Настройка Iptables в Ubuntu Server 9.04 Вопросы скрытия NAT

[rostislav]

Ребята! Спасибо вам за то, что многому меня уже научили! Но это сопли и слюни! У меня есть проблема. Роюсь и нее могу разобраться!

Есть комп, на нем стоит Ubuntu Server 9.04 (Без сквида), Iptables, DHCP3. Есть 3 интерфейса eth0 (Локалка) eth1 (Wan) и ppp0(Тунелльное от прова).

У него есть некий шлюз...и он меня не любит(пров), по тому что я NATчу подсеть. Считает мои TTL. Если я пингую его с любой тачки в сети TTL равен 254 соответственно если пингую с шлюза 255.

Как дописать еденицу ко всем пакетам уходящим с eth0 на ppp0? Или проще может как? Чтобы все пакеты уходящие с ppp0 имели один TTL? Копаюсь пол для с правилами ничего не помогает.

И вообще какие еще способы есть, чтобы меня видно не было?

Да и еще нубско убунтовский вопрос - как перезапускать iptables а то долго систему перезагружать!

Жду ответов, надеюсь на помощь! Всем спасибо!

[Frank]

http://www.xakep.ru/post/29448/default.asp

[rostislav]

Это под винду и надо компилить на C++. Читай прежде чем кидать ссылки. (где выход в Internet организован через одну из систем с операционной системой Windows (использование Unix систем в качестве NAT мы здесь не рассматриваем(ц))

Да я вот вчера пробовал данный мануал читать. Друг друга говорил что возмется скомпилить, в итоге съехал с темы. Не долго мучаясь я поставил Ubuntu Serv. Но разобраться пока, что не выходит.

Мне нужно внятное, про роутинг внутри ядра, и про то как добавить TTL+1 к пакетам с eth0 к ppp0.

[Frank]

Как насчёт:
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 128
iptables -t mangle -A OUTPUT -j TTL --ttl-set 128
Перезапустить iptables - зачем?
Если очистить правила, то iptables --flush
Если "этого мало", то sudo /etc/init.d/networking restart

[Tokh]

Мне нужно внятное, про роутинг внутри ядра

Kernel Packet Traveling Diagram
http://www.docum.org/docum.org/kptd/
это оно?

как добавить TTL+1 к пакетам с eth0 к ppp0.

См.

Код: [Выделить]

man iptables | grep TTL -C 2 -A 2
       --ttl-set value
              Set the TTL value to ‘value’.
       --ttl-dec value
              Decrement the TTL value ‘value’ times.
       --ttl-inc value
              Increment the TTL value ‘value’ times.


Пользователь решил продолжить мысль 02 Мая 2009, 23:15:11:

Да и еще нубско убунтовский вопрос - как перезапускать iptables а то долго систему перезагружать!

Я скриптом "украденным" в статье "Руководство по iptables (Iptables Tutorial 1.1.19)" http://www.opennet.ru/docs/RUS/iptables/

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#!/bin/sh
#
# rc.flush-iptables - Resets iptables to default values.
#
# Copyright (C) 2001  Oskar Andreasson <bluefluxATkoffeinDOTnet>
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; version 2 of the License.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program or from the site that you downloaded it
# from; if not, write to the Free Software Foundation, Inc., 59 Temple
# Place, Suite 330, Boston, MA  02111-1307   USA

#
# Configurations
#
IPTABLES="/sbin/iptables"

#
# reset the default policies in the filter table.
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

#
# reset the default policies in the nat table.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

#
# reset the default policies in the mangle table.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

#
# flush all the rules in the filter and nat tables.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# erase all chains that's not default in filter and nat table.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X


Имеет смысл переделать на

Код: [Выделить]

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROPвместо варианта ACCEPT из статьи. Я так и сделал.

Так и не знаю где Ubuntu хранит свои таблицы и как туда воткнуть свои собственные, потому на время загрузки у меня работает ufw настроенный на блокировку всего входящего, а в конце загрузки из /etc/rc.local с залочкой очищаю таблицы и следом запускаю скрипт загружающий мои таблицы.

[rostislav]

Ребята вопрос то не решен...

Смотрите...сдедал как сказано. Пинг к прову(шлюз) с сервака 64, а с любой тачки из локалки 63!

Зашел удаленно на сервак, такая фигня...не пингуется их шлюз! че делать? Это нормально?
Пользователь решил продолжить мысль 02 Мая 2009, 21:27:18:Вот смотрите. Я в таблице Mangle сейчас указал значение уходящих пакетов 129. тоесть пров, видит все пакеты которые идут из локалки помеченными 128, и не палит меня? я вот чего понять не могу.
Пользователь решил продолжить мысль 02 Мая 2009, 23:31:15:Странное чето произошло. Я ф шоке))) Раньше при попытке пингануть mail.ru получал TTL 118 на серваке и 117 на клиентах. Когда пинговал их шлюз, с сервака получал 255 а с клиентов 254. Теперь сервак пингует все с TTL 129 а компы из локалки 128.

Как сделать чтобы сервак тоже не палился своим TTL=129? к какому интерфейсу и как правильно прикрутить -ttl-dec 

[Tokh]

Как сделать чтобы сервак тоже не палился своим TTL=129? к какому интерфейсу и как правильно прикрутить -ttl-dec 

Операция декремента уменьшает. Инкремент - увеличивает.

TTL уменьшается на единицу при прохождении одного узла. Значит на шлюзе пакеты из локалки теряют единицу и нужно увеличивать TTL.
Т.е. надо --ttl-inc 1

P.S. Не знаю что уместнее, ставить  TTL вообще всем один, или  прибавлять единицу к тому что есть.

[Rock]

Ну и замутил ты...
В FORWARD и OUTPUT пропиши нужный статический и одинаковый.

[rostislav]

Проблема не решена!!! Господи что делать, ради этого я линуху поднимал, а толку как с винды. \
Как блин были TTL на клиентах меньше на 1 чем с серва так и остались.

$IPT -t mangle -A PREROUTING -i $LOCAL_IFACE -j TTL --ttl-inc 2                            (не работает)
$IPT -t mangle -A POSTROUTING -i $LOCAL_IFACE -j TTL --ttl-inc 2                          (тоже)
$IPT -t mangle -A OUTPUT -i $LOCAL_IFACE -j TTL --ttl-inc 2                                  (тоже не работает)

$IPT -t mangle -A PREROUTING -i $INET_IFACE -j TTL --ttl-set 129
$IPT -t mangle -A POSTROUTING -i $INET_IFACE -j TTL --ttl-set 129
$IPT -t mangle -A OUTPUT -i $INET_IFACE -j TTL --ttl-inc 129

где что не так?

По идее то пинги с клиентских машин должны быть 129 ну или более, ибо есть параметр --ttl-inc 2 !?!?! или это про пакеты уходящие на этот интерфейс? особо не ясна логика...ну ладно, далее, пофиг...как сделать пакеты приходящие с $LOCAL_IFACE к $INET_IFACE одинаковыми по значению TTL???

Да и прошлый пост - чето не въехал про FORWARD???\

Залез в Ман по iptables нашел строчку про mangle FORWARD...как это написать??!?!? Я уже сутки пытаюсь найти нужные слова которые понравятся iptables и он наконеч станет просто добавлять единицу блин! Ребят я понимаю мож я и нуб, но помогите блин ПОЖАЛУЙСТА!!!



ВСЕ СПАСИБО ВРУБИЛСЯ РЕШИЛ ВСЕХ ЛЮБЛЮ!!!!!!!!!!!!!!!!!!!!!!!!!! СПАСИБО МИРУ ЛИНУКС!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!