Nat точнее

[shuron]

вообще задача поставиить на дебиан NAT
чтобы со второго компа (windows xp) можно было в интернет лазать
вот задал такую штуку
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

только как-то странно пашет
например не открывается вот эта страничка больше..
http://www.e-infomax.com/ipmasq/

мне кажется введённой строчки маловато
может ещё что-то конфигурнуть надо?
может в винде ещё что-то надо?

[lyuq]

а форвардинг разрешил?
echo 1 > /proc/sys/net/ipv4/ip_forward

[shuron]

ах да.. я это тоже задавал. да.
иначе думаю вообще бы ничего не пахало

[lyuq]

А хоть что-то открывается? Что с настройками сети в winxp?

[shuron]

да ы принципи остальное не плохо работает
ICQ и browser как видишь тоже.. иначе не писал быя тут..
но только иногда не так резко и вот не все странички открывает
emul не качает тоже.. только uploadit но это понятно.. потому чтона вход я так понимаю у меня пока всё закрыто?

[shuron]

а с верху заданая страничка..
даже не пингуется "time out"
ни с винды ни с линукса на котором NAT

[lyuq]

emul по дефолту через nat кажется не работает...
Остальное - не знаю глюки какие-то наверное, может из-за модемного соединения...

[shuron]

я вот думаю когда servak нестандартно отвечет мой NAT
это не пропускает.. может такое быть?

[shuron]

ещё глюк заметил Icq хреного работает..
часто не доходят сообщения

[helldomain]

1. Ti postawil connection trackeri dlya modulya NAT dlya podderjki protokolow peredajushih IP w kachestwe bloka dannih, takih, kak naprimer ICQ, FTP i.t.d?
2. Ti otkril port forwarding dlya emule

[Gennadi]

ip XP - 192.168.0.1

# Maximum Segment Size (MSS) для Forwarding на PMTU разрешить
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# NAT для IRC
modprobe ip_nat_irc
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6667 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 6667 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 6667 -j ACCEPT

# NAT для EDONKEY
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4661 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4661 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4662 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4662 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4663 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4663 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4663 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4665 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p udp --dport 4665 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p udp -d 192.168.0.1 --dport 4665 -j ACCEPT

[shuron]

Gennadij spasibo.. osobennosa E-mule
a IRC oka ne polsujus

Wot tolko perwuju stro4ku rasjasnit bi ti mne nemog?
4to ona tworit? i kak s etim:
"iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE "

so4itaetsa?

[Gennadi]

В Google много иформации на эту тему.....

Ну а если совсем коротко...

Ты посылаешь какй-нибудь запрос в интернет со своего компа. Этот пакет имеет локальный ip-adrress (напр.192.168.0.1) и он не ротируеться в интернете. Прийдя на роутер он проходит через firewall и получает временнй ip-adrress от ppp0 interface'а ( напр. 80.144.45.65 ) ( маскирует локальный ), который ротируеться в интернете и идёт на запрашиваемый сервер. Получив ответ, пакет направляется назад по адресу 80.144.45.65 и проходя через firewall получает оратно свой ip-adrress 192.168.0.1 как цель.
Этот процесс называеться маскарадинг и для этого в firewall вводиться такое правило....

Не пингуется www.e-infomax.com - это значит на firewall'е этого сервера отключён ответ на ping

[shuron]

Да это я всё знаю, спасибо

я же спршиваю что имменно включает твоя строчка...

" iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu " ?

и как можно стереть все записи из iptables одним махом?

нащёт инфомакс фиг с ним что не пингуется..
но он у меня через линукс с NAT не открывается...
а если с XP кабель напрямую в интернет кидаю, то всё ок

[lyuq]

iptables -F; iptables -t nat -F; iptables -t mangle -F
- это очистка всех правил iptables

[shuron]

Спасибо коротко и ясно

остался вопрос со строчкой от Gennadi

[Gennadi]

Если коротко.....

Каждый Interface имеет специальнцй параметр MTU - Maximum Transfer Unit. Этот параметр определяет какой величины должен быть IP-пакет, чтобы он смог пройти через Interfac роутера.
У различных Interfac'ов MTU может быть разный. В Ethernet-Network часто применяется MTU 1500, а
DSL (напр.) - MTU 1492. Чтобы пакеты с MTU 1492 в интернете ротировалсь - они должны фрагметированы роутером (firewall'ом).
Из-за этого иногда возникают проблемы, так как некоторые Internet-Server'ы не принимают фрагментированные IP-пакеты и сайт этого сервера невиден. Чтобы этого избежать вводят на Linux-Router такое правило, которое приспосабливает IP-пакеты к таким серверам.

[shuron]

Спасибо становится яснее...
тоесть мой XP посылает пакеты.. длинной 1500 а linux с NAT переделывает, тоесть рубит(врагментирует) их под 1492, так? но значит с моего линуксовского интерфейса к провайдеру пакеты и уходят с MTU 1492, чтобы пройти по DSL. А на сколько я знаю роутеры в интернете MTU не повышают..
как же тогда это команда конкретно работает если до капризных серваков датагрымы c 1492 MTU доходят или где я не правильно сужу?
А может это важно для принимаемых моим линуксом датаграм?

[shuron]

теперь эта страничка у меня открывается..!!

[shuron]

Вышеуказаные Gennadi настройки, это для еDonkey

а для моего Emula
немного другие порты нужны не мог бы кто помоч пожалуйста..
написать тут iptables правила.. для следующих сооединений и портов:
(содиненеие в интеренет ppp0 по eth1, a eth0 ведёт к компьютеру с emule, адрес компьютера с emule 192.168.1.2)
1) Local Port: 4662
Remote Port: each
Protokoll: TCP
Direktion: ingoing
Funktion: Client Port / Verbindung von anderen Clients, Quellentausch zwischen Clients

2) Local Port: each
Remote Port: 4662
Protokoll: TCP
Richtung: outgoing
Funktion: Client Port / Verbindung zu anderen Clients, Quellentausch zwischen Clients

3) Local Port: 4672
Remote Port: each
Protokoll: UDP
Richtung: ingoing
Funktion: Quellentausch zwischen Clients / erweitertes eMule Protokoll, Queue Rating, File Reask Ping


4) Local Port: each
Remote Port: 4672
Protokoll: UDP
Richtung: outgoing
Funktion: Quellentausch zwischen Clients / erweitertes eMule Protokoll, Queue Rating, File Reask Ping

5) Local Port: each
Remote Port: 4661
Protokoll: TCP
Richtung: outgoing
Funktion: Verbindung zum Server

6) Local Port: each
Remote Port: 4665
Protokoll: UDP
Richtung: outgoing
Funktion: Quellensuche auf Servern


7) Local Port: 4711
Remote Port: jeder
Protokoll: TCP
Richtung: ingoing
Funktion: Verbindungsport des Webservers