Этого треда уже нет.
Это копия, сохраненная 16 ноября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 16 ноября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
49 Кб, 555x417
Плюсы: это действительно бесплатно, домен и впс можно получить бесплатно, а можно использовать готовое - tun.yoba.red
Минус: низкая скорость, не только VPS нужен, но и домен
Архив треда 1:
УТЕРЯН В ВЕКАХ
Архив треда 2: http://arhivach.org/thread/180572/
Архив треда 3:
Пока нет, потому что архвач тупит. Как только, так сразу.
Инфа по туннелям:
http://xgu.ru/wiki/DNS-tunneling
http://blogerator.ru/page/dns-tunneling-prohodim-ljubye-brandmauery-maskirovka-bezopasnost-tunelirovanie-trafika
http://www.3dnews.ru/608756
http://dnstunnel.de/
https://habrahabr.ru/post/129097/
https://habrahabr.ru/post/65322/
Минус: низкая скорость, не только VPS нужен, но и домен
Архив треда 1:
УТЕРЯН В ВЕКАХ
Архив треда 2: http://arhivach.org/thread/180572/
Архив треда 3:
Пока нет, потому что архвач тупит. Как только, так сразу.
Инфа по туннелям:
http://xgu.ru/wiki/DNS-tunneling
http://blogerator.ru/page/dns-tunneling-prohodim-ljubye-brandmauery-maskirovka-bezopasnost-tunelirovanie-trafika
http://www.3dnews.ru/608756
http://dnstunnel.de/
https://habrahabr.ru/post/129097/
https://habrahabr.ru/post/65322/
Только смотрите, чтоб тред не смыло, лол.
Ответы>>1833534
85 Кб, 600x401
>>1833322
тогда бамп, не тонем
тогда бамп, не тонем
Mimobamp
Ответы>>1833666
21 Кб, 543x760
>>1833117
Тред не читал, историю сообщений тоже не читал.
Построутинг это как прероутинг, только ПОСЛЕ РОУТИНГА (как видно из-названия).
см. картинку.
Вычеркиваем таблицу мангл, так как она тебе в данном случае не интересна.
Приходит пакет, попадает в таблицу прероутинг, это значит что решение маршрутизации для него еще не принято. Например Dnat (см. проброс портов) юзается в прероутинге. После того как пакет пройдет Routing на картинке, прероутинг уже юзать нельзя, по очевидным причинам.
Потом он либо попадает в INPUT, если пакет предназначен для маршрутизатора, либо в FORWARD если для другого компа.
А потом, перед самим выходом в сет идет построутинг. Решение о маршрутизации уже принято и адрес\порт назначения ты уже поменять не можешь. Но вот snat (см. маскарадинг, галочка НАТ в длинке дир 300) можно. Собственно чтобы твой роутер подменил соурс айпи пакета с 192.168.1.Х на свой внешний и пакет таки вышел в интернетик. Еще вроде у себя где-то это записывает, либо какаянить таблица ната, либо по кннтраку отслеживает пакеты, которые приходят назад. Тут я не знаю.
Тред не читал, историю сообщений тоже не читал.
Построутинг это как прероутинг, только ПОСЛЕ РОУТИНГА (как видно из-названия).
см. картинку.
Вычеркиваем таблицу мангл, так как она тебе в данном случае не интересна.
Приходит пакет, попадает в таблицу прероутинг, это значит что решение маршрутизации для него еще не принято. Например Dnat (см. проброс портов) юзается в прероутинге. После того как пакет пройдет Routing на картинке, прероутинг уже юзать нельзя, по очевидным причинам.
Потом он либо попадает в INPUT, если пакет предназначен для маршрутизатора, либо в FORWARD если для другого компа.
А потом, перед самим выходом в сет идет построутинг. Решение о маршрутизации уже принято и адрес\порт назначения ты уже поменять не можешь. Но вот snat (см. маскарадинг, галочка НАТ в длинке дир 300) можно. Собственно чтобы твой роутер подменил соурс айпи пакета с 192.168.1.Х на свой внешний и пакет таки вышел в интернетик. Еще вроде у себя где-то это записывает, либо какаянить таблица ната, либо по кннтраку отслеживает пакеты, которые приходят назад. Тут я не знаю.
>>1834579
Не в таблицу, а в цепочку, самофикс.
Не в таблицу, а в цепочку, самофикс.
>>1834579
пердoля, нахуй ты так усираешься объясяешь, этой магии тут никто не поймет, лучше бы просто рассказал им как зделать интернет бес платно и смс
пердoля, нахуй ты так усираешься объясяешь, этой магии тут никто не поймет, лучше бы просто рассказал им как зделать интернет бес платно и смс
Ответы>>1834616
>>1834599
iptables -t nat -A POSTROUTING -o имя_интерфейса_который_смотрит_в_инет -j MASQUERADE
cat /proc/sys/net/ipv4/ip_forward должно быть 1
Олсо
не все же деграданты, может ему интересно.
iptables -t nat -A POSTROUTING -o имя_интерфейса_который_смотрит_в_инет -j MASQUERADE
cat /proc/sys/net/ipv4/ip_forward должно быть 1
Олсо
>пердoля, нахуй ты так усираешься объясяешь, этой магии тут никто не поймет
не все же деграданты, может ему интересно.
