Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: iptables + globax  (Прочитано 11735 раз)
0 Пользователей и 4 Гостей смотрят эту тему.
один юзер
Гость
« : 04-02-2007 07:31 » 

можно ли настроить iptables для ассиметричного спутникового интернета
где наземный инет через gprs + globax?

а то трассировшик показывает одни и те же адреса и порты :
# cat /proc/net/ip_conntrack
udp      17 18 src=172.19.10.221 dst=62.68.95.23 sport=2001 dport=20025 packets=14 bytes=877 [UNREPLIED] src=62.68.95.23 dst=172.19.10.221 sport=20025 dport=2001 packets=0 bytes=0 mark=0 use=1
tcp      6 103 TIME_WAIT src=127.0.0.1 dst=127.0.0.1 sport=52572 dport=3128 packets=10 bytes=1229 src=127.0.0.1 dst=127.0.0.1 sport=3128
и т. д.
dport=52572 packets=10 bytes=12869 [ASSURED] mark=0 use=1
src=172.19.10.221 мой локальный адрес (beeline)
dst=62.68.95.23 адрес сервера SpaceGate(мой провайдер) для globax
sport=2001 порт globax для сервера SpaceGate
dport=20025 порт сервера SpaceGate
dst=127.0.0.1 это адрес программки globax прокси на моем компе
sport=52572 видимо порт браузера
dport=3128 порт globax для локальных программ т.е. те что в моем компе
система ASP Linux 11.2
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 04-02-2007 14:40 » 

один юзер, поробуй поиском поработать - как-то это уже обсуждали.
В кратце, принцип там такой: принмаются пакеты с одного направления (интерфейса), а отправлять ответы нужно по другому маршруту. Настроить это можно, а вот будет ли работать на практике - это зависит от провайдера GPRS - будет ли он пропускать трафик с чужими src ip. Может потребоваться прямое соединение со спутниковым провайдером - физическое или vpn.

Опиши условия подробнее.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
один юзер
Гость
« Ответ #2 : 04-02-2007 19:24 » 

RXL, мне кажется вы не поняли мой вопрос
В кратце, принцип там такой: принмаются пакеты с одного направления (интерфейса), а отправлять ответы нужно по другому маршруту.
у меня программа globax это и организовывает принимает запросы от програмы  на компе сжимает трафик и отправляет через pppd соединение на сервер моего спутникового провайдера тот перенаправляет его на адрес куда он был первоначально предназначен и возвращает ответ ко мне через спутник, его получает програма globax и возвращает програме клиенту, короче globax это прокси программа для организации такого инета , доступна для всех пользователей моего провайдера..

я хотел воспользовать iptables не для организации инета(он у меня работает) а для защиты (как firewall)
Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 05-02-2007 06:32 » 

один юзер, понятно. Про globax не знал.
Как сия прога работает с точки зрения пользователя?
Создает ли она какой-либо интерфейс или работает как прокси-сервер (соотв. у нее ip:port для подключения браузера и пр.) ?

Я так понимаю и написанного, что как прокси. Тогда фильтр ставь на ppp (исходящий) и спутниковом (входящий) интерфейсе.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
один юзер
Гость
« Ответ #4 : 05-02-2007 08:16 » 

да она работает как прокси (127.0.0.1:3128 для подключения браузера)
так в том и дело что у меня исходящие и входящие
идут либо к globax'у от сервера провайдера(для globax'a) либо к  сервера провайдера от globax'а
и соответсвенно от программы(браузера) к globax'у или к программе от  globax'а
ну так я понял глядя на вывод команды:
# cat /proc/net/ip_conntrack
вопрос в том что можно ли что нить сделать iptables'ом
« Последнее редактирование: 15-12-2007 16:06 от Алексей1153++ » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 05-02-2007 10:43 » new

Тогда:
Тогда фильтр ставь на ppp (исходящий) и спутниковом (входящий) интерфейсе.

Названия интерфейсов можно остюда взять:
ip l sh

Ты поясняй, чего не понятно, а то пока мне больше не понятно, что тебе не понятно...
« Последнее редактирование: 05-02-2007 10:46 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
один юзер
Гость
« Ответ #6 : 12-02-2007 21:18 » 

вощем мне непонятно вот что: весь исходящий траффик идет у меня на 62.68.95.23:20025 (сервер провайдера для globax'а)
а входящий ip_адрес_от_билайна:2001 (порт globax'а) как же  фильтровать и защишаться?
« Последнее редактирование: 15-12-2007 16:07 от Алексей1153++ » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 12-02-2007 21:41 » 

Еще раз говорю:
Тогда:
Тогда фильтр ставь на ppp (исходящий) и спутниковом (входящий) интерфейсе.

Т.е. все порты своей машины, которые тебе нужно стрыть от посторонних инетовских глаз, ты должен закрыть на входящем интерфейсе (хотя можно и на обоих - всех деталей реализации я не знаю и лучше подстраховаться).

iptables -A INPUT -i ppp0 .........
iptables -A INPUT -i ???0 .........

Примерно так.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines