Автор Тема: iptables SNAT - как сделать динамическую смену? (Прочитано 4515 раз)

roma333 · « **Ответ #15 :** 18 Марта 2010, 13:00:49 »

Сговорились что ли - http://www.linux.org.ru/forum/general/4613789;jsessionid=C6BFB604F6D7A9D6FCA700CA10C1EAE9

Mam(O)n · « **Ответ #16 :** 18 Марта 2010, 13:17:29 »

Цитата: roma333 от 18 Марта 2010, 13:00:49

Сговорились что ли - http://www.linux.org.ru/forum/general/4613789;jsessionid=C6BFB604F6D7A9D6FCA700CA10C1EAE9

Не хочу тебя расстраивать, но с этого мы и начали

Пользователь решил продолжить мысль 18 Марта 2010, 13:48:00:

Перечитываю мануал и никак не могу понять откуда это я взял то, что после 2.6.26 версии из ядра выпилили диапазоны. Там только это написано:

Цитировать

Later Kernels (>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore.

Что значит теперь нельзя задавать больше одного диапазона. Но ведь один то задавать получается можно или я снова не так понял?

roma333 · « **Ответ #17 :** 18 Марта 2010, 13:49:10 »

Цитата: Mam(O)n от 18 Марта 2010, 13:17:29

Цитата: roma333 от 18 Марта 2010, 13:00:49
Сговорились что ли - http://www.linux.org.ru/forum/general/4613789;jsessionid=C6BFB604F6D7A9D6FCA700CA10C1EAE9
Не хочу тебя расстраивать, но с этого мы и начали

А это разве не работает??? У меня на 2.6.31-20-generic и iptables v1.4.4 все ок

Код: [Выделить]

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to 64.120.120.3-64.120.120.6 --persistent

Пользователь решил продолжить мысль 18 Марта 2010, 13:08:47:

Цитата: Mam(O)n от 18 Марта 2010, 13:17:29

Цитата: roma333 от 18 Марта 2010, 13:00:49
Сговорились что ли - http://www.linux.org.ru/forum/general/4613789;jsessionid=C6BFB604F6D7A9D6FCA700CA10C1EAE9
Не хочу тебя расстраивать, но с этого мы и начали
Пользователь решил продолжить мысль 18 Марта 2010, 11:48:00:
Перечитываю мануал и никак не могу понять откуда это я взял то, что после 2.6.26 версии из ядра выпилили диапазоны. Там только это написано:
Цитировать
Later Kernels (>= 2.6.11-rc1) don't have the ability to NAT to multiple ranges anymore.
Что значит теперь нельзя задавать больше одного диапазона. Но ведь один то задавать получается можно или я снова не так понял?

Получается, что можно....

Пользователь решил продолжить мысль 19 Марта 2010, 18:45:41:

В версию 1.4.4 добавили поддержку persistent multi-range NAT mappings

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

 Patrick McHardy (3):
      SNAT/DNAT: add support for persistent multi-range NAT mappings
      Merge branch 'stable' of git://dev.medozas.de/iptables
      Bump version

http://www.netfilter.org/projects/iptables/files/changes-iptables-1.4.4.txt

Так что автору темы можно посоветовать просто обновить iptables

TrEK · « **Ответ #18 :** 22 Марта 2010, 15:24:36 »

Цитата: roma333 от 18 Марта 2010, 02:10:57

iptables -A POSTROUTING -s 192.168.0.1 -m iprange --dst-range 194.187.190.1-194.187.190.254

а так не работает?

Не работает.

Пользователь решил продолжить мысль 22 Марта 2010, 13:27:04:

Цитировать

В версию 1.4.4 добавили поддержку persistent multi-range NAT mappings
(Нажмите, чтобы показать/скрыть)
Код: [Выделить]
Patrick McHardy (3): SNAT/DNAT: add support for persistent multi-range NAT mappings Merge branch 'stable' of git://dev.medozas.de/iptables Bump version
http://www.netfilter.org/projects/iptables/files/changes-iptables-1.4.4.txt

Так что автору темы можно посоветовать просто обновить iptables

Хотел бы узнать к какой версии лучше обновить айпитейблз?.. так как вижу что уже доступно iptables 1.4.6

AnrDaemon · « **Ответ #19 :** 22 Марта 2010, 15:42:05 »

Ну раз в 1.4.4 добавили, наверное в 1.4.6 не удалили...

TrEK · « **Ответ #20 :** 22 Марта 2010, 16:07:18 »

Цитата: AnrDaemon от 22 Марта 2010, 15:42:05

Ну раз в 1.4.4 добавили, наверное в 1.4.6 не удалили...

Это гуд.
Странно почему апт-гет не обновляет

Код: [Выделить]

root@ubuntu:/etc# apt-get install iptables update
Reading package lists... Done
Building dependency tree
Reading state information... Done
iptables is already the newest version.
E: Couldn't find package update

Пользователь решил продолжить мысль 22 Марта 2010, 16:07:47:

root@ubuntu:/etc# iptables -V
iptables v1.4.2-rc1

AnrDaemon · « **Ответ #21 :** 22 Марта 2010, 16:10:20 »

Ручками придётся скачать и поставить .deb пакет.