>>1834579
Спасибо, кое-что прояснилось.
Но если мы указываем лишь
то как iptables понимает, к какому интерфейсу/адресу передавать пакеты на стадии роутинга? Ведь этой строкой мы всего лишь говорим изменять ip на внешний?
Спасибо, кое-что прояснилось.
Но если мы указываем лишь
> iptables -t nat -A POSTROUTING -o имя_интерфейса_который_смотрит_в_инет -j MASQUERADE
то как iptables понимает, к какому интерфейсу/адресу передавать пакеты на стадии роутинга? Ведь этой строкой мы всего лишь говорим изменять ip на внешний?
Ответы>>1834645
725 Кб, 902x1346
>>1834581
Но зачем нужна маска, если (как я понял) эта система была создана из-за нехватки адресов, чтобы можно было через 1 адрес получать доступ к множеству компьютеров? Я понимаю, когда есть фирма с кучей компов, но когда он один?
Но зачем нужна маска, если (как я понял) эта система была создана из-за нехватки адресов, чтобы можно было через 1 адрес получать доступ к множеству компьютеров? Я понимаю, когда есть фирма с кучей компов, но когда он один?
Ответы>>1835195
>>1834622
На стадии роутинга айпитейбл не участует.
Внутренний интерфейс: eth0
ip: Получаешь по DHCP
Любая рандомная маска которую дал провайдер.
Основной шлюз например 35.2.53.78
Внешний интерфейс: eth1
ip: 192.168.1.1/24
Приходит пакет от компа 192.168.1.15 для yandex.ru на маршрутизатор через eth0. Проходит все эти цепочки, доходит до роутинга. Маршрутизатор смотрит свою таблицу маршрутизации и если не находит пути (а он не находит, ты же не какой-нибудь головной неебацо маршрутизатор провайдера) до yandex.ru отдает своему основному шлюзу, то есть 35.2.53.78.
Но если он отдаст ему твой пакет без изменений, то пакет не вернется или отбросится или хуй знает что с ним может произойтии, так как адрес отправителя в нем 192.168.1.15, куда возвращать? Это же частная сеть.
В связи с чем ты делаешь или:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
что будет маскировать весь трафик выходящий из eth1 под внешний апийшник.
либо ты делаешь
iptables -t nat -A POSTROUTING -s (см. --source) 192.168.1.0/24 -j MASQUERADE
что будет маскарадить только пакеты из сети 192.168.1.0/24
А если у тебя был бы статический айпи 35.2.53.78 то можно было бы сделать
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 (или -o eth1) -j SNAT 35.2.53.78
и это бы уменьшило нагрузку на проц, так говорят во всяком случае в инетах.
Воооот.
Ну типа разбить подсеть 192.168.0.0 на более маленькие. Где будет не 192.168.0.0-192.168.0.255, а например 192.168.0.0-192.168.0.15 при маске 28. При этом широковещательный адрес будет 15, тоесть хостов реально может быть 14.
При маске /16 у тебя получается овердохуя компов, и 1 широковещательный адрес, который должен разсылать ВСЕМ ЭТИМ ТЫСЯЧАМ КОМПОВ ЕБАТЬ. А при /28 он разошлет только на 14 компов, ага.
>к какому интерфейсу/адресу передавать пакеты на стадии роутинга?
На стадии роутинга айпитейбл не участует.
Внутренний интерфейс: eth0
ip: Получаешь по DHCP
Любая рандомная маска которую дал провайдер.
Основной шлюз например 35.2.53.78
Внешний интерфейс: eth1
ip: 192.168.1.1/24
Приходит пакет от компа 192.168.1.15 для yandex.ru на маршрутизатор через eth0. Проходит все эти цепочки, доходит до роутинга. Маршрутизатор смотрит свою таблицу маршрутизации и если не находит пути (а он не находит, ты же не какой-нибудь головной неебацо маршрутизатор провайдера) до yandex.ru отдает своему основному шлюзу, то есть 35.2.53.78.
Но если он отдаст ему твой пакет без изменений, то пакет не вернется или отбросится или хуй знает что с ним может произойтии, так как адрес отправителя в нем 192.168.1.15, куда возвращать? Это же частная сеть.
В связи с чем ты делаешь или:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
что будет маскировать весь трафик выходящий из eth1 под внешний апийшник.
