LINUXSOFT.cz
Nazwa użytkownika: Hasło:     
    CZ UK PL

> Komentarze :: Poradna SNAT a služby

SNAT a služby 20.8.2006 23:11
Milan Onderka

Mám problém. Používám WRT-311 v režimu NAT router, nastaven mám forward portů v rozsahu 1 - 65535, konečně jsem se dočkal firmwaru, který umožňuje vypnout SNAT (při zapnutém mi to přepisovalo všechny IP adresy příchozích paketů na IP routeru tj. 192.168.1.1 a vypnutí SNAT to mělo údajně zastavit). Kámen úrazu je že pokud teď nastavím port forward bez SNAT tak mi firewall nenechá nikoho připojit (pokud nastavim bez SNAT TCP tak se nic neděje, ale pokud zakážu SNAT u UDP tak služba nechodí). Pokud ale u UDP nechám SNAT povolen jsem zas tam kde předtím - služby fungují ale v logách mám všude místo IP adresy uživatele IP adresu routeru 192.168.1.1.. nevíte někdo v čem je problém popř. jak dostanu z paketů jejich skutečnou IP adresu (výrobce routeru mi tvrdí že to jde i bez toho SNAT pravidla..)

Omlouvám se že to vylepuju tady, ale na ábíčku mi nikdo nic neporadil (zatím)--

Re: SNAT a služby 21.8.2006 10:54
Ondřej Čečák

Chapu to spravne, ze NATujete a forwardujete plny rozsah portu najednou? Trochu se divim, ze to funguje ...

Re: SNAT a služby 21.8.2006 14:31
Milan Onderka

tohle mi doporučil výrobce firmwaru.. umožnil vypnout SNAT jenom u ručního port forwardu.. (u DMZ to nejde)..

pokud vypnu SNAT u TCP protokolu tak vše funguje jenže v access logu na apachi mám stejně jenom IP adresy toho routeru.. když vypnu SNAT u UDP tak by to mělo funguvat ale nefunguje.. server normálně pingnu ale když se připojím např. přes telnet k portu 80 tak se nepřípojí.. (hodí po čase timeout)..

Re: SNAT a služby 21.8.2006 16:16
Ondřej Čečák

Zkuste si spustit tcpdump (mimochodem NAT a vypinani SNATu vam nebude fungovat), uvidite, kde je problem -- neni to treba tak, ze packety prochazi jenom jednim smerem?

Re: SNAT a služby 21.8.2006 20:39
Milan Onderka

No z toho výstupu tcpdump jsem trochu jalovej, ale všechna komunikace je jenom na úrovni routeru.. žádná jiná IP adresa kromě 192.168.1.1 (router), 192.168.1.50 (server) a 192.168.1.52 (notebook nikde nefiguruje) zkoušel jsem to s vypnutým SNAT a připojit se k routeru zvenčí.. samozřejmě to něšlo..

BTW výrobce mi tvrdí že je možné zjistit z paketu zdrojovou IP i přes ten NAT. Ale nevím jak na to.. potřebuju, aby mi hlavně fungovali pořádně logy na apachi..

Re: SNAT a služby 22.8.2006 01:19
Aleš Hakl

To je tim, ze tcpdump umi poslouchat jenom na jednom rozhrani, volba -i, pokud mnu zadne nedate, pouzije prvni nakonfigurovane, tj. ve vasem pripade eth0.

Zjistit zdrojovou IP i pres NAT jde v pripade, ze ta IP je nasana take nekde jinde nez iphdr.saddr, ktere je prepisovano tim NATem, typicky nekde v aplikacnim protokolu (ICQ, nejruznejsi P2P, aktivni FTP...). Poznamenejme, ze to tedy v obecnem pripade nelze. Nicmene analyzou odchazejicich paketu se da pomerne spolehlive odhadnout, jestli IP patri jednomu pocitaci, nebo se za ni skryva NATovana sit.

