Nat точнее
 

вообще задача поставиить на дебиан NAT
чтобы со второго компа (windows xp) можно было в интернет лазать
вот задал такую штуку
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

только как-то странно пашет
например не открывается вот эта страничка больше..
http://www.e-infomax.com/ipmasq/

мне кажется введённой строчки маловато
может ещё что-то конфигурнуть надо?
может в винде ещё что-то надо?

а форвардинг разрешил?
echo 1 > /proc/sys/net/ipv4/ip_forward

ах да.. я это тоже задавал. да.
иначе думаю вообще бы ничего не пахало

А хоть что-то открывается? Что с настройками сети в winxp?

да ы принципи остальное не плохо работает
ICQ и browser как видишь тоже.. иначе не писал быя тут..
но только иногда не так резко и вот не все странички открывает
emul не качает тоже.. только uploadit но это понятно.. потому чтона вход я так понимаю у меня пока всё закрыто?

а с верху заданая страничка..
даже не пингуется "time out"
ни с винды ни с линукса на котором NAT

emul по дефолту через nat кажется не работает...
Остальное - не знаю :idontnow: глюки какие-то наверное, может из-за модемного соединения...

я вот думаю когда servak нестандартно отвечет мой NAT
это не пропускает.. может такое быть?

ещё глюк заметил Icq хреного работает..
часто не доходят сообщения

1. Ti postawil connection trackeri dlya modulya NAT dlya podderjki protokolow peredajushih IP w kachestwe bloka dannih, takih, kak naprimer ICQ, FTP i.t.d?
2. Ti otkril port forwarding dlya emule

ip XP - 192.168.0.1

# Maximum Segment Size (MSS) для Forwarding на PMTU разрешить
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# NAT для IRC
modprobe ip_nat_irc
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6667 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 6667 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 6667 -j ACCEPT

# NAT для EDONKEY
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4661 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4661 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4662 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4662 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4663 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 4663 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.0.1 --dport 4663 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4665 -j DNAT --to-destination 192.168.0.1
iptables -t nat -A POSTROUTING -o eth1 -p udp --dport 4665 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p udp -d 192.168.0.1 --dport 4665 -j ACCEPT

Gennadij spasibo.. osobennosa E-mule
a IRC oka ne polsujus

Wot tolko perwuju stro4ku rasjasnit bi ti mne nemog?
4to ona tworit? i kak s etim:
"iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE "

so4itaetsa?

В Google много иформации на эту тему.....

Ну а если совсем коротко...

Ты посылаешь какй-нибудь запрос в интернет со своего компа. Этот пакет имеет локальный ip-adrress (напр.192.168.0.1) и он не ротируеться в интернете. Прийдя на роутер он проходит через firewall и получает временнй ip-adrress от ppp0 interface'а ( напр. 80.144.45.65 ) ( маскирует локальный ), который ротируеться в интернете и идёт на запрашиваемый сервер. Получив ответ, пакет направляется назад по адресу 80.144.45.65 и проходя через firewall получает оратно свой ip-adrress 192.168.0.1 как цель.
Этот процесс называеться маскарадинг и для этого в firewall вводиться такое правило....

Не пингуется www.e-infomax.com - это значит на firewall'е этого сервера отключён ответ на ping

Да это я всё знаю, спасибо

я же спршиваю что имменно включает твоя строчка...

" iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu " ?

и как можно стереть все записи из iptables одним махом?

нащёт инфомакс фиг с ним что не пингуется..
но он у меня через линукс с NAT не открывается...
а если с XP кабель напрямую в интернет кидаю, то всё ок

iptables -F; iptables -t nat -F; iptables -t mangle -F
- это очистка всех правил iptables

Спасибо коротко и ясно :yees:

остался вопрос со строчкой от Gennadi

Если коротко.....

Каждый Interface имеет специальнцй параметр MTU - Maximum Transfer Unit. Этот параметр определяет какой величины должен быть IP-пакет, чтобы он смог пройти через Interfac роутера.
У различных Interfac'ов MTU может быть разный. В Ethernet-Network часто применяется MTU 1500, а
DSL (напр.) - MTU 1492. Чтобы пакеты с MTU 1492 в интернете ротировалсь - они должны фрагметированы роутером (firewall'ом).
Из-за этого иногда возникают проблемы, так как некоторые Internet-Server'ы не принимают фрагментированные IP-пакеты и сайт этого сервера невиден. Чтобы этого избежать вводят на Linux-Router такое правило, которое приспосабливает IP-пакеты к таким серверам.