либо ты делаешь
iptables -t nat -A POSTROUTING -s (см. --source) 192.168.1.0/24 -j MASQUERADE
что будет маскарадить только пакеты из сети 192.168.1.0/24
А если у тебя был бы статический айпи 35.2.53.78 то можно было бы сделать
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 (или -o eth1) -j SNAT 35.2.53.78
и это бы уменьшило нагрузку на проц, так говорят во всяком случае в инетах.
Воооот.
>Но зачем нужна маска
Ну типа разбить подсеть 192.168.0.0 на более маленькие. Где будет не 192.168.0.0-192.168.0.255, а например 192.168.0.0-192.168.0.15 при маске 28. При этом широковещательный адрес будет 15, тоесть хостов реально может быть 14.
При маске /16 у тебя получается овердохуя компов, и 1 широковещательный адрес, который должен разсылать ВСЕМ ЭТИМ ТЫСЯЧАМ КОМПОВ ЕБАТЬ. А при /28 он разошлет только на 14 компов, ага.
>>1834622
На стадии роутинга айпитейбл не участует.
Внутренний интерфейс: eth0
ip: Получаешь по DHCP
Любая рандомная маска которую дал провайдер.
Основной шлюз например 35.2.53.78
Внешний интерфейс: eth1
ip: 192.168.1.1/24
Приходит пакет от компа 192.168.1.15 для yandex.ru на маршрутизатор через eth0. Проходит все эти цепочки, доходит до роутинга. Маршрутизатор смотрит свою таблицу маршрутизации и если не находит пути (а он не находит, ты же не какой-нибудь головной неебацо маршрутизатор провайдера) до yandex.ru отдает своему основному шлюзу, то есть 35.2.53.78.
Но если он отдаст ему твой пакет без изменений, то пакет не вернется или отбросится или хуй знает что с ним может произойтии, так как адрес отправителя в нем 192.168.1.15, куда возвращать? Это же частная сеть.
В связи с чем ты делаешь или:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
что будет маскировать весь трафик выходящий из eth1 под внешний апийшник.
либо ты делаешь
iptables -t nat -A POSTROUTING -s (см. --source) 192.168.1.0/24 -j MASQUERADE
что будет маскарадить только пакеты из сети 192.168.1.0/24
А если у тебя был бы статический айпи 35.2.53.78 то можно было бы сделать
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 (или -o eth1) -j SNAT 35.2.53.78
и это бы уменьшило нагрузку на проц, так говорят во всяком случае в инетах.
Воооот.
Ну типа разбить подсеть 192.168.0.0 на более маленькие. Где будет не 192.168.0.0-192.168.0.255, а например 192.168.0.0-192.168.0.15 при маске 28. При этом широковещательный адрес будет 15, тоесть хостов реально может быть 14.
При маске /16 у тебя получается овердохуя компов, и 1 широковещательный адрес, который должен разсылать ВСЕМ ЭТИМ ТЫСЯЧАМ КОМПОВ ЕБАТЬ. А при /28 он разошлет только на 14 компов, ага.
>к какому интерфейсу/адресу передавать пакеты на стадии роутинга?
На стадии роутинга айпитейбл не участует.
Внутренний интерфейс: eth0
ip: Получаешь по DHCP
Любая рандомная маска которую дал провайдер.
Основной шлюз например 35.2.53.78
Внешний интерфейс: eth1
ip: 192.168.1.1/24
Приходит пакет от компа 192.168.1.15 для yandex.ru на маршрутизатор через eth0. Проходит все эти цепочки, доходит до роутинга. Маршрутизатор смотрит свою таблицу маршрутизации и если не находит пути (а он не находит, ты же не какой-нибудь головной неебацо маршрутизатор провайдера) до yandex.ru отдает своему основному шлюзу, то есть 35.2.53.78.
Но если он отдаст ему твой пакет без изменений, то пакет не вернется или отбросится или хуй знает что с ним может произойтии, так как адрес отправителя в нем 192.168.1.15, куда возвращать? Это же частная сеть.
В связи с чем ты делаешь или:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
что будет маскировать весь трафик выходящий из eth1 под внешний апийшник.
либо ты делаешь
iptables -t nat -A POSTROUTING -s (см. --source) 192.168.1.0/24 -j MASQUERADE
что будет маскарадить только пакеты из сети 192.168.1.0/24
А если у тебя был бы статический айпи 35.2.53.78 то можно было бы сделать
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 (или -o eth1) -j SNAT 35.2.53.78
и это бы уменьшило нагрузку на проц, так говорят во всяком случае в инетах.
Воооот.
>Но зачем нужна маска
Ну типа разбить подсеть 192.168.0.0 на более маленькие. Где будет не 192.168.0.0-192.168.0.255, а например 192.168.0.0-192.168.0.15 при маске 28. При этом широковещательный адрес будет 15, тоесть хостов реально может быть 14.
