Ako dobro razumem, ti hoces da sa jednog racunara prolazis preko porta 6000, sa drugog preko 6001.
Onda samo namesti u firewall-u da za odredjenu adresu pusti odredjeni port.

Ako nisam dobro razumeo, molim te pokusaj malo bolje da objasnis sta zelis.

Svaka tvoja konekcija sa lokalnog porta 4321 da se na ruteru mapira na njegov lokalni port 1234? I tako da za svaki komp odredis sa kog ce porta da ide? Tesko... Tako ne radi NAT. Ti ni na lokalnoj masini ne znas na kom ce portu biti pokrenuta konekcija.

Ne da se sa svakog lokalnog racunara namestaju portovi nego na ruteru da namestim NAT da za svaki racunar otvara poseban port, tj da prolaz na internet bude preko posebnog porta za svaki racunar u mrezi. Da za svaki racunar postoji odredjeni port mapiran u NAT-u i da samo taj otvara kad lokalni racunar krene na net


@rj444 znaci preko iptables mora sve, jel tako?

ako je tako mozes li da napises komandu kako ide posto meni ne ide nikako :)

dr_ambis, na prvu loptu mi se čini da ne razumeš baš najbolje neke osnovne pojmove vezane za TCP/IP mreže (portovi, NAT). Verovatno ti je jasno barem to da ne možeš više od jedne TCP konekcije po računaru da vežeš za jedan port? U svakom slučaju morao bi bolje da objasniš šta pokušavaš da postigneš. Pre svega treba da razmisliš koju mrežnu aplikaciju treba da izvršavaju te mašine iza NAT-a i koji su source i destination portovi koje ona koristi po defaultu?

Ja evo treći put čitam, i mislim da još uvek nisam shvatio dobro... Želiš da svaki računar ostvaruje konekciju ka internetu po jednom portu zasebno? Shvataš li ti da teoretski kada bi pokrenuo 2 procesa, onaj koji prvi uspostavi konekciju će raditi, drugi neće... Dakle, ne postoji nikakva šansa da ostvariš to što ti želiš, jedan komp da ima samo jedan odlazni port je još uvek nevidjeno u praksi...

:)

Ovako,
Ajde da objasnim detaljno.

Racunar u mrezi kad krene na net ode preko gw na ruter. Na ruteru je vise racunara tako da mora da se koristi NAT.
Znaci taj racunar sa svojom ip adresom salje zahtev sa headerom u kome se nalazi njegova ip adresa i port sa koga se zahtev salje. Kad dolazi do NAT-a on onda vrsi preusmeravanj tj pamti sa kog porta i koje ip adrese je poslat zahtev i to cuva, zatim modifikuje header i ubacuje spoljnu ip adresu port preko koga salje ka internetu paket( ne znam mozda gresim ali ja tako kontam NAT). Nakon toga kad se upit vraca NAT zna preko kog porta je poslao koji paket na internet od kog racunara u mrezi je taj paket potekao pa ga tako i vrati s'tim sto sad spoljnom paketu modifikuje header i ubacuje adresu lokalnog racunara. Mene zanima onaj deo kad sa rutera ide na net, za svaki racunar posebno ruter mora da otvori port na netu u trenutku kada salje jer jedino tako pamti koji je lokalni racunar poslao sta. E sad zanima me jel moze da se stavi da taj port koji ruter otvara za svaki racunat posebno bude statican, tj za 192.169.0.235 da otvara port 6000 za x.x.x.236 6001 i tako dalje. Mislim razumem rad NAT-a u potpunosti mada mozda ne umem da postavim pitanje.

Ako je ko razumeo neka odgovori ako nije onda man iptables, nista mi drugo ne ostaje. :)

Prva konekcija sa 192.169.0.235 je biti 6000. Vec sledeca koju pokusas da uspostavis (jos jedan browser, icq, bilo sta) ne moze takodje preko 6000 jer je taj vec zauzet. Neophodno je da se upotrebni sledeci port (6001), i tako dalje. Kada bi imao limit broja konekcija po svakom kompu iza NATa (dobra stvar za ubijanje p2p i slicnih protokola), onda bi imalo smisla da, na primer, 192.169.0.235 koristi portove 6000-6031, pa 192.169.0.236 6032 do 6063 i tako dalje (limit na 32 konekcije). Ali, cak i da hoces tako, ne znam kako bi ovo uradio.

