Iptables протокол GRE
Автор: bassilov Дата: 02.06.2003 11:26
У меня в одной конторке стоит роутер P133 32 Mb, занимается роутингом интернета на 4 локальных сетевки (мини провайдер). Плюс к рутингу он делал проброски на вебсерервера внутри сети и пробрасывала на мелкософтовский VPN (проброс порта 1723 и протокола GRE)
Стояла на нем FreeBSD 4.5 и прекрасно справлялась со всем этим, вот только начал сыпаться винт. Я почитал, что iptqbles это тоже умеет и решил поставить туда ASP. Поставил ASP 7.2 - протокол GRE не ловит, взял ядро из апдейтов, все равно не ловит, потихоньку проапдейдил ключевые пакеты на ASP 7.3 - не ловит. Скачал некий patch-o-matic - ядро не перекомпилислось (4 часа компиления коту под хвост). Где-то в инете нашел, что сия проблема вылечена в ядре 2.4.20. По сему вопрос, в ASP 9 это вылечено?
Очень не хочется ядро перекомпилить (занимает кучу времени, а я это делаю из дома по момеду). Ставить опять BSD - не хочется (хочется всяких приятнойтей от iptables).
В обзем нужно чтобы работала следующая конструкция:
1) все что приходит на адрес x.x.x.x на порт 1723 пробрасывать на y.y.y.y порт 1723;
2) все что приходит по протоколу GRE (47ой протокол) на адрес x.x.x.x пробрасывать на y.y.y.y.
Сообщение отредактировано (2 Июн, 11:29)
С уважением,
Александр
Стояла на нем FreeBSD 4.5 и прекрасно справлялась со всем этим, вот только начал сыпаться винт. Я почитал, что iptqbles это тоже умеет и решил поставить туда ASP. Поставил ASP 7.2 - протокол GRE не ловит, взял ядро из апдейтов, все равно не ловит, потихоньку проапдейдил ключевые пакеты на ASP 7.3 - не ловит. Скачал некий patch-o-matic - ядро не перекомпилислось (4 часа компиления коту под хвост). Где-то в инете нашел, что сия проблема вылечена в ядре 2.4.20. По сему вопрос, в ASP 9 это вылечено?
Очень не хочется ядро перекомпилить (занимает кучу времени, а я это делаю из дома по момеду). Ставить опять BSD - не хочется (хочется всяких приятнойтей от iptables).
В обзем нужно чтобы работала следующая конструкция:
1) все что приходит на адрес x.x.x.x на порт 1723 пробрасывать на y.y.y.y порт 1723;
2) все что приходит по протоколу GRE (47ой протокол) на адрес x.x.x.x пробрасывать на y.y.y.y.
Сообщение отредактировано (2 Июн, 11:29)
С уважением,
Александр
Re: iptables протокол GRE 02.06.2003 13:28 — МихаилZ
когда имеете дело с iptables лучше использовать самое последнее ядро - 2.4.21-rc6
Насчет того что долго компилится - компилите на быстрой машине, а на медленную надо будет просто перебросить
/boot/vmlinuz-[версия] и /lib/modules/[версия]
Насчет established по моему опыту надо делать так
[0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[0:0] -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Если не указать 2 цепочку то не фига не работает
Насчет цепочек - эти не работают?
-A PREROUTING -p tcp -m tcp -d x.x.x.x --dport 1723 -j DNAT --to-destination y.y.y.y:1723
-A PREROUTING -p 47 -j DNAT --to-destination y.y.y.y
Насчет того что долго компилится - компилите на быстрой машине, а на медленную надо будет просто перебросить
/boot/vmlinuz-[версия] и /lib/modules/[версия]
Насчет established по моему опыту надо делать так
[0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[0:0] -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Если не указать 2 цепочку то не фига не работает
Насчет цепочек - эти не работают?
-A PREROUTING -p tcp -m tcp -d x.x.x.x --dport 1723 -j DNAT --to-destination y.y.y.y:1723
-A PREROUTING -p 47 -j DNAT --to-destination y.y.y.y
Re: iptables протокол GRE 02.06.2003 14:39 — SOVA
Цепочки:
именно такие и всего их две и они неработают, поскольку нужно прописать ESTABLISHED видимо как Вы и предложили. Пока небыло время проверить...
именно такие и всего их две и они неработают, поскольку нужно прописать ESTABLISHED видимо как Вы и предложили. Пока небыло время проверить...
Re: iptables протокол GRE 02.06.2003 20:40 — Vladimir Dyakov
Не работают, потому что надо ядро с иптаблами, форвардингом и т.п. собирать.
make menuconfig, опции в Networking options:
Packet socket
Network packet filtering (replaces ipchains)
TCP/IP networking
IP: TCP syncookie support (disabled per default)
make menuconfig, опции в Networking options:
Packet socket
Network packet filtering (replaces ipchains)
TCP/IP networking
IP: TCP syncookie support (disabled per default)
Re: iptables протокол GRE 03.06.2003 09:09 — МихаилZ
Нас самом деле там опций надо до дури включить (в netfilter config) - читайте вдумчиво помощь по кажой
Опять таки нужно 2.4.21-rc5 c www.kernel.org !!!!!!!!!!!!!!
iptables из 7.3 не подойдет !!!!!!! качайте с www.netfilter.org свежие и компилите их после компимляции ядра
Опять таки нужно 2.4.21-rc5 c www.kernel.org !!!!!!!!!!!!!!
iptables из 7.3 не подойдет !!!!!!! качайте с www.netfilter.org свежие и компилите их после компимляции ядра
- 2593 просмотра
Вход в систему
Фото из альбома
У меня подобного же рода проблема и мне неудалось нормально ее решить! К сожалению я не очень хорошо разбираюсь в iptables, но могу предложить Вам некие варианты:
1. на самом деле для организации прохождения пакетов pptp (именно это и есть 47 протокол) нужно три правила, так по крайней мере написано тут: [www.microsoft.com]
Нужно некое TCP [established] соединение пропускать... но вот с этим у меня проблемы, поэтому этот вариант у меня не работает.
2. Нашел я тут недавно простую программку, называется pptpproxy. Она корректно редиректит что нужно и куда нужно. Найти можно на [freshmeat.net]
Хотелось бы конечно решить проблему по первому варианту.
На этом все.