При маске /16 у тебя получается овердохуя компов, и 1 широковещательный адрес, который должен разсылать ВСЕМ ЭТИМ ТЫСЯЧАМ КОМПОВ ЕБАТЬ. А при /28 он разошлет только на 14 компов, ага.
>>1834645
Я имел ввиду, откуда появляется информация, как передаются пакеты между интерфейсами. К примеру, у меня три интрефейса - eth0 eth1 eth2. eth0 смотрит на роутер, получает адрес по DHCP, например 192.168.0.34
А остальные два - смотрят в локалку.
eth1 - 10.0.0.1
eth2 - 11.0.0.1
И там и там висит DHCP сервер.
И там и там прописан MASQUERADE
И вот подключается к eth1 клиент. Он имеет адрес 10.0.0.10
И вот он посылает пакет на yandex.ru
Откуда кернел (вроде как роутинг происходит с его участием) знает, что этот пакет должен уйти на интерфейс eth0 а не eth1? И обратно, eth0 получил пакет, который нужно передать какому-то из клиентов. Откуда понятно, что передается кому?
Алсо, с маской не совсем понял.
Вот есть у нас eth3 с адресом 192.168.0.1 и сетью 192.168.0.0
Его маска - 255.255.255.0
Его клиенты имееют адреса:
192.168.0.2
192.168.0.3
192.168.0.4
...
192.168.0.255
И при чем тут маска? Ведь адреса и так раздаются DHCP сервером.
Тогда
Я имел ввиду, откуда появляется информация, как передаются пакеты между интерфейсами. К примеру, у меня три интрефейса - eth0 eth1 eth2. eth0 смотрит на роутер, получает адрес по DHCP, например 192.168.0.34
А остальные два - смотрят в локалку.
eth1 - 10.0.0.1
eth2 - 11.0.0.1
И там и там висит DHCP сервер.
И там и там прописан MASQUERADE
И вот подключается к eth1 клиент. Он имеет адрес 10.0.0.10
И вот он посылает пакет на yandex.ru
Откуда кернел (вроде как роутинг происходит с его участием) знает, что этот пакет должен уйти на интерфейс eth0 а не eth1? И обратно, eth0 получил пакет, который нужно передать какому-то из клиентов. Откуда понятно, что передается кому?
Алсо, с маской не совсем понял.
Вот есть у нас eth3 с адресом 192.168.0.1 и сетью 192.168.0.0
Его маска - 255.255.255.0
Его клиенты имееют адреса:
192.168.0.2
192.168.0.3
192.168.0.4
...
192.168.0.255
И при чем тут маска? Ведь адреса и так раздаются DHCP сервером.
Тогда
75 Кб, 737x490
>>1834661
В таблице маршрутизации написано на каком интерфейсе какая сеть.
Если бы пакет был бы для сети 10.0.0.0 то он ушел бы у меня через eth0. Для всех других - через wlan0, так как шлюз 192.168.0.1.
На строчку с 169 не смотри, это сохранилось когда по dhcp не получил.
192.168.0.0/24 это сеть на 254 компа
192.168.0.0/28 это сеть на 14 компов
192.168.0.16/28 это тоже сеть на 14 компов
и 192.168.0.31/28 это тоже сеть на 14 компов.
Это все неактуально когда у тебя три помещения и ты можешь сделать сеть 2.0/24 для АЙТИ, 3.0/24 для бухгалтеров, 4.0/24 для склада и не парится об этом вообще блядь. Но когда у тебя организация уровня газпром, ржд или какая-нить провадйерская контора, то в целях удобства и уменьшения ненужного трафика типа броадкаста - сети режут на более мелкие.
Более подробно по масккам это к сетевикам в /wrk, я не сталкивался с необходимостью их использования (и не хочу), поэтому могу где-то ошибаться.
В таблице маршрутизации написано на каком интерфейсе какая сеть.
Если бы пакет был бы для сети 10.0.0.0 то он ушел бы у меня через eth0. Для всех других - через wlan0, так как шлюз 192.168.0.1.
На строчку с 169 не смотри, это сохранилось когда по dhcp не получил.
192.168.0.0/24 это сеть на 254 компа
192.168.0.0/28 это сеть на 14 компов
192.168.0.16/28 это тоже сеть на 14 компов
и 192.168.0.31/28 это тоже сеть на 14 компов.
Это все неактуально когда у тебя три помещения и ты можешь сделать сеть 2.0/24 для АЙТИ, 3.0/24 для бухгалтеров, 4.0/24 для склада и не парится об этом вообще блядь. Но когда у тебя организация уровня газпром, ржд или какая-нить провадйерская контора, то в целях удобства и уменьшения ненужного трафика типа броадкаста - сети режут на более мелкие.
Более подробно по масккам это к сетевикам в /wrk, я не сталкивался с необходимостью их использования (и не хочу), поэтому могу где-то ошибаться.
