Skupiny Google už nepodporují nová předplatná ani příspěvky Usenet. Historický obsah lze zobrazit stále.
Dismiss

SNAT mi nefunguje spravne

0 zobrazení
Přeskočit na první nepřečtenou zprávu

Martin Kozusky

nepřečteno,
20. 5. 2004 4:18:3220.05.04
komu:
Ahoj,
mam 3 pocitace:
PC1 (192.168.1.100)
PC2 (192.168.1.200)
PC3 (192.168.1.300)

pc1 vidi na pc3, ale pc3 nevidi na pc1, oba vidi na pc2 (a pc2 take vidi
na oba)

takze kdyz se chci pripojit (treba ssh (ktere na pc2 nebezi)) z pc3 na
pc1, musim jit pres pc2.
na pc2 jsem nastavil DNAT takto:

iptables -t nat -A PREROUTING -d 192.168.1.200 --dports 20:22 -j DNAT
--to-destination 192.168.1.100
taky jsem povolil forward paketu.

potom bych se chtel ssh na PC1 asi takto: $ssh pc2
a PC2 preposle pozadavek na PC1. Taky ale potrebuju, aby se PC1 tvarilo
jako PC2, tak jsem na PC1 pridal:

iptables -t nat -A POSTROUTING -d 192.168.1.300 -j SNAT --to-source
192.168.1.200 (prepisuji se jenom pakety ktere jdou na PC3)

teoreticky by to tak melo fungovat, ale:
tcpdumpem jsem zjistil, ze pozadavek z PC3 vporadku prijde, PC1 odesle
odpoved, ale zustane tam IP PC1 misto IP PC2. Takze se neprepisuje
zdrojova adresa :(

Kdyz dam ale ssh z PC1 na PC3, tak se zdrojova adresa prepise spravne.
Kdyz mi dojde paket, ja na nej v nejakem programu odpovim a poslu zpet,
tak se adresa neprepise :(


Nevite nekdo co delam blbe?
Diky,
Martin

Peter Surda

nepřečteno,
20. 5. 2004 4:21:4320.05.04
komu: li...@linux.cz
On Thu, May 20, 2004 at 08:18:32AM +0000, Martin Kozusky wrote:
> Ahoj,
Cau,

> mam 3 pocitace:
> PC1 (192.168.1.100)
> PC2 (192.168.1.200)
> PC3 (192.168.1.300)
>
> pc1 vidi na pc3, ale pc3 nevidi na pc1, oba vidi na pc2 (a pc2 take vidi
> na oba)

Dost by ma zaujimalo preco, mas to spravne subnetovane?

> takze kdyz se chci pripojit (treba ssh (ktere na pc2 nebezi)) z pc3 na
> pc1, musim jit pres pc2.

Ok, predpokladajme, ze to tak ozaj je.

> na pc2 jsem nastavil DNAT takto:

Nastav este opacne pravidlo SNAT a potom to pojde.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
Where do you think you're going today?

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list
TIP: Prohledejte ftp.linux.cz: http://ftp.linux.cz/pub/

Peter Surda

nepřečteno,
20. 5. 2004 4:25:3320.05.04
komu: li...@linux.cz
Sory, prave som sa zobudil :-).

On Thu, May 20, 2004 at 08:18:32AM +0000, Martin Kozusky wrote:

> iptables -t nat -A PREROUTING -d 192.168.1.200 --dports 20:22 -j DNAT
> --to-destination 192.168.1.100

> iptables -t nat -A POSTROUTING -d 192.168.1.300 -j SNAT --to-source

> 192.168.1.200 (prepisuji se jenom pakety ktere jdou na PC3)

-d 192.168.1.100

Potom to pojde.

> Nevite nekdo co delam blbe?

Zla adresa, vid vyssie.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
2B OR (NOT 2B) That is the question. The answer is FF.

