IMQ+NAT

Miroslaw Dyduch dydko1 w o2.pl
Wto, 20 Wrz 2005, 13:53:08 CEST


Pojawi?y sie 2 inne IMQ+NAT - jedno z nich to jest to "bez tematu"-nie moje. Kto? si? podpi?? pod temat IMQ+NAT.
Dnia wtorek, 20 wrze?nia 2005 10:16, Jarek Poplawski napisa?:
> Miroslaw Dyduch wrote:
> > Dnia poniedzia?ek, 19 wrze?nia 2005 13:24, Jarek Poplawski napisa?:
> >  > Miroslaw Dyduch wrote:
> >  >
> >  > ..
> >  >
> >  > > Co zrobi? by PREROUTING -i eth0 rozro?nia? ip (serwer, lan) lub by z
> >  > >
> >  > > INPUT da?o si? przekierowa? do imq1. U?ywam kernela 2.6.12.5-0.5(cvs
> >  > > z
> >  > >
> >  > > PLD), mo?e to wina patcha 2.6.10-imq.patch (mo?e na 2.6.13-imq.patch
> >  > > to
> >  > >
> >  > > bedzie dzia?a?), albo braku jakie? ?atki na iptables (raczej jej
> >  > > braku)
> >  >
> >  > Je?li -i eth0 wychodzi do internetu, to przy domy?lnym w PLD
> >  >
> >  > ustawieniu CONFIG_IMQ_BEHAVIOR_AB pakiety przychodz?ce (iptables
> >  >
> >  > -t mangle -A PREROUTING -i eth0 -j IMQ --todev 1) b?d? widziane w
> >  >
> >  > tc filter z adresami lokalnymi (serwera, lanu), czyli po
> >  >
> >  > "zdenatowaniu".
>
> Tu ma?e sprostowanie: pakiety nale??ce do serwera b?d? zwykle
> widziane w tc filter z adresem interfejsu eth0, wi?c
> niekoniecznie lokalnym.
>
> > -i eth0 mam od strony internetu (Hooking IMQ after NAT on PREROUTING,
> > Hooking IMQ before NAT on POSTROUTING) mam zgodnie z PLD czyli
> > CONFIG_IMQ_BEHAVIOR_AB. Czyli powinno by? widzane ip LAN i serwera na
> > PREROUTING -i eth0 . Wydaje mi sie ze w imq jest ciagle domyslne
> > ustwienie CONFIG_IMQ_BEHAVIOR_BA http://www.docum.org/docum.org/kptd/ a
> > tylko sie zmienia wpis w logach. To co mi przychodzi jest widziane z ip
> > serwera nie z ip lanu czyli wyglada to na CONFIG_IMQ_BEHAVIOR_BA.
> >
> > Natomiast na POSTROUTNG -o eth0 CONFIG_IMQ_BEHAVIOR_xA lub
> > CONFIG_IMQ_BEHAVIOR_xB (x=a|b) bez wzgledu na ustawinia jest rozrozniane
> > ip lan i serwera.
>
> IMQ jest do?? intensywnie u?ywane przez u?ytkowników PLD, wi?c
> proponuj? wychodzi? z za?o?enia, ?e dzia?a zgodnie z za?o?eniami
> i w pierwszej kolejno?ci szuka? b??dów w swojej konfiguracji lub
> podej?ciu do tematu.
Ju? chyba wiem gdzie tkwi moj problem. Przegladaj?c schemat http://www.docum.org/docum.org/kptd/ 
pakiet idzie w ustwieniach domyslnych na PREROUTINGU
conntrack->mangle ->IMQ ->nat  
natomiast na uswiawieniach z PLD czyli AB (tak mi si? wydaje)
conntrack->mangle ->nat ->IMQ
czyli MARKA dostaje ci?gle przed natem i nie jest w stanie rozroni? ip serwera od lanu (mo?e si? myle). To co przychodzi ma zawsze marka z ip_serwera.

wyjasninie
eth0- od strony internetu
....
$IPT -t mangle -A PREROUTING -i eth0 -d ip_serwera -j MARK --set-mark 0x20
$IPT -t mangle -A PREROUTING -i eth0 -d ip_lanu -j MARK --set-mark 0x30
....
Prosze sprzdzic czy to dzia?a na PREROUTING, natomiast na POSTROUTING podobne tylko -s dzia?a.
Chodzi mi o wy?apanie p2p serwera(mldonkey- wspolny dla wszytkich). A ogranicznie p2p lanu- poniewaz wysysaj? cale pasmo dla p2p i zamulaj? siec du?? liczba polacze?, i trzba im limitowac liczb? polacz?. Wstawi?em imq2 na FORWARD -i eth0 -o eth1 i tu obcinam p2p dla lanu. Chcia?bym wyeliminowa? imq2 dla FORWARDU i zrobic to na PREROUTINGU -d