Ответы>>1834668
>>1834666
То есть компы в сети 192.168.0.16/28 не увидят компы из сети 192.168.0.31/28, если между ними не будет маршрутизатора, как если бы это были сети 10.0.0.0 и 192.168.0.1. Это РАЗНЫЕ СЕТИ.
То есть компы в сети 192.168.0.16/28 не увидят компы из сети 192.168.0.31/28, если между ними не будет маршрутизатора, как если бы это были сети 10.0.0.0 и 192.168.0.1. Это РАЗНЫЕ СЕТИ.
Ответы>>1834679
>>1834668
Всё, теперь понял про маски. А касательно маршрутизации - я тут допер, что каждый пакет в своей структуре имеет адрес назначения, кернел просто определяет интерфейс по имеющейся связке интерфейс-адрес, что ты и сказал по-сути. Таким образом, чтобы соединить, например 2 интерфейса, надо прописать специальный роут и MASQUERADE?
Всё, теперь понял про маски. А касательно маршрутизации - я тут допер, что каждый пакет в своей структуре имеет адрес назначения, кернел просто определяет интерфейс по имеющейся связке интерфейс-адрес, что ты и сказал по-сути. Таким образом, чтобы соединить, например 2 интерфейса, надо прописать специальный роут и MASQUERADE?
Ответы>>1834687
>>1834679
Чтобы соединить две сети не нужно ничего.
Eth1: 192.168.1.1
Eth2: 10.0.0.1
Пакет от192.168.1.15 идет до 10.0.0.5
Маршрутизатор смотрит таблицу и видит что он может его отдать до десятой сети через eth2. Пакет доходит до компа 10.0.0.5, идет ответ на 192.168.1.15. Пакет снова попадает на маршрутизатор, смотрит таблицу, видит что до 192 сети идти через eth1, и посылает его туда.
NAT он же Маскарадинг он же Соурс-нат мы делаем, потому что ЯНДЕКС НЕ МОЖЕТ ОТВЕТИТЬ НА АДРЕС 192.168.1.15. Нет такого адреса в интернете, этот адрес есть у миллионов людей за роутерами.
Поэтому твой роутер убирает 192.168.1.15, ставит свой айпишник и (тут очень утрированно обьясняю, так как не помню до конца, либо NAT BOX либо conntrack) записывает себе куда-нибудь что ЧУВАК 192.168.1.15 ХОТЕЛ ДО ЯНДЕКСА, ПАКЕТ НОМЕР 228 Когда яндекс отвечает, роутер смотрит АГА, ЭТО ПАКЕТ ДЛЯ ТОГО ПИДРИЛЫ убирает из адреса назначения свой айпишник, и возвращает 192.168.1.15.
Все это и называется трансляцией сетевых адресов
Всетаки conntrack
Чтобы соединить две сети не нужно ничего.
Eth1: 192.168.1.1
Eth2: 10.0.0.1
Пакет от192.168.1.15 идет до 10.0.0.5
Маршрутизатор смотрит таблицу и видит что он может его отдать до десятой сети через eth2. Пакет доходит до компа 10.0.0.5, идет ответ на 192.168.1.15. Пакет снова попадает на маршрутизатор, смотрит таблицу, видит что до 192 сети идти через eth1, и посылает его туда.
NAT он же Маскарадинг он же Соурс-нат мы делаем, потому что ЯНДЕКС НЕ МОЖЕТ ОТВЕТИТЬ НА АДРЕС 192.168.1.15. Нет такого адреса в интернете, этот адрес есть у миллионов людей за роутерами.
Поэтому твой роутер убирает 192.168.1.15, ставит свой айпишник и (тут очень утрированно обьясняю, так как не помню до конца, либо NAT BOX либо conntrack) записывает себе куда-нибудь что ЧУВАК 192.168.1.15 ХОТЕЛ ДО ЯНДЕКСА, ПАКЕТ НОМЕР 228 Когда яндекс отвечает, роутер смотрит АГА, ЭТО ПАКЕТ ДЛЯ ТОГО ПИДРИЛЫ убирает из адреса назначения свой айпишник, и возвращает 192.168.1.15.
Все это и называется трансляцией сетевых адресов
Всетаки conntrack
>When a reply returns to the router, it uses the connection tracking data it stored during the outbound phase to determine the private address on the internal network to which to forward the reply.
Ответы>>1834689
Для осуществления своей задачи, NAT-серверу необходимо «помнить» обо всех соединениях, которые через него проходят. Будь то «пинг» или чья-то «аська» — все эти сессии NAT-сервер «помнит» и отслеживает у себя в памяти в специальной таблице. Когда сессия закрывается, информация о ней из таблицы удаляется.
На хабре для тебя спиздил.
На хабре для тебя спиздил.
