ipmasqadm portwf - nemuzu rozchodit

Jiri Bohac bohaj9am na ss1000.ms.mff.cuni.cz
Pondělí Březen 5 14:03:53 CET 2001 

On Sun, 4 Mar 2001, Michal Kaspar wrote:

> On 1 Mar 2001, Jiri Bohac wrote:
>
> > potreboval bych pomoc:
> >
> > snazim se zprovoznit pop3 a ftp na serveru uvnitr maskaradovane site.
> > maskaradovani funguje bez problemu, zevnitr (192.168.1.) se dostanu bez
> > problemu
> >
> > 	/sbin/ipchains -F forward
> > 	/sbin/ipchains -F input
> > 	/sbin/ipchains -F output
>
> Tady mam jeste -P forward deny
tim by to ale bejt nemelo, ne? ....zkusim
> >
> > 	#na server primo
> > 	/sbin/ipchains -A input -j ACCEPT -p tcp -s 0.0.0.0/0 -d 192.168.1.1/32
> > 	/sbin/ipchains -A input -j ACCEPT -p tcp -s 0.0.0.0/0 -d 127.0.0.0/24
> >
>
> Nechcete v tom prvnim pravidle povolit jenom pakety z vnitrni site (a na
> vnitrnim interface) a smerujici kamkoli? To druhy je povoleni loopbacku?
>
> > 	#ze serveru primo
> > 	/sbin/ipchains -A forward -j ACCEPT -s 217.11.225.27/32 -d  0.0.0.0/0
> > 	/sbin/ipchains -A forward -j ACCEPT -s 192.168.1.1/32 -d  0.0.0.0/0
>
> K cemu je tohle? forward by snad mel slouzit pro pakety, ktere jdou od
> jinud jinam, proc tam mate zdroj ip adresu Vaseho pocitace?
>
ty predchozi 4 prikazy byl  (zrejme amatersky blby) pokus o to, aby
pozadavky na muj server (kde bezi apache) nesly pres proxy (nize)
a aby se pozadavky squidu nezacyklily... asi blbost, ale bez toho to taky
nechodi :-(

> > 	#transparentni proxy
> > 	/sbin/ipchains -A input -j REDIRECT 8080 -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 80
> >
> > 	#vsechno ostatni masqueraduj
> > 	/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
> >
> > podle toho, co jsem cetl vsude mozne by melo stacit:
> > 	ipmasqadm portfw -a -P tcp -L 217.11.225.27 110 -R 192.168.1.100 110
> > 	(pro zpristupneni pop3 na 192.168.1.100)
> > ale nestaci :-(
>
> Tohle mam stejne.
>
> > kdyz odnekud zvenku dam telnet 217.11.225.27 110 tak se nic nedeje
> > a kdyz na firewallu dam netstat -M tak to pise:
> >
> > 	tcp   0:57.72 mercury.gjs     <odkud jsem telnetil> pop3 -> 4276 (pop3)
> > 	(mercury.gjs je 192.168.1.100)
> >
>
> No tohle je snad v poradku. Co Vam to dela nebo nedela? Mate tam ten pop3
> server spustenej? Mate na nej povolenej pristup v hosts.allow? Co na to
> logy?
>
no nedela to nic.... na telnetujicim pocitaci (nekde na internetu) se to
tvari uplne mrtve, atelnet musim breaknout. Pritom ze serveru
(192.168.1.1) mi telnet na 192.168.1.100 110 funguje ok, takze v
hosts.allow ani v tom pop3 serveru asi chyba nebude, ne?

> > uz me nic nenapada.... jak mam zjistit zda mam dobre nastaveny kernel?
> > musim zavadet nejake spec. moduly? jake, jak?
> >
>
> Funguje Vam normalni maskarada a vsechno ostatni? Zkontrolujte si to podle
> IPCHAINS-HOWTO a IP-Masquerade-HOWTO.

Maskarada funguje. Cela sit vpohode jede, vsude funguji vsechny protokoly,
drive i www (ted' pres transparentni proxy). Zkousel jsem z tohohle
skriptu vyhazet vsechen balast a nechal jsem tam jen ty flushe na zacatku,
to maskaradujici pravidlo a ten ipmasqadm a vysledek stale stejny...z
vypisu netstat -M (vyse) si myslim, ze ten pop3 se nemuze spojit zpet na
ten telnetujici pocitac??

Hledal jsem vsude mozne a nic nepomaha
nemoh' byste mi nekdo poslat co nejjednodussi sadu prikazu ipchains a
ipmasqadm aby to chodilo? mely by vpodstate stacit ten
ipchains ..... -j MASQ
a ten
ipmasqadm portfw ......
nebo se pletu?

Jak je to s tema modulama? Musim nejak na to forwardovani delat
neco vic s kernelem nez na maskaradu? Maskarada fakt funguje bez problemu


diky za jakoukoliv dalsi pomoc

jirka

Další informace o konferenci Linux