Tu znanz?em opis na ktorym dzi?a takie co? http://alfa.tailor.com.pl/imqhtb/2.4.20/imq_htb.html
".......... Ten punkt wymaga nieco wyja?nienia. Jak mo?esz zobaczy? na www.docum.org/stef.coene/qos/kptd/ pakiet w PREROUTING wchodzi najpierw do IMQ a dopiero potem do NAT. Przez to nie mo?na w PREROUTING zidentyfikowa? czy pakiet jest przeznaczony do serwera czy do którego? z userów za NAT-em i do którego. Dzi?ki temu patchowi zamieniana jest kolejno?? IMQ i NAT i wchodz?cy pakiet kierowany jest najpierw do NAT a potem do IMQ. Umo?liwia to poprawne zidentyfikowanie adresu IP odbiorcy........."

> Oczywi?cie lepiej jest to sprawdza? na "oficjalnych" wersjach j?dra.
na kernel-grsecurity-2.6.11.10-6 mia?em ci?g?e kernel-panic jak uzytkownicy generowali duz? liczb? po??cze? (p2p) http://dydko.kom.pl/panic.jpg. Jak obci??em do 50 polcze? na 1s to by?o mniej kernel-panic. 
Zachowanie na kernel-grsecurity-2.6.11.10-6 z imq jest takie samo na PREOROUTING jest widzane ci?gle jako ip serwera. Acha na 2.6.12.5-0.5 uptime mam juz 21 days, 21:58.
>
> > dla przyk?adu
> >
> > Jesli zrobie routing statyczny do brata (moj_komp jest "serwerem")
> >
> > serwer (eth0-dsl, eth1-192.168.0.1)->moj_komp(eth0-192.168.0.3,
> > eth1-192.168.1.1)->komp_brata(192.168.1.2).
>
> Tu pewna niejasno??: je?li moj_komp jest "serwerem", to czym jest
> serwer?
Ju? wyjasniam przepraszam za zamieszanie.
Do?o?y?em do moj_komp jedn? karte sieciow? (eth1) by unikn?c eksperymentow na serwerze. Tak?e by nie s?uchac skarg ze kogo? przejechali na Ogame, etc. Serwer nie jest u mnie w domu czyli ?atwiej mi by?o uruchmomi? stary komp do ekperymentownaia, a na serwere doda? trase (ip r add dev eth1 192.168.1.0/24 via 192.168.0.3) do sieci 192.168.1.0 gdzie jest komp_brata.
>
> > ip r add dev eth1 192.168.1.0/24 via 192.168.0.3 (na 192.168.0.1 to
> > wpisuje)
> >
> > Teraz kolejkuje na moj_komp-192.168.0.3- to wtedy jest rozrozniane ip
> > moje 192.168.0.3 i lanu 192.168.1.2 na PREROUTIOING -d - wszytko wpada
> > tak jak ma.
> >
> > Teraz dodaje iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to
> > 192.168.0.3 czyli natuje i wtedy jest wszystko widzane jako 192.168.0.3
> > czyli jest CONFIG_IMQ_BEHAVIOR_BA czyli jakby domyslne
> >
> > wydaje mi si? ze problem nie tkwi w PLD tylko w imq moze trzeba usun??
> > jakis "#" z patcha do imq?? na u32 wyglda ze to dzia?a- sprawdza?em
> > (zgonie za schematem jest za natem ip/tc). Ale u32 nie ma tylu mozliwosc
> > co iptables i jest malo elastyczny do moich zastosowa?.
>
> W tym s?k, ?e IMQ  ma sens tylko w tc, a CONFIG_IMQ_BEHAVIOR w
> u32 i nie ma to wp?ywu na widzenie adresów pakietów przez iptables.
>
> Jarek P.
>
> _______________________________________________
> pld-users-pl mailing list
> pld-users-pl w lists.pld-linux.org
> http://lists.pld-linux.org/mailman/listinfo/pld-users-pl

-- 
Pozdrawiam 
Miroslaw Dyduch
gg 3936429, email 	dydko1 w o2.pl
-------------- następna część ---------
Załącznik HTML został usunięty...
URL:  /mailman/pipermail/pld-users-pl/attachments/20050920/28a56f44/attachment-0001.html


Więcej informacji o liście dyskusyjnej pld-users-pl