Ответы>>1834697
49 Кб, 1116x266
>>1834691
Это при условии, что стоит default route к такому-то интерфейсу. Тогда дейсвительно достаточно MASQUERADE (или conntrack).
А если надо передать в специфический интерфейс? ОБразно говоря, есть eth0, tun0 wlan0. Так вот, default route стоит в eth0, а мне надо чтоб с wlan0 все пакеты шли в tun0. Тогда ведь мне нужно какое-то дополнительное правило? или мост
Это при условии, что стоит default route к такому-то интерфейсу. Тогда дейсвительно достаточно MASQUERADE (или conntrack).
А если надо передать в специфический интерфейс? ОБразно говоря, есть eth0, tun0 wlan0. Так вот, default route стоит в eth0, а мне надо чтоб с wlan0 все пакеты шли в tun0. Тогда ведь мне нужно какое-то дополнительное правило? или мост
>>1834697
Что тебе надо сделать в итоге то я не понимаю?
Роутинг и нат это две разные штуки.
Если у пакета будет адрес 10.0.0.58 и у тебя будет маршрут до 10.0.0.0/24 через какой-нибудь eth8, то он через него и пойдет, нат тут не причем.
Что тебе надо сделать в итоге то я не понимаю?
Роутинг и нат это две разные штуки.
Если у пакета будет адрес 10.0.0.58 и у тебя будет маршрут до 10.0.0.0/24 через какой-нибудь eth8, то он через него и пойдет, нат тут не причем.
>>1834711
Если ты хочешь пустить ВЕСЬ ТРАФИК через tun0, то на той стороне должен быть какой-то шлюз типа 10.8.0.1, который должен быть основным и иметь метрику меньше чем у твоего eth0 шлюза, но тогда ВЕСЬ ТРАФИК пойдет через него, если нет другого очевидного пути в таблице роутинга, но я не уверен что тебе именно это нужно.
А учитывая что тут обсуждают днс туннелинг который я никогда не юзал, наверняка там используются недефолтные софтины, поэтому тебе определенно не нужно делать так, как написано выше, а юзать гайды, ага.
Скоро появятся треды про туннелинг через пинг, ага.
Если ты хочешь пустить ВЕСЬ ТРАФИК через tun0, то на той стороне должен быть какой-то шлюз типа 10.8.0.1, который должен быть основным и иметь метрику меньше чем у твоего eth0 шлюза, но тогда ВЕСЬ ТРАФИК пойдет через него, если нет другого очевидного пути в таблице роутинга, но я не уверен что тебе именно это нужно.
А учитывая что тут обсуждают днс туннелинг который я никогда не юзал, наверняка там используются недефолтные софтины, поэтому тебе определенно не нужно делать так, как написано выше, а юзать гайды, ага.
Скоро появятся треды про туннелинг через пинг, ага.
>>1834711
Мне нужно (было) раздать интернет с одного интерфейса на другой. С этим вполне справилось правило MASQUERADE, и я пытался понять, почему маскировка IP на одном интерфейсе давало возможность пакетам идти между интерфесами.
Мне нужно (было) раздать интернет с одного интерфейса на другой. С этим вполне справилось правило MASQUERADE, и я пытался понять, почему маскировка IP на одном интерфейсе давало возможность пакетам идти между интерфесами.
Ответы>>1834720
>>1834719
Опять нихуя не понял. Можно как-нибудь на примерах.
>давало возможность пакетам идти между интерфесами.
Опять нихуя не понял. Можно как-нибудь на примерах.
Ответы>>1834728
>>1834720
Ну смотри, я же писал. Есть eth0, есть eth1. Eth1 Смотрит в локалку, и клиенты, подключенному к нему нужно раздать интернет. Так просто оно не заработает, даже если включить форвардинг. Надо было прописать маскировку IP. И вот мне было непонятно, как эта самая маскировка позволяет этим двум интерфейсам обмениваться пакетами.
Ну смотри, я же писал. Есть eth0, есть eth1. Eth1 Смотрит в локалку, и клиенты, подключенному к нему нужно раздать интернет. Так просто оно не заработает, даже если включить форвардинг. Надо было прописать маскировку IP. И вот мне было непонятно, как эта самая маскировка позволяет этим двум интерфейсам обмениваться пакетами.
Ответы>>1834733
Сажи жизикам. Тред называется бесплатный интернет, а не обсуждение непонятной хуиты
Ответы>>1834733
>>1834728
Маскировка помогает общаться многим компам из частных сетей типа 192.168 и 10.0 с внешним миром.
Интерфейсы и без маскарадинга обмениваются пакетами, просто обратно не возвращаются, потому что адрес не изменился при выходе в интернет (НАТ не юзался)
Ты (или не ты?) просто начал спрашивать про tun0 dns0 eth1 и я поэтому переспросил чего ты конкретно хочешь сделать.
>>1834730
Посмотрите, ребёнок не осилил. Без гайдиков с картинками сложна да?
