Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-02-26 21:56:27

  fazie - Użytkownik

fazie
Użytkownik
Zarejestrowany: 2010-02-26

cel SAME

Witam,
mam problem używaniem celu SAME w iptables.
w /usr/lib/xtables mam bibliotekę libipt_SAME.so
ale próba załadowania jej kończy się niepowodzeniem

Kod:

# modprobe libipt_SAME
FATAL: Module libipt_SAME not found.

z góry dzięki za pomoc :)

Offline

 

#2  2010-02-26 22:22:05

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: cel SAME

Polecenie [b]modprobe[/b] ładuje modul do jadra a nie biblioteke.


[b]Problemy rozwiązujemy na forum nie na PW[/b] -> Niech inni na tym skorzystają.
[url=http://dug.net.pl/]Polski portal Debiana[/url]

Offline

 

#3  2010-02-26 23:03:07

  fazie - Użytkownik

fazie
Użytkownik
Zarejestrowany: 2010-02-26

Re: cel SAME

Hmm, czyli rozumiem, że powinno chodzić bez modprobe ... ale tak się nie dzieje

Kod:

# iptables -t nat -A POSTROUTING  -s 10.1.230.0/24 -j SAME --to 1.2.3.4
iptables: No chain/target/match by that name.

Offline

 

#4  2010-02-27 07:53:15

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: cel SAME

Na tej dziedzinie się nie znam ale logika podpowiada ze trzeba zadać pytanie.

Czy iptables jest skompilowane z obsługą tej biblioteki ? Czy nie jest konieczne nałożenie jakiejś łaty na jądro ?


[b]Problemy rozwiązujemy na forum nie na PW[/b] -> Niech inni na tym skorzystają.
[url=http://dug.net.pl/]Polski portal Debiana[/url]

Offline

 

#5  2010-02-27 12:42:53

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: cel SAME

1. cele w iptables wymgaja zarowno odpowuiedniej biblioteki dla iptables (aby rozumial o co biega), jak i odpowiedniego modulu jadra (lub innych jego modyfikacji) aby jadro umialo to wykonac ...
2. libipt_SAME.so jest biblioteka iptables do obslugi celu SAME ... zatem iptables ma jego wsparcie
3. musisz sprawdic czy kernel ma wspracie tego celu (ja u siebie nie widze ani w /lib/modules/2.6.30-1-686/kernel/net/netfilter/ ani w  /lib/modules/2.6.30-1-686/kernel/net/ipv4/netfilter/ stosownego modulu wiec raczej dystrybucyjne jajko w wersji 2.6.30 nie mialo)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#6  2010-02-27 13:39:40

  fazie - Użytkownik

fazie
Użytkownik
Zarejestrowany: 2010-02-26

Re: cel SAME

Mało jest informacji w internecie na temat tego celu :/
Widziałem jakieś informacje o tym, że jest to OBSOLETE. W configu kernela patrzyłem, i nie mam możliwości wyboru takiego celu ...
Może w ogóle tego nie potrzebuję? Moim celem jest zrobienie nata N:N (wiele do wiele) z trzymaniem jednego IP dla jednego użytkownika (czyli, że konkretny użytkownik ma jeden ip) ale chcę żeby był round-robin po tych zewnętrznych IP na które natuję, jest jakaś inna alternatywa?

w manulu znajduje coś takiego

Kod:

   SAME
       Similar to SNAT/DNAT depending on chain: it takes a range of addresses (‘--to 1.2.3.4-1.2.3.7’) and gives a client the  same  source-/destination-
       address for each connection.

       N.B.: The DNAT target’s --persistent option replaced the SAME target.

       --to ipaddr[-ipaddr]
              Addresses to map source to. May be specified more than once for multiple ranges.