Re: SNAT a služby 21.8.2006 21:00
Milan Onderka

Trochu jsem dělal pokusy.. ten router umožňuje zakázat přepis SNAT zvlášť pro TCP i pro UDP a pro jednotlivé porty pod těmito protokoly. Když zakážu přepis SNAT u TCP tak vše funguje tak jak má, pokud to udělám u UDP tak nefunguje nic. Problém je že pokud zakážu přepis SNAT jen u TCP tak si ničím nepomůžu, protože v logách mám pořád místo IP adresy odesílatele požadavku IP adresu routeru..
Zkoušel jsem kdysi jiný router a tam bylo nastavení port forwardingu bez nějakých zákazů SNAT a v logách jsem měl vždy IP adresu odesílatele požadavku..

Jinak pokud přepis SNAT zakážu tak je komunikace obousměrná.. prblém je ve chvíli, kdy se chce někdo nový ke službě připojit. Pokud je připojen ve chvíli kdy ten přepis SNAT zakážu tak s ním běží komunikace obousměrně vesele dál..

Nešlo by i se zapnutým přepisem SNAT na routeru nějak na serveru vytáhnout z těch paketů zdrojovou IP adresu??.. co třeba nastavení firewalu, nebo síťové karty?? Ještě podotýkám že distro je Mandriva 2006

Re: SNAT a služby 29.8.2006 16:07
Tomas D

... myslim, ze by bolo dobre si uvedomit ako veci pracuju a potom klast poziadavky, ked nieco chces neznamena to ze sa to da aj spravit. Hore ti uz bolo povedane, ze router prepisuje zdrojovu IP adresu v hlavicke a to preto, aby ten paket bol v lokalnej sieti dajme tomu pouzitelny, zase to vychadza z toho ako TCP/IP funguje. (Iny pripad teda je ked pakety maju tuto informaciu aj niekde inde, ale to je par protokolov.) Takze podla mna chces spravit nerealnu vec s tym tvojim HW.

Re: SNAT a služby 31.8.2006 16:45
Milan Onderka

Problém vyřešen.. nastavil jsem ten router jenom jako bridge.. a IP s DMZ nakonfiguroval na routeru o uroveň výše.. BTW.. jak je tedy možné, že ADSL modem - router, ke kterému mám ten druhý připojený mi ty zdrojové IP nepřepisuje?? (viz. stats.kuchynak.net)... ADSL modem - router je SpeedTouch510i, druhý router (ten, který měl problémy) je WRT-311.


KOMENTARZE
SNAT a služby 20.8.2006 23:11 Milan Onderka
  L Re: SNAT a služby 21.8.2006 10:54 Ondřej Čečák
    L Re: SNAT a služby 21.8.2006 14:31 Milan Onderka
      L Re: SNAT a služby 21.8.2006 16:16 Ondřej Čečák
        |- Re: SNAT a služby 21.8.2006 20:39 Milan Onderka
        | L Re: SNAT a služby 22.8.2006 01:19 Aleš Hakl
        L Re: SNAT a služby 21.8.2006 21:00 Milan Onderka
          L Re: SNAT a služby 29.8.2006 16:07 Tomas D
            L Re: SNAT a služby 31.8.2006 16:45 Milan Onderka
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
> Szukanie oprogramowania
1. Pacman linux
Download: 4879x
2. FreeBSD
Download: 9067x
3. PCLinuxOS-2010
Download: 8564x
4. alcolix
Download: 10949x
5. Onebase Linux
Download: 9661x
6. Novell Linux Desktop
Download: 0x
7. KateOS
Download: 6244x

1. xinetd
Download: 2413x
2. RDGS
Download: 937x
3. spkg
Download: 4760x
4. LinPacker
Download: 9967x
5. VFU File Manager
Download: 3199x
6. LeftHand Mała Księgowość
Download: 7203x
7. MISU pyFotoResize
Download: 2808x
8. Lefthand CRM
Download: 3563x
9. MetadataExtractor
Download: 0x
10. RCP100
Download: 3121x
11. Predaj softveru
Download: 0x
12. MSH Free Autoresponder
Download: 0x
©Pavel Kysilka - 2003-2024 | mailatlinuxsoft.cz | Design: www.megadesign.cz