IPTABLES kérdés

Linux-haladó

IPTABLES kérdés

  • 1075 megtekintés

( qzy | 2003. 05. 07., sze – 09:37 )

Szia,

[quote:0c24fe7eaa="Anonymous"]

Azt kene megoldanom, hogy egy 2 halokartyas linux ataresszen magan minden forgalmat es kozben azt lehessen logolni, monitorozni.

A logolást valószínű legszebben az iptables log targettel tudod megcsinálni. Ez egy mezei non-terminating target, azaz a chain elejére érdemes tenni. Ami filtert adsz neki, az arra illeszkedő csomagokat logolja a syslogba.

Monitorozásra az iptraf vagy az ethereal nem rossz, utóbbi x-es.

Üdv: Bálint

( Névtelen (nem ellenőrzött) | 2003. 04. 09., sze – 14:18 )

Sziasztok!

No, tahat adott egy suse 8.1-es 2.4.valahanyas kernellel es egy problema :)

Azt kene megoldanom, hogy egy 2 halokartyas linux ataresszen magan minden forgalmat es kozben azt lehessen logolni, monitorozni.

Adott a ket halokartya es a ket tartomany.
Az egyik 10.1.x.x-es tartomany a masik 192.168.x.x.
Az lenne a lényeg, hogy a 10.1.x.x-rol erkezo osszes keres, valtoztatas nelkul menjen ki a 192.168.1.1-es routerre es az meg ki a masik telephelyre (pl. 10.2.x.x), majd a valasz jojjon be a 10.1.x.x halozatba.

Tehat lenyegeben egy teljesen "atlatszo" linux gep kene a belso halozat es a router koze.

Hat kb. ennyi lenne e kerdesem :))

iptables van a gepen :)

Elore is koszi a segitseget!

Udv.
Jani

( gyu v | 2003. 04. 09., sze – 16:43 )

Quote:

On 2003-04-09 14:18, Anonymous wrote:
Azt kene megoldanom, hogy egy 2 halokartyas linux ataresszen magan minden forgalmat es kozben azt lehessen logolni, monitorozni.

Adott a ket halokartya es a ket tartomany.
Az egyik 10.1.x.x-es tartomany a masik 192.168.x.x.
Az lenne a lényeg, hogy a 10.1.x.x-rol erkezo osszes keres, valtoztatas nelkul menjen ki a 192.168.1.1-es routerre es az meg ki a masik telephelyre (pl. 10.2.x.x), majd a valasz jojjon be a 10.1.x.x halozatba.

Tehat lenyegeben egy teljesen "atlatszo" linux gep kene a belso halozat es a router koze.

Hat kb. ennyi lenne e kerdesem :))


Nem teljesen értek mindent, hogy mit akarsz. De ha teljesen átlátszót akarsz, akkor játszhatsz pl. a két kártya összebridgelésével. Ekkor olyan átlátszó lesz a géped, mintha switch lenne.
Játszhatsz még proxy arp-al is, ha gondolod...
De szerintem, ha korrektül akarsz eljárni, akkor ezeket elfelejted, és simán statikus route-okat írsz a linuxos gw-dbe, ill. a nexthop-ba (vagyis a te esetedben a routerbe) is beírod, a visszafele "mutató útvonalat" (Vagyis egy statikus route-ot a 10.1.x.x-re, különben ő nem fogja ép konfiggal azt gondolni, hogy a 10.1.x.x az neki a 192.168.1.1 felőli lábán keresztül elérhető).

( Névtelen (nem ellenőrzött) | 2003. 04. 11., p – 17:08 )

Lehet, hogy en is felre ertem...
szoval gyakorlatilag van ket alhalozat: 10.1.0.0/16 es 10.2.0.0/16
es van mindket alhalozatban egy-egy gateway, ami a ket alhalozat kozti kommunikaciot bonyolitja... (???)
A ket gateway kozott pedig gyakorlatilag csak egy point-to-point kapcsolat van, ami jelen esetben 192.168.0.0/16-ra halgat... (???)
Ekkor a gw-eken csak a default routot kell a 192.168.0.0 tartomanyba eso interface-re allitani, es a klienseken beallitani, hogy hasznaljak ezeket gw-kent. (valamint vmi csomagszurovel szurnem a gw-eken, hogy a 2 halozaton kivuli (10.1/2.0.0) cimeket utasitsa el.)
Ha nagyon eltajoltam volna magam, akkor bocs.
B.