Маскировка помогает общаться многим компам из частных сетей типа 192.168 и 10.0 с внешним миром.
Интерфейсы и без маскарадинга обмениваются пакетами, просто обратно не возвращаются, потому что адрес не изменился при выходе в интернет (НАТ не юзался)
Ты (или не ты?) просто начал спрашивать про tun0 dns0 eth1 и я поэтому переспросил чего ты конкретно хочешь сделать.
>>1834730
Посмотрите, ребёнок не осилил. Без гайдиков с картинками сложна да?
Ответы>>1834735
>>1834733
Понятно, они вс же обмениваются, но обратно не доходят. Этого я понять и не мог.
Я, но это было лишь как пример.
Понятно, они вс же обмениваются, но обратно не доходят. Этого я понять и не мог.
> Ты (или не ты?) просто начал спрашивать про tun0 dns0 eth1
Я, но это было лишь как пример.
>>1834735
https://ru.wikipedia.org/wiki/IP-спуфинг
По сути, если все шлюзы между мной и каким-нибудь сайтом не настроены смотреть на соурс-айпи в пакете, то можно изменить айпишник отправителя на ТВОЙ НАПРИМЕР, пинговать сайт с моего ноута, а отвечать он будет тебе.
Но это вроде режется, так как провайдер не долбоеб, так что твой пакет без маскарадинга, вероятнее всего, даже не доходит до яндекса.
https://ru.wikipedia.org/wiki/IP-спуфинг
По сути, если все шлюзы между мной и каким-нибудь сайтом не настроены смотреть на соурс-айпи в пакете, то можно изменить айпишник отправителя на ТВОЙ НАПРИМЕР, пинговать сайт с моего ноута, а отвечать он будет тебе.
Но это вроде режется, так как провайдер не долбоеб, так что твой пакет без маскарадинга, вероятнее всего, даже не доходит до яндекса.
>>1834625
чтобы широковещалкой не засирать всю сеть
чтобы широковещалкой не засирать всю сеть
19 Кб, 287x500
>>1834735
как с винды подключиться к твоему серверу? куда наживать? какой у тебя там айпи?
как с винды подключиться к твоему серверу? куда наживать? какой у тебя там айпи?
>>1837780
Все же написано. Скачиваешь реализацию iodine под винду, вводишь адрес - tun.yoba.red и без пароля. Специфику удаленя дефолтных роутов под винду не знаю, по идее и так всё должно работать.
Все же написано. Скачиваешь реализацию iodine под винду, вводишь адрес - tun.yoba.red и без пароля. Специфику удаленя дефолтных роутов под винду не знаю, по идее и так всё должно работать.
>>1837780
в прошлом треде было
в прошлом треде было
запилите еще кто нибудь пару серверов, а то один работает, два не работают, так и без последнего останемся
этому анончику джва чая
>tun.yoba.red
этому анончику джва чая
Ответы>>1838454
>>1838393
Не останитесь, домены куплены, так что не отъедут вникуда. Разве что сервер отъедет, но он оплачен на 3 месяца вперед.
Спасибо, няша.
> так и без последнего останемся
Не останитесь, домены куплены, так что не отъедут вникуда. Разве что сервер отъедет, но он оплачен на 3 месяца вперед.
> этому анончику джва чая
Спасибо, няша.
Ответы>>1838531
>>1838454
спасибо вам, товарищ майор
>Не останитесь, домены куплены, так что не отъедут вникуда. Разве что сервер отъедет, но он оплачен на 3 месяца вперед.
спасибо вам, товарищ майор
Ответы>>1838541
>>1838531
Обращайся.
К вам придут удача, деньги, ЦП, Сибирская мышка вместе со студией, но только если вы напишете в этом треде: "Спасибо вам, товарищ майор!"
Обращайся.
К вам придут удача, деньги, ЦП, Сибирская мышка вместе со студией, но только если вы напишете в этом треде: "Спасибо вам, товарищ майор!"
Инструкция для нубья есть?
Ответы>>1838726
Спасибо анончику, теперь я могу капчевать без интернета через телефон
>>1838726
В том то и дело что под Винду сложно роутинг настроить
>>1838726
В том то и дело что под Винду сложно роутинг настроить
>>1838979
Ты ничего не понимаешь, вот подключаешься ты к открытой точке соседа, заходишь на сайт уровня www.spaisi&miksi.ru а сосед - полковник фскн. И всё. А тут есть удобный и неотслеживаемый тоннель, прямиком до сервера товарища майора.
Давайте, ребятки, у меня повышение скоро. Пары наркоманов-педобиров не хватает буквально, поднажмите уж.
Ты ничего не понимаешь, вот подключаешься ты к открытой точке соседа, заходишь на сайт уровня www.spaisi&miksi.ru а сосед - полковник фскн. И всё. А тут есть удобный и неотслеживаемый тоннель, прямиком до сервера товарища майора.