       --nodst
              Don’t use the destination-ip in the calculations when selecting the new source-ip

       --random
              Port mapping will be forcibly randomized to avoid attacks based on port prediction (kernel >= 2.6.21).
(...)
   SNAT
       This target is only valid in the nat table, in the POSTROUTING chain.  It specifies that the source address of the packet should be modified  (and
       all future packets in this connection will also be mangled), and rules should cease being examined.  It takes one type of option:

       --to-source ipaddr[-ipaddr][:port[-port]]
              which  can specify a single new source IP address, an inclusive range of IP addresses, and optionally, a port range (which is only valid if
              the rule also specifies -p tcp or -p udp).  If no port range is specified, then source ports below 512 will be mapped to other ports  below
              512: those between 512 and 1023 inclusive will be mapped to ports below 1024, and other ports will be mapped to 1024 or above. Where possi‐
              ble, no port alteration will

              In Kernels up to 2.6.10, you can add several --to-source options. For those kernels, if you specify more than one  source  address,  either
              via  an  address  range  or  multiple  --to-source  options,  a  simple  round-robin (one after another in cycle) takes place between these
              addresses.  Later Kernels (>= 2.6.11-rc1) don’t have the ability to NAT to multiple ranges anymore.

       --random
              If option --random is used then port mapping will be randomized (kernel >= 2.6.21).

       --persistent
              Gives a client the same source-/destination-address for each connection.  This supersedes the SAME target. Support for persistent  mappings
              is available from 2.6.29-rc2.

Czy mam z tego rozumieć, że

Kod:

iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SNAT 1.2.3.4-1.2.3.5 --persistent
jest równoważne
iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME 1.2.3.4-1.2.3.5

Kod:

#uname -r
2.6.30.9-imq
(customized)

Z góry dzięki za pomoc.

Ostatnio edytowany przez fazie (2010-02-27 13:42:24)

Offline

 

#7  2010-03-02 00:09:17

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: cel SAME

Zobacz wynik:

Kod:

cat /boot/config-$(uname -r) | grep -i sane

i zobacz w iptables - czy ma ten cel:
np. u mnie ma:

Kod:

sudo iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME
iptables v1.4.5: SAME needs --to

Nie wiem tylko - dlaczego w jaju jest nazwa sane a cel w iptables ma nazwę SAME.
W każdym razie wygląda na to - że działa :)))

To by było na tyle
:)

Ostatnio edytowany przez Jacekalex (2010-03-02 00:09:36)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2010-03-02 07:19:06

  fazie - Użytkownik

fazie
Użytkownik
Zarejestrowany: 2010-02-26

Re: cel SAME

mam to wkompilowane jako moduł:

Kod:

# cat /boot/config-$(uname -r) | grep -i sane
CONFIG_NF_CONNTRACK_SANE=m

ale to chyba nie jest to samo co cel SAME ...

a iptables daje mi :

Kod:

# iptables -t nat -A POSTROUTING -s 10.1.230.0/24 -j SAME
iptables v1.4.5: SAME needs --to
Try `iptables -h' or 'iptables --help' for more information.

więc raczej iptables jest ok.

Offline

 

#9  2010-03-02 07:23:12

  fazie - Użytkownik

fazie
Użytkownik
Zarejestrowany: 2010-02-26

Re: cel SAME

Tak jak myślałem SANE != SAME

CONFIG_NF_CONNTRACK_SANE:

SANE is a protocol for remote access to scanners as implemented
by the 'saned' daemon. Like FTP, it uses separate control and
data connections.

With this module you can support SANE on a connection tracking
firewall.

To compile it as a module, choose M here. If unsure, say N.[/quote]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.012 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00113 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.21.12.88' WHERE u.id=1
0.00088 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.21.12.88', 1732964703)
0.00048 SELECT * FROM punbb_online WHERE logged<1732964403
0.00077 DELETE FROM punbb_online WHERE ident='18.223.158.132'
0.00094 SELECT topic_id FROM punbb_posts WHERE id=141470
0.00146 SELECT id FROM punbb_posts WHERE topic_id=16208 ORDER BY posted
0.00078 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=16208 AND t.moved_to IS NULL
0.00009 SELECT search_for, replace_with FROM punbb_censoring
0.00125 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=16208 ORDER BY p.id LIMIT 0,25
0.00111 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=16208
Total query time: 0.00904 s