
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

[Djon$]

# iptables -F
# iptables -t nat -F
# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p /etc/sysctl.conf
# iptables -P FORWARD ACCEPT
# iptables -t nat -P POSTROUTING ACCEPT
Если статистический ip у соединения ppp0
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 213.179.227.37
Если динамический
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Не проканало !!! Значит никудышний с меня АДМИН, надо искать другую работу.. БЛ.. как оно всё достало.
Да чё за ХЕРНЯ, чё именно у меня не идет ?? Ё.. линух или я Пи...ий.

[deisler]

Рекомендую почитать документацию и разобраться как что работает, а то так и будешь до конца своей жизни работу менять.

[MHuTeI7]

Не проканало !!! Значит никудышний с меня АДМИН, надо искать другую работу.. БЛ.. как оно всё достало.
Да чё за ХЕРНЯ, чё именно у меня не идет ?? Ё.. линух или я Пи...ий.

было похожее, но у меня была проблема с mtu, (сначала локально (инет интерфейс mtu 1500), а потом и у провайдера, после смены оборудования ), здесь вроде другой случай.
надо бы проверять правила что-то типа iptables -t nat -L -v -n и днс на клиентах

[deisler]

кстати, действительно, почему на ppp0 mtu маленький? если до 1500 увеличить нельзя то быстро всем клинтам mtu в 576 выставь.

[Djon$]

кстати, действительно, почему на ppp0 mtu маленький? если до 1500 увеличить нельзя то быстро всем клинтам mtu в 576 выставь.

У меня 576 и стояло, убрал поставил по умолчанию 1500 и всё пошло :lol:
Спасибо за поддержку...