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Archivy news a prohledavani najdete na http://groups.google.com/

Petr Stetiar

nepřečteno,
20. 5. 2004 4:44:0820.05.04
komu: li...@linux.cz
Peter Surda <shur...@routehat.org> [2004-05-20 10:25:33]:

> > iptables -t nat -A POSTROUTING -d 192.168.1.300 -j SNAT --to-source
> > 192.168.1.200 (prepisuji se jenom pakety ktere jdou na PC3)

Ehm. 192.168.1.300? To se nediv ze se mezi sebou "nevidi". To uz je totiz
adresa z jine site :P

ynezz

--
A.C.A.B.

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Konference o UNIXu obecne: munix-l na list...@muni.cz

Cingy

nepřečteno,
20. 5. 2004 4:59:5120.05.04
komu:
Zdravim,
nebyvaje nahodou IP adresy do 256.
PC3 (192.168.1.300)
^^^
Cingy

Roman DAVID

nepřečteno,
20. 5. 2004 4:50:4820.05.04
komu: li...@linux.cz
Martin Kozusky wrote:
> Ahoj,
> mam 3 pocitace:
> PC1 (192.168.1.100)
> PC2 (192.168.1.200)
> PC3 (192.168.1.300)
co je tohle ^^^^^^^^^ za IP adresu ? :-))

Roman DAVID

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Navrhy na dalsi tipy piste na linux...@linux.cz

Stastka Vaclav

nepřečteno,
20. 5. 2004 4:58:1020.05.04
komu: li...@linux.cz
to je docela husty co tam dela 192.168.1.300

-----Original Message-----
From: Roman DAVID [mailto:rda...@danet.cz]
Sent: Thursday, May 20, 2004 10:51 AM
To: li...@linux.cz
Subject: Re: SNAT mi nefunguje spravne


Martin Kozusky wrote:
> Ahoj,
> mam 3 pocitace:
> PC1 (192.168.1.100)
> PC2 (192.168.1.200)
> PC3 (192.168.1.300)
co je tohle ^^^^^^^^^ za IP adresu ? :-))

Roman DAVID


---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Prectete si obcas znovu Meta-FAQ

Martin Kozusky

nepřečteno,
20. 5. 2004 5:02:0020.05.04
komu:
Martin

> > PC3 (192.168.1.300)
> co je tohle ^^^^^^^^^ za IP adresu ? :-))
>

Jo, sorry, ty IP jsem si vymyslel a nepremyslel jsem o tom, ve skutecnosti
jsou jine, PC1, PC2 ve stejne podsiti, a PC3 uplne nekde jinde.


Martin Kozusky

nepřečteno,
20. 5. 2004 5:05:2520.05.04
komu:
"Cingy" <ci...@cangar.sk> píse v diskusním príspevku
news:c8hrva$2cn1$1...@ns.felk.cvut.cz...

> Zdravim,
> nebyvaje nahodou IP adresy do 256.
> PC3 (192.168.1.300)
> ^^^
Psal sem to rano, brzo po probuzeni, pak to tak dopadne kdyz se nemysli :)

Martin


Martin Kozusky

nepřečteno,
20. 5. 2004 5:03:4920.05.04
komu:

"Martin Kozusky" <koz...@ics.muni.cz> píse v diskusním príspevku
news:Hy072...@news.muni.cz...

> PC3 (192.168.1.300)
^^^^^^^^^^^^^^^^^^^
Ta IP je samozrejme spatne, su vul :) ty IP jsem si vymyslel a nepremyslel
jsem o tom, ve skutecnosti jsou jine :)

Zdenek Kaminski

nepřečteno,
20. 5. 2004 5:07:1120.05.04
komu: li...@linux.cz

Neni nad to mystifikovat ty, co Vam chteji pomoci..

Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...


---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Hardwarova kompatibilita? http://hardware.penguin.cz/

Martin Kozusky

nepřečteno,
20. 5. 2004 5:08:1220.05.04
komu:
> > iptables -t nat -A POSTROUTING -d 192.168.1.300 -j SNAT --to-source
> > 192.168.1.200 (prepisuji se jenom pakety ktere jdou na PC3)
> -d 192.168.1.100
>
> Potom to pojde.

