LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Diskuze: Poradna SNAT a služby

SNAT a služby
(link)
20.8.2006 23:11
Milan Onderka
Věk: ( ~41 let)

Mám problém. Používám WRT-311 v režimu NAT router, nastaven mám forward portů v rozsahu 1 - 65535, konečně jsem se dočkal firmwaru, který umožňuje vypnout SNAT (při zapnutém mi to přepisovalo všechny IP adresy příchozích paketů na IP routeru tj. 192.168.1.1 a vypnutí SNAT to mělo údajně zastavit). Kámen úrazu je že pokud teď nastavím port forward bez SNAT tak mi firewall nenechá nikoho připojit (pokud nastavim bez SNAT TCP tak se nic neděje, ale pokud zakážu SNAT u UDP tak služba nechodí). Pokud ale u UDP nechám SNAT povolen jsem zas tam kde předtím - služby fungují ale v logách mám všude místo IP adresy uživatele IP adresu routeru 192.168.1.1.. nevíte někdo v čem je problém popř. jak dostanu z paketů jejich skutečnou IP adresu (výrobce routeru mi tvrdí že to jde i bez toho SNAT pravidla..)

Omlouvám se že to vylepuju tady, ale na ábíčku mi nikdo nic neporadil (zatím)--

Re: SNAT a služby
(link)
21.8.2006 10:54
Ondřej Čečák (TEAM)
Věk: ( ~38 let)

Chapu to spravne, ze NATujete a forwardujete plny rozsah portu najednou? Trochu se divim, ze to funguje ...

Re: SNAT a služby
(link)
21.8.2006 14:31
Milan Onderka
Věk: ( ~41 let)

tohle mi doporučil výrobce firmwaru.. umožnil vypnout SNAT jenom u ručního port forwardu.. (u DMZ to nejde)..

pokud vypnu SNAT u TCP protokolu tak vše funguje jenže v access logu na apachi mám stejně jenom IP adresy toho routeru.. když vypnu SNAT u UDP tak by to mělo funguvat ale nefunguje.. server normálně pingnu ale když se připojím např. přes telnet k portu 80 tak se nepřípojí.. (hodí po čase timeout)..

Re: SNAT a služby
(link)
21.8.2006 16:16
Ondřej Čečák (TEAM)
Věk: ( ~38 let)

Zkuste si spustit tcpdump (mimochodem NAT a vypinani SNATu vam nebude fungovat), uvidite, kde je problem -- neni to treba tak, ze packety prochazi jenom jednim smerem?

Re: SNAT a služby
(link)
21.8.2006 20:39
Milan Onderka
Věk: ( ~41 let)

No z toho výstupu tcpdump jsem trochu jalovej, ale všechna komunikace je jenom na úrovni routeru.. žádná jiná IP adresa kromě 192.168.1.1 (router), 192.168.1.50 (server) a 192.168.1.52 (notebook nikde nefiguruje) zkoušel jsem to s vypnutým SNAT a připojit se k routeru zvenčí.. samozřejmě to něšlo..

BTW výrobce mi tvrdí že je možné zjistit z paketu zdrojovou IP i přes ten NAT. Ale nevím jak na to.. potřebuju, aby mi hlavně fungovali pořádně logy na apachi..

Re: SNAT a služby
(link)
22.8.2006 01:19
Aleš Hakl
Bydliště: Praha

To je tim, ze tcpdump umi poslouchat jenom na jednom rozhrani, volba -i, pokud mnu zadne nedate, pouzije prvni nakonfigurovane, tj. ve vasem pripade eth0.

Zjistit zdrojovou IP i pres NAT jde v pripade, ze ta IP je nasana take nekde jinde nez iphdr.saddr, ktere je prepisovano tim NATem, typicky nekde v aplikacnim protokolu (ICQ, nejruznejsi P2P, aktivni FTP...). Poznamenejme, ze to tedy v obecnem pripade nelze. Nicmene analyzou odchazejicich paketu se da pomerne spolehlive odhadnout, jestli IP patri jednomu pocitaci, nebo se za ni skryva NATovana sit.

Re: SNAT a služby
(link)
21.8.2006 21:00
Milan Onderka
Věk: ( ~41 let)

Trochu jsem dělal pokusy.. ten router umožňuje zakázat přepis SNAT zvlášť pro TCP i pro UDP a pro jednotlivé porty pod těmito protokoly. Když zakážu přepis SNAT u TCP tak vše funguje tak jak má, pokud to udělám u UDP tak nefunguje nic. Problém je že pokud zakážu přepis SNAT jen u TCP tak si ničím nepomůžu, protože v logách mám pořád místo IP adresy odesílatele požadavku IP adresu routeru..
Zkoušel jsem kdysi jiný router a tam bylo nastavení port forwardingu bez nějakých zákazů SNAT a v logách jsem měl vždy IP adresu odesílatele požadavku..

Jinak pokud přepis SNAT zakážu tak je komunikace obousměrná.. prblém je ve chvíli, kdy se chce někdo nový ke službě připojit. Pokud je připojen ve chvíli kdy ten přepis SNAT zakážu tak s ním běží komunikace obousměrně vesele dál..

Nešlo by i se zapnutým přepisem SNAT na routeru nějak na serveru vytáhnout z těch paketů zdrojovou IP adresu??.. co třeba nastavení firewalu, nebo síťové karty?? Ještě podotýkám že distro je Mandriva 2006

Re: SNAT a služby
(link)
29.8.2006 16:07
Tomas D

... myslim, ze by bolo dobre si uvedomit ako veci pracuju a potom klast poziadavky, ked nieco chces neznamena to ze sa to da aj spravit. Hore ti uz bolo povedane, ze router prepisuje zdrojovu IP adresu v hlavicke a to preto, aby ten paket bol v lokalnej sieti dajme tomu pouzitelny, zase to vychadza z toho ako TCP/IP funguje. (Iny pripad teda je ked pakety maju tuto informaciu aj niekde inde, ale to je par protokolov.) Takze podla mna chces spravit nerealnu vec s tym tvojim HW.

Re: SNAT a služby
(link)
31.8.2006 16:45
Milan Onderka
Věk: ( ~41 let)

Problém vyřešen.. nastavil jsem ten router jenom jako bridge.. a IP s DMZ nakonfiguroval na routeru o uroveň výše.. BTW.. jak je tedy možné, že ADSL modem - router, ke kterému mám ten druhý připojený mi ty zdrojové IP nepřepisuje?? (viz. stats.kuchynak.net)... ADSL modem - router je SpeedTouch510i, druhý router (ten, který měl problémy) je WRT-311.

DISKUZE

SNAT a služby 20.8.2006 23:11 Milan Onderka
  L Re: SNAT a služby 21.8.2006 10:54 Ondřej Čečák
    L Re: SNAT a služby 21.8.2006 14:31 Milan Onderka
      L Re: SNAT a služby 21.8.2006 16:16 Ondřej Čečák
        |- Re: SNAT a služby 21.8.2006 20:39 Milan Onderka
        | L Re: SNAT a služby 22.8.2006 01:19 Aleš Hakl
        L Re: SNAT a služby 21.8.2006 21:00 Milan Onderka
          L Re: SNAT a služby 29.8.2006 16:07 Tomas D
            L Re: SNAT a služby 31.8.2006 16:45 Milan Onderka




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze