Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
mam problem używaniem celu SAME w iptables.
w /usr/lib/xtables mam bibliotekę libipt_SAME.so
ale próba załadowania jej kończy się niepowodzeniem
# modprobe libipt_SAME FATAL: Module libipt_SAME not found.
z góry dzięki za pomoc :)
Offline
Polecenie [b]modprobe[/b] ładuje modul do jadra a nie biblioteke.
Offline
Hmm, czyli rozumiem, że powinno chodzić bez modprobe ... ale tak się nie dzieje
# iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME --to 1.2.3.4 iptables: No chain/target/match by that name.
Offline
Na tej dziedzinie się nie znam ale logika podpowiada ze trzeba zadać pytanie.
Czy iptables jest skompilowane z obsługą tej biblioteki ? Czy nie jest konieczne nałożenie jakiejś łaty na jądro ?
Offline
1. cele w iptables wymgaja zarowno odpowuiedniej biblioteki dla iptables (aby rozumial o co biega), jak i odpowiedniego modulu jadra (lub innych jego modyfikacji) aby jadro umialo to wykonac ...
2. libipt_SAME.so jest biblioteka iptables do obslugi celu SAME ... zatem iptables ma jego wsparcie
3. musisz sprawdic czy kernel ma wspracie tego celu (ja u siebie nie widze ani w /lib/modules/2.6.30-1-686/kernel/net/netfilter/ ani w /lib/modules/2.6.30-1-686/kernel/net/ipv4/netfilter/ stosownego modulu wiec raczej dystrybucyjne jajko w wersji 2.6.30 nie mialo)
Offline
Mało jest informacji w internecie na temat tego celu :/
Widziałem jakieś informacje o tym, że jest to OBSOLETE. W configu kernela patrzyłem, i nie mam możliwości wyboru takiego celu ...
Może w ogóle tego nie potrzebuję? Moim celem jest zrobienie nata N:N (wiele do wiele) z trzymaniem jednego IP dla jednego użytkownika (czyli, że konkretny użytkownik ma jeden ip) ale chcę żeby był round-robin po tych zewnętrznych IP na które natuję, jest jakaś inna alternatywa?
w manulu znajduje coś takiego
SAME Similar to SNAT/DNAT depending on chain: it takes a range of addresses (‘--to 1.2.3.4-1.2.3.7’) and gives a client the same source-/destination- address for each connection. N.B.: The DNAT target’s --persistent option replaced the SAME target. --to ipaddr[-ipaddr] Addresses to map source to. May be specified more than once for multiple ranges. --nodst Don’t use the destination-ip in the calculations when selecting the new source-ip --random Port mapping will be forcibly randomized to avoid attacks based on port prediction (kernel >= 2.6.21). (...) SNAT This target is only valid in the nat table, in the POSTROUTING chain. It specifies that the source address of the packet should be modified (and all future packets in this connection will also be mangled), and rules should cease being examined. It takes one type of option: --to-source ipaddr[-ipaddr][:port[-port]] which can specify a single new source IP address, an inclusive range of IP addresses, and optionally, a port range (which is only valid if the rule also specifies -p tcp or -p udp). If no port range is specified, then source ports below 512 will be mapped to other ports below 512: those between 512 and 1023 inclusive will be mapped to ports below 1024, and other ports will be mapped to 1024 or above. Where possi‐ ble, no port alteration will In Kernels up to 2.6.10, you can add several --to-source options. For those kernels, if you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin (one after another in cycle) takes place between these addresses. Later Kernels (>= 2.6.11-rc1) don’t have the ability to NAT to multiple ranges anymore. --random If option --random is used then port mapping will be randomized (kernel >= 2.6.21). --persistent Gives a client the same source-/destination-address for each connection. This supersedes the SAME target. Support for persistent mappings is available from 2.6.29-rc2.
Czy mam z tego rozumieć, że
iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SNAT 1.2.3.4-1.2.3.5 --persistent jest równoważne iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME 1.2.3.4-1.2.3.5
#uname -r 2.6.30.9-imq (customized)
Z góry dzięki za pomoc.
Ostatnio edytowany przez fazie (2010-02-27 13:42:24)
Offline
Zobacz wynik:
cat /boot/config-$(uname -r) | grep -i sane
i zobacz w iptables - czy ma ten cel:
np. u mnie ma:
sudo iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME iptables v1.4.5: SAME needs --to
Nie wiem tylko - dlaczego w jaju jest nazwa sane a cel w iptables ma nazwę SAME.
W każdym razie wygląda na to - że działa :)))
To by było na tyle
:)
Ostatnio edytowany przez Jacekalex (2010-03-02 00:09:36)
Offline
mam to wkompilowane jako moduł:
# cat /boot/config-$(uname -r) | grep -i sane CONFIG_NF_CONNTRACK_SANE=m
ale to chyba nie jest to samo co cel SAME ...
a iptables daje mi :
# iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME iptables v1.4.5: SAME needs --to Try `iptables -h' or 'iptables --help' for more information.
więc raczej iptables jest ok.
Offline
Tak jak myślałem SANE != SAME
CONFIG_NF_CONNTRACK_SANE:
SANE is a protocol for remote access to scanners as implemented
by the 'saned' daemon. Like FTP, it uses separate control and
data connections.
With this module you can support SANE on a connection tracking
firewall.
To compile it as a module, choose M here. If unsure, say N.[/quote]
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00113 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.21.12.88' WHERE u.id=1 |
0.00088 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.21.12.88', 1732964703) |
0.00048 | SELECT * FROM punbb_online WHERE logged<1732964403 |
0.00077 | DELETE FROM punbb_online WHERE ident='18.223.158.132' |
0.00094 | SELECT topic_id FROM punbb_posts WHERE id=141470 |
0.00146 | SELECT id FROM punbb_posts WHERE topic_id=16208 ORDER BY posted |
0.00078 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16208 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00125 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16208 ORDER BY p.id LIMIT 0,25 |
0.00111 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16208 |
Total query time: 0.00904 s |