Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-01-26 14:08:40

  smaj - Nowy użytkownik

smaj
Nowy użytkownik
Zarejestrowany: 2011-01-26

IMQ i definicja dst/src

Witam

Załatałem kernel Debiana Squeeze stosownymi łatami IMQ (ustawienie AB). Wszystko ładnie, fajnie się skomplikowało i przystąpiłem do konfiguracji.

Chcę określać z której i do której podsieci jest zbierany ruch do odpowiednich IMQ. Rozumiem, że jeżeli dałem AB czyli After NAT Prerouting i Before NAT Postrouting to będę widział w preroutingu źródłowe adresy, które przyszły ze świata ,a w postroutingu zródłowe adresy, które będę widział przed zanatowaniem i wysłąniem w świat.

Robię w to w ten sposób:

Kod:

${IPTABLES} -t mangle -A POSTROUTING -o ${EXT_INTERFACE}  -j IMQ --todev 1
${IPTABLES} -t mangle -A PREROUTING -i ${EXT_INTERFACE} -j IMQ --todev 0

Robiąc: iptables -t mangle -L -v widzę, że w postroutingu wpadają pakiety do reguły imq, a natomiast w preroutingu zupełny brak ruchu. Zapewne błąd jest w moim rozumowaniu (brak doświadczenia z IMQ) :)

Będę wdzięczny jakby ktoś mógł mi pomógł to rozwiązać.

Offline

 

#2  2011-01-26 14:38:26

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: IMQ i definicja dst/src

smaj napisał(-a):

${IPTABLES} -t mangle -A POSTROUTING -o ${EXT_INTERFACE}  -j IMQ --todev 1
${IPTABLES} -t mangle -A PREROUTING -i ${EXT_INTERFACE} -j IMQ --todev 0

nie masz może przed regółką z PREROUTINGIEM jakiejś innej pasującej??
pokaż wynik:

Kod:

iptables -t mangle -nL --line-numbers

Offline

 

#3  2011-01-26 15:00:46

  smaj - Nowy użytkownik

smaj
Nowy użytkownik
Zarejestrowany: 2011-01-26

Re: IMQ i definicja dst/src

Niestety to nie to - są to jedyne reguły w tej tabeli.

Offline

 

#4  2011-01-26 15:50:16

  Nicram - Użytkownik

Nicram
Użytkownik
Zarejestrowany: 2006-03-28

Re: IMQ i definicja dst/src

pokaż

Kod:

iptables -t mangle -nvL --line-numbers

będziemy wiedzieli czy napewno nic tam nie trafia

Offline

 

#5  2011-01-26 15:50:40

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: IMQ i definicja dst/src

Temat: IMQ i definicja dst/src

A tak nie działa?

Kod:

${IPTABLES} -t mangle -A POSTROUTING -o ${EXT_INTERFACE}  -d nasza-klasa.pl  -j IMQ --todev 1
${IPTABLES} -t mangle -A PREROUTING -i ${EXT_INTERFACE} -s gadu-gadu.pl  -j IMQ --todev 0

http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables

Co do nie wpadania pakietów w łańcuchu PREROUTING, to:
czy pakiety giną całkowicie, czy internet działa, ale omijają IMQ?
Czy przy kompilacji kernela i iptables z patchami IMQ pojawiały się jakieś błędy.
I dodatkowo wersje kernela, iptables i łat IMQ - mile widziane.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-01-26 15:56:46)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2011-01-26 16:21:13

  smaj - Nowy użytkownik

smaj
Nowy użytkownik
Zarejestrowany: 2011-01-26

Re: IMQ i definicja dst/src

Co do nie wpadania pakietów w łańcuchu PREROUTING, to:
czy pakiety giną całkowicie, czy internet działa, ale omijają IMQ?
Czy przy kompilacji kernela i iptables z patchami IMQ pojawiały się jakieś błędy.
I dodatkowo wersje kernela, iptables i łat IMQ - mile widziane.

Ruch sieciowy działa, po prostu nie wpada do odpowiedniej reguły iptables. Błędów podczas kompilacji czy patchowania nie było. Wersja jądra 2.6.32-30 z repo Debiana, iptables 1.4.8-3, łatki na iptables 1.4.6 (brak błędów przy kompilacji i patchowaniu), na jądro linux-2.6.32-imq-test2.

iptables -t mangle -nvL --line-numbers

Kod:

Chain PREROUTING (policy ACCEPT 2094 packets, 338K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 IMQ        all  --  eth0   *       0.0.0.0/0            10.122.21.0/24      IMQ: todev 0

Chain INPUT (policy ACCEPT 698 packets, 71693 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 968 packets, 152K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 487 packets, 95736 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 1455 packets, 247K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      489 46519 IMQ        all  --  *      eth0    10.122.21.0/24       0.0.0.0/0           IMQ: todev 1

Ostatnio edytowany przez smaj (2011-01-26 16:25:31)

Offline

 

#7  2011-02-18 11:05:00

  madmax - Użytkownik

madmax
Użytkownik
Skąd: Bytom
Zarejestrowany: 2011-02-07

Re: IMQ i definicja dst/src

nie prosciej:

Kod:

$IPT -t mangle -A FORWARD -i INT_DEV -j IMQ --todev 0
$IPT -t mangle -I FORWARD -i EXT_DEV -j IMQ --todev 1

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)