Давайте, ребятки, у меня повышение скоро. Пары наркоманов-педобиров не хватает буквально, поднажмите уж.
БУМП, взлетаем!
>>1839650
Даже если я подключусь к вафле соседа, которого ты описал, и буду заказывать закладки, то спалиться будет очень сложно.
Хотя бы потому что я просто сменю локальный айпи, сменю MAC-адрес, которые засвечены в журнале, и ты соснешь хуйца, когда будешь доказывать, что это не ты заходил на www.spaisi&miksi.ru.
Даже если я подключусь к вафле соседа, которого ты описал, и буду заказывать закладки, то спалиться будет очень сложно.
Хотя бы потому что я просто сменю локальный айпи, сменю MAC-адрес, которые засвечены в журнале, и ты соснешь хуйца, когда будешь доказывать, что это не ты заходил на www.spaisi&miksi.ru.
Ответы>>1844480
>>1844475
Тем более
И потом поднимает дело против себя же?
Тем более
>подключаешься ты к открытой точке соседа
>сосед - полковник фскн
>заходит на сайт уровня www.spaisi&miksi.ru
И потом поднимает дело против себя же?
Э, ОПа не видели?
712
712
Ответы>>1847805
>tcp over dns
>провайдер просто запрещает неплательщику весь трахек ко всем днс кроме своих
Шах и мат, нищебляди.
>>1845944
тред не читай @ сразу отвечай
тред не читай @ сразу отвечай
>>1845944
да все проще - можно поставить лимит на количество пакетов/c и на ширину канала. И нищуки соснут.
да все проще - можно поставить лимит на количество пакетов/c и на ширину канала. И нищуки соснут.
бамп.
>>1833133 (OP)
Чтобы провайдер не отключил тебя нужно ему платить. Где профит-то?
Чтобы провайдер не отключил тебя нужно ему платить. Где профит-то?
>>1833133 (OP)
Всмвсле я могу перестать платить прову и все равно инет будет чтоль?
Главное чтоб кабель был?
И какие скорости?
Всмвсле я могу перестать платить прову и все равно инет будет чтоль?
Главное чтоб кабель был?
И какие скорости?
>2 кбит/сек
Нет уж, спасибо.
>>1860062
Я оп.
Я оп.
Хотел сжать трафик. Всё делаю по этой инструкции из 3-го треда
https://jpst.it/Omuz
, но не получается. В Proxifier пишет красным, что мол нет соединения. Что делать?
https://jpst.it/Omuz
, но не получается. В Proxifier пишет красным, что мол нет соединения. Что делать?
>>1833133 (OP)
через DNS тунелят только уёбки. Тунельте через ICMP
через DNS тунелят только уёбки. Тунельте через ICMP
Как настроить andiodine?
МА я вот только не пойму, зачем магазину днс раздавать бесплатный интернет?
Ответы>>1874786
>>1874732
Чтобы привлекать мимокрокодилов и впаривать им товары.
Чтобы привлекать мимокрокодилов и впаривать им товары.
>>1834661
У тебя есть таблица маршрутизации.
Для эз1 и эз2 гейтвея нет.
Но есть у эз0. И есть параметр ядра про форвардинг пакетов между интерфейсами.
Машинка работает как маршрутизатор.
Это предполагает, что если кто-то из вне хочет послать пакет абоненту на твоем ез1, то машинка, которая сидит на другом конце ез0 должна знать, что именно твой комп обслуживает эту сеть и что надо доставить пакет на твой ез0, а дальше отроутить - твои проблемы.
Ну и понятно, что на самом деле все роутеры в цепочке передаче пакета должны знать куда его слать.
Потом, когда оказывается, что ты не в состоянии заставить все роутеры знать о своей сети на эз1, можно устроить маскарад. Этим занимается уже не таблица роутинга, а процессинг пакетов, который внезапно - как-бы фаервол.
Наты бывают разные. И более того, логически одинаковые наты могут между собой отличаться программной реализацией.
И упражнение - придумай зачем тебе может потребоваться двухсторонний Нат между ез1 и ез2.
У тебя есть таблица маршрутизации.
Для эз1 и эз2 гейтвея нет.
Но есть у эз0. И есть параметр ядра про форвардинг пакетов между интерфейсами.
Машинка работает как маршрутизатор.
Это предполагает, что если кто-то из вне хочет послать пакет абоненту на твоем ез1, то машинка, которая сидит на другом конце ез0 должна знать, что именно твой комп обслуживает эту сеть и что надо доставить пакет на твой ез0, а дальше отроутить - твои проблемы.
Ну и понятно, что на самом деле все роутеры в цепочке передаче пакета должны знать куда его слать.
Потом, когда оказывается, что ты не в состоянии заставить все роутеры знать о