Razumeo sam te ja ipak dobro, ali i dalje ne shvataš da dva procesa ne mogu biti pokrenuta da izlaze na net preko istog porta - ne možeš da koristiš msn čiji će izlazni port sa jednog računara biti npr 6000 a da u isto vreme surfuješ, jer će ti i taj proces zahtevati port 6000 koji je već upotrebljen kod msn-a. Drugo, neki programi definitivno neće raditi, jer njima ne možeš da zadaješ portove kako se tebi hoće, tačnije - pitanje je da li ijedan proces može da se pokrene tako a da radi... Jedino neko rešenje koje ja vidim je korišćenje proxy ili socks portova, dakle zabrana saobraćaja sa rutera sa bilo kog porta koji nije socks ili proxy. Ali ni mnogi programi ne podržavaju socks&proxy, tako da moraš prvo da znaš šta želiš da dobiješ time...

edit: Evo VRider ti je takodje potvrdio to isto. Limitiranje opsega portova je takodje neko rešenje, ali pitanje je o kojim se procesima radi i da li možeš njima manipulisati a da budu upotrebljivi...

edit2: Jedino što mi pada na pamet je blokiranje svog odlaznog saobraćaja sem za zadate mašine:



Ne znam da li se baš može manipulisati portovima u ovom slučaju, mada ne košta probati

<sub>[Ovu poruku je menjao mkdsl dana 04.07.2006. u 21:07 GMT+1]

[Ovu poruku je menjao mkdsl dana 04.07.2006. u 21:09 GMT+1]</sub>

Sve sto inace prolazi kroz NAT bi islo i ovako.
Ali, koliko mogu da naslutim, poenta ovoga je da mu radi p2p kroz NAT, a ako je to u pitanju, onda prosto kazi, nemoj da nas vozas okolo.

Ok, ali šta se dešava kad taj računar iza NAT-a pokuša da otvori još jednu konekciju bez zatvaranja prethodne (recimo browser otvara web stranicu i vuče HTML i slike na njoj paralelno)?

Ako gorenavedeno nije problem, probaj da ubaciš rewriting rule u nat tabelu, u POSTROUTING chain, source pravila su source adrese tvojih računara, i odgovarajući opseg portova i protokol, a za target stavi SNAT sa opcijom --to-source javna-IP-adresa-rutera:port. I man iptables obavezno, naravno.

Otvarace paralelne konekcije sve dok ne popuni kvotu, i nakon toga fajront.
Kako samo staviti opseg portova->opseg portova?

--sport 16000:17000 [...] --to-source IP:6000-7000

Da da, to mi nije palo na pamet...

E bas to vrider, opseg portova za jedan racunar koji ce otvarati ruter kad salje pakete na net.

Sad mi jos samo treba komanda ip tables za to
znaci unutrasnja adresa racunara 192.168.0.235-238
i posle kucam komandu za svaku lokalnu ip adresu posebno.

'Ladno prima opseg->opseg. Nije mi trebalo pa nisam ni znao...
Koliko tu postojanje maskarade komplikuje stvari?

Nimalo. Kad se već rewrite-uje source adresa, što da se o istom trošku ne promeni i port.

Zna li neko komandu iptables kako da odradim ovo? :)

@random: Ako si na dinamickoj IP adresi, i zbog toga koristis maskaradu, onda i ne znas koja ti je javna IP adresa rutera?
@dr_ambis: Komande nisu problem, samo treba procitati man stranu. Da ne bude da si sve dobio sazvakano.

Manual u ruke, skoro sve ti je rečeno.

Pa to nije nikakav problem, samo resetuj iptables pravila sa novom adresom svaki put kada se adresa interfejsa promeni. Svaki respektabilan DHCP klijent može da se podesi tako da automatski izvrši neki skript nakon što konfiguriše interfejs.

Mislio sam da ima neko resenje na nivou samog iptables-a... No dobro...

Javnu ip adresu rutera znam posto imam adsl ruter iza koga je jos jedan ruter pod linuxom tako da na adsl ruteru se menja adresa mada nikad ga ne gasim jedino kad je kod provajdeta problem pa pukne konekcija tad se promeni.

Ovaj ruter pod linuxom ima stalnu javnu ip adresu prema adsl ruteru.

Za ovo ostalo cu ipak izgleda morati da man iptables opet citam.

OK, idem da se bacim na citanje pa kad uspem javljam se. Ako ne uspem do sutra u ovo vreme eto mene opet :)

Ako uspem ispisacu komande ovde.

Izgleda da nije uspeo

Nisam uspeo.

Obrisao sam celu iptables postavku bio na ruteru, zeznuo sam sistem pa sam morao sve ispocetka da instaliram.

Ovi moji korisnici sto su bili prikaceni su izludeli samnom ali sta da se radi.

I dalje ja pokusavam(ne mislite da sam se predao :) ) i ako uspem javljam.

I, sta bi?

Sta bi?

Znam da sam uspeo ali ne secam se tacno kako. Znam da sam za svaku unutrasnju adresu sa lana radio masquarade.

Ne secam se tacno kako ali sad mi se i promenile okolnosti zivotne pa nemam vremena da se podsecam :).

Uglavnom znam da MOZE!!!!