Спасибо становится яснее...
тоесть мой XP посылает пакеты.. длинной 1500 а linux с NAT переделывает, тоесть рубит(врагментирует) их под 1492, так? но значит с моего линуксовского интерфейса к провайдеру пакеты и уходят с MTU 1492, чтобы пройти по DSL. А на сколько я знаю роутеры в интернете MTU не повышают..
как же тогда это команда конкретно работает если до капризных серваков датагрымы c 1492 MTU доходят или где я не правильно сужу?
А может это важно для принимаемых моим линуксом датаграм?

теперь эта страничка у меня открывается..!!

Вышеуказаные Gennadi настройки, это для еDonkey

а для моего Emula
немного другие порты нужны не мог бы кто помоч пожалуйста..
написать тут iptables правила.. для следующих сооединений и портов:
(содиненеие в интеренет ppp0 по eth1, a eth0 ведёт к компьютеру с emule, адрес компьютера с emule 192.168.1.2)
1) Local Port: 4662
Remote Port: each
Protokoll: TCP
Direktion: ingoing
Funktion: Client Port / Verbindung von anderen Clients, Quellentausch zwischen Clients

2) Local Port: each
Remote Port: 4662
Protokoll: TCP
Richtung: outgoing
Funktion: Client Port / Verbindung zu anderen Clients, Quellentausch zwischen Clients

3) Local Port: 4672
Remote Port: each
Protokoll: UDP
Richtung: ingoing
Funktion: Quellentausch zwischen Clients / erweitertes eMule Protokoll, Queue Rating, File Reask Ping


4) Local Port: each
Remote Port: 4672
Protokoll: UDP
Richtung: outgoing
Funktion: Quellentausch zwischen Clients / erweitertes eMule Protokoll, Queue Rating, File Reask Ping

5) Local Port: each
Remote Port: 4661
Protokoll: TCP
Richtung: outgoing
Funktion: Verbindung zum Server

6) Local Port: each
Remote Port: 4665
Protokoll: UDP
Richtung: outgoing
Funktion: Quellensuche auf Servern


7) Local Port: 4711
Remote Port: jeder
Protokoll: TCP
Richtung: ingoing
Funktion: Verbindungsport des Webservers

Нужно открыть порты только для входящих соединений.

====================================================================== ====
# Определение ip eth0
LAN_IP=$(ifconfig eth0 | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)

#1) Local Port: 4662
#Remote Port: each
#Protokoll: TCP
#Direktion: ingoing
#Funktion: Client Port / Verbindung von anderen Clients, Quellentausch zwischen Clients
#
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 4662 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.2 --dport 4662 -j ACCEPT

# 3) Local Port: 4672
#Remote Port: each
#Protokoll: UDP
#Richtung: ingoing
#Funktion: Quellentausch zwischen Clients / erweitertes eMule Protokoll, Queue Rating, File Reask # #Ping
#
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 4672 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p udp -d 192.168.1.2 --dport 4672 -j ACCEPT

#7) Local Port: 4711
#Remote Port: jeder
#Protokoll: TCP
#Richtung: ingoing
#Funktion: Verbindungsport des Webservers
#
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4711 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 4711 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.2 --dport 4711 -j ACCEPT
====================================================================== =======

спасибо! буду пробовать;)
Только ты уверен что перед LAN_IP= бла бла
не надо "$" поставить?
я так понимаю это мне в скрипт файл надо добавить и при
реконекте к интеренету скрипт заного выполнять?

протестировал!
Emule теперь вовсю сосёт!!
Gennadi вам личное, огромное спасибо! :yees: :yees: :beer:

появилась новая задача..
знаете наверное по ICQ файлы передавать можно..
так вот как будет выглядеть такой FORWARD c iptables чтоб я мог получать файлы?
Честно говоря я даже порта не знаю, который в ICQ для этого используется.
заранее спасибо

modprobe ip_nat_irc
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6667 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 6667 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i ppp0 -m state --state NEW -p tcp -d 192.168.1.2 --dport 6667 -j ACCEPT

и снова большое спасибо!
буду пробовать

Всё-же с этим правилом я не могу получать файлы по ICQ
только посылать :((

если ничего не помогает надо таки занятся матчастью :)
есть же iptables-tutorial
http://gazette.linux.ru.net/rus/arti...-tutorial.html

я уже его распечатал.. все никак не прочту... :))

что то ненарыть даже инфу
по каким портам ICQ файлы кидает...
эээх..