A proc -d 192.168.1.100 ? ja chci prepisovat ty co jdou ven (odpovedi) pro
PC3, nebo se to dela jinak?

teoreticky, pokdu bych dal
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.200

tak by to melo SNATovat vse co jde ven ne? a to taky nefunguje :(
jen pokud vytvorim pozadavek na pripojeni nekam ja, pokud na
neco odpovidam, tak to nejde :(

Martin


Peter Surda

nepřečteno,
20. 5. 2004 5:13:4620.05.04
komu: li...@linux.cz
On Thu, May 20, 2004 at 09:08:12AM +0000, Martin Kozusky wrote:
> > > iptables -t nat -A POSTROUTING -d 192.168.1.300 -j SNAT --to-source
> > > 192.168.1.200 (prepisuji se jenom pakety ktere jdou na PC3)
> > -d 192.168.1.100
> >
> > Potom to pojde.
>
> A proc -d 192.168.1.100 ? ja chci prepisovat ty co jdou ven (odpovedi) pro
> PC3, nebo se to dela jinak?
Ano, prepisujes dotazy, nie odpovede. Ver mi, viackrat som to skusal.

> teoreticky, pokdu bych dal
> iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.200

Potom bude snatovat aj kopu toho, co nema, preto to asi nefunguje.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
The dark ages were caused by the Y1K problem.

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

Martin Kozusky

nepřečteno,
20. 5. 2004 5:50:4020.05.04
komu:
"Peter Surda" <shur...@routehat.org> píąe v diskusním příspěvku
news:2004052009...@soldats.routehat.org...

> > A proc -d 192.168.1.100 ? ja chci prepisovat ty co jdou ven (odpovedi)
pro
> > PC3, nebo se to dela jinak?
> Ano, prepisujes dotazy, nie odpovede. Ver mi, viackrat som to skusal.

Bohuzel to nefunguje ani tak :( Porad na PC3 prichazeji odpovedi od PC1,
misto PC3 :(


> > teoreticky, pokdu bych dal
> > iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.200
> Potom bude snatovat aj kopu toho, co nema, preto to asi nefunguje.

Zadne jine spojeni tam nejsou, tak by to snad nemelo vadit ...

Martin


Peter Surda

nepřečteno,
20. 5. 2004 5:58:4120.05.04
komu: li...@linux.cz
On Thu, May 20, 2004 at 09:50:40AM +0000, Martin Kozusky wrote:
> "Peter Surda" <shur...@routehat.org> píše v diskusním příspěvku

> news:2004052009...@soldats.routehat.org...
> > > A proc -d 192.168.1.100 ? ja chci prepisovat ty co jdou ven (odpovedi)
> pro
> > > PC3, nebo se to dela jinak?
> > Ano, prepisujes dotazy, nie odpovede. Ver mi, viackrat som to skusal.
> Bohuzel to nefunguje ani tak :( Porad na PC3 prichazeji odpovedi od PC1,
> misto PC3 :(
Tak ti tam potom asi chyba dalsi dnat. Dost lze sa radi ked hovoris o ip
adrese .300.

Skratka aj PC3 aj PC1 si musia vzdy mysliet, ze komunikuju z PC2 a nesmu
nikdy dostat paket s adresou toho druheho.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
Failure is not an option. It comes bundled with your Microsoft product.

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Zkontrolujte si DNS: http://atrey.karlin.mff.cuni.cz/~mj/sleuth/

Martin Kozusky

nepřečteno,
20. 5. 2004 6:42:1920.05.04
komu:

"Peter Surda" <shur...@routehat.org> píąe v diskusním příspěvku > Tak ti

tam potom asi chyba dalsi dnat. Dost lze sa radi ked hovoris o ip
> adrese .300.
Jo to byla blbost takova IP :(

> Skratka aj PC3 aj PC1 si musia vzdy mysliet, ze komunikuju z PC2 a nesmu
> nikdy dostat paket s adresou toho druheho.
>

No tak teoreticky by to ale melo fungovat - pripojuju se na PC2,
to to preposle spravne na PC1 (takze PC2 o PC1 nic nevi),
ktere odpovi PRIMO PC3. Na PC1 je SNAT, takze by PC3 melo dostat IP
PC2 (takze by o PC1 taky nemelo nic vedet).