TrEK · « **Ответ #22 :** 22 Марта 2010, 17:18:19 »

Обновил через
./configure
make
make install

root@ubuntu:/home/trek/iptables-1.4.7# iptables -V
iptables v1.4.7

Теперь не могу загрузить в память правила:

root@ubuntu:/home/trek/iptables-1.4.7# cat /etc/iptables-save | iptables-restore
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

AnrDaemon · « **Ответ #23 :** 22 Марта 2010, 17:24:02 »

......У меня слов нет. Увидел одну ничего не значащую строчку - и сразу "не могу загрузить правила".
Правила загрузились нормально, сам проверь, запусти iptables-save

TrEK · « **Ответ #24 :** 22 Марта 2010, 17:30:23 »

Да все, разобрался.
Просто "!" теперь надо указывать перед опцией.
Прошу прощения за нагнанные беспочвенные опасания! )

roma333 · « **Ответ #25 :** 22 Марта 2010, 17:38:18 »

Правило-то заработало или нет?

TrEK · « **Ответ #26 :** 22 Марта 2010, 17:56:25 »

Заработало , но
Я не пойму по какому оно принципу меняет...
открываю
http://whatismyip.com/ - 119 айпи
http://cmyip.com/ - 115
http://speedtest.net/ - 117

Пользователь решил продолжить мысль 22 Марта 2010, 12:06:38:

Оно разве не должно рэндомно SNAT-ить на один и тот же ресурс?

Пользователь решил продолжить мысль 22 Марта 2010, 14:53:30:

Что еще радует, что модуль -m connlimit --connlimit-above заработал в новой версии.
Вот только iplimit так и не работает

roma333 · « **Ответ #27 :** 23 Марта 2010, 05:05:14 »

Цитировать

Example iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 --nodst
Explanation : Under normal action, the SAME target is calculating the followup connections based on both destination and source IP addresses. Using the --nodst option, it uses only the source IP address to find out which outgoing IP the NAT function should use for the specific connection. Without this argument, it uses a combination of the destination and source IP address.

http://www.linuxtopia.org/Linux_Firewall_iptables/x4620.html

TrEK · « **Ответ #28 :** 23 Марта 2010, 10:50:48 »

Цитата: roma333 от 23 Марта 2010, 05:05:14

Цитировать
Example iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 --nodst
Explanation : Under normal action, the SAME target is calculating the followup connections based on both destination and source IP addresses. Using the --nodst option, it uses only the source IP address to find out which outgoing IP the NAT function should use for the specific connection. Without this argument, it uses a combination of the destination and source IP address.
http://www.linuxtopia.org/Linux_Firewall_iptables/x4620.html

root@ubuntu:/etc# cat /etc/iptables-save | iptables-restore
iptables-restore: line 11 failed

root@ubuntu:/etc# cat iptables-save | more
# Generated by iptables-save v1.3.8 on Mon Sep 8 10:36:13 2008
#TrEK add---------[
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A PREROUTING -s 194.187.190.181 -j SAME --to 194.187.190.1-194.187.190.254 --nodst
COMMIT
...
...
...

roma333 · « **Ответ #29 :** 23 Марта 2010, 11:03:00 »

Цитата: TrEK от 23 Марта 2010, 10:50:48

Цитата: roma333 от 23 Марта 2010, 05:05:14
Цитировать
Example iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 --nodst
Explanation : Under normal action, the SAME target is calculating the followup connections based on both destination and source IP addresses. Using the --nodst option, it uses only the source IP address to find out which outgoing IP the NAT function should use for the specific connection. Without this argument, it uses a combination of the destination and source IP address.
http://www.linuxtopia.org/Linux_Firewall_iptables/x4620.html

root@ubuntu:/etc# cat /etc/iptables-save | iptables-restore
iptables-restore: line 11 failed

root@ubuntu:/etc# cat iptables-save | more
# Generated by iptables-save v1.3.8 on Mon Sep 8 10:36:13 2008
#TrEK add---------[
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A PREROUTING -s 194.187.190.181 -j SAME --to 194.187.190.1-194.187.190.254 --nodst
COMMIT
...
...
...

Сейчас вместо SAME нужно употреблять --persistent, что эквиваленто SAME, я так понимаю.

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables SNAT - как сделать динамическую смену? (Прочитано 4515 раз)

roma333

Re: iptables SNAT - как сделать динамическую смену?

Mam(O)n

Re: iptables SNAT - как сделать динамическую смену?

roma333

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

AnrDaemon

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

AnrDaemon

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

AnrDaemon

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

roma333

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

roma333

Re: iptables SNAT - как сделать динамическую смену?

TrEK

Re: iptables SNAT - как сделать динамическую смену?

roma333

Re: iptables SNAT - как сделать динамическую смену?