Martin


Peter Surda

nepřečteno,
20. 5. 2004 7:05:2120.05.04
komu: li...@linux.cz
On Thu, May 20, 2004 at 10:42:19AM +0000, Martin Kozusky wrote:
> > Skratka aj PC3 aj PC1 si musia vzdy mysliet, ze komunikuju z PC2 a nesmu
> > nikdy dostat paket s adresou toho druheho.
> No tak teoreticky by to ale melo fungovat - pripojuju se na PC2,
> to to preposle spravne na PC1 (takze PC2 o PC1 nic nevi),
Mylis si routing a NAT. Routing ti funguje, NAT nie alebo len napoly.

> ktere odpovi PRIMO PC3.
Teda PC1 sice paket dostane, ale obsahuje source IP PC3, takze tento predtym
musis SNAT-ovat.

> Na PC1 je SNAT, takze by PC3 melo dostat IP PC2 (takze by o PC1 taky nemelo
> nic vedet).

Zrejme teda SNAT-ujes nespravne.

Okej, skusime to takto (podla konkretnej situacie sa da okresat):

# ked sa chces z pc3 pripojit na pc1
PREROUTING -s PC3 -d PC2 -j DNAT --to-destination PC1
POSTROUTING -s PC3 -d PC1 -j SNAT --to-source PC2

# ked sa chces z pc1 pripojit na pc3
PREROUTING -s PC1 -d PC2 -j DNAT --to-destination PC3
POSTROUTING -s PC1 -d PC3 -j SNAT --to-source PC2

Z tohoto by ti malo byt jasne, kde robis chybu.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
Disc space - The final frontier.

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

Martin Kozusky

nepřečteno,
20. 5. 2004 8:39:2020.05.04
komu:
"Peter Surda" <shur...@routehat.org> píąe v diskusním příspěvku
news:2004052011...@soldats.routehat.org...

> On Thu, May 20, 2004 at 10:42:19AM +0000, Martin Kozusky wrote:
> Okej, skusime to takto (podla konkretnej situacie sa da okresat):
>
> # ked sa chces z pc3 pripojit na pc1
> PREROUTING -s PC3 -d PC2 -j DNAT --to-destination PC1
> POSTROUTING -s PC3 -d PC1 -j SNAT --to-source PC2
>
> # ked sa chces z pc1 pripojit na pc3
> PREROUTING -s PC1 -d PC2 -j DNAT --to-destination PC3
> POSTROUTING -s PC1 -d PC3 -j SNAT --to-source PC2
>
> Z tohoto by ti malo byt jasne, kde robis chybu.
>

Pokud by toto melo byt na PC2, tak by to znamenalo, ze by odpoved sla taky
pres PC2 ne? To ale nechci. Chci aby pres PC2 sel jen dotaz odpoved primo z
PC1 na PC3.

Martin


Peter Surda

nepřečteno,
20. 5. 2004 9:06:2020.05.04
komu: li...@linux.cz
On Thu, May 20, 2004 at 12:39:20PM +0000, Martin Kozusky wrote:
> Pokud by toto melo byt na PC2, tak by to znamenalo, ze by odpoved sla taky
> pres PC2 ne? To ale nechci.
Tak potom mas smolu, lebo inac sa to neda.

> Chci aby pres PC2 sel jen dotaz odpoved primo z PC1 na PC3.

Potom je nekonzistencia v tom, kade to doslo a obsahom. PC3 si totiz mysli, ze
komunikuje s PC2 a ked mu dojde odpoved s IP PC1, je z toho popleteny, resp.
povazuje ten paket za nespravny a zahodi ho.

Mozno by bolo dobre, keby si namiesto mudrovania tie 2 prikazy napisal, a
potom zistoval, ci to splna poziadavky.

> Martin
S pozdravom,

Peter Surda (Shurdeek) <shur...@routehat.org>, ICQ 10236103, +436505122023

--
It's not a bug, it's tradition!

---------------------------------------------------------------------------
Meta-FAQ (odhlaseni, archiv, FAQ a dalsi): http://www.linux.cz/mailing-list

TIP: Prectete si Linux Documentation Project: http://www.linux.cz/linuxdoc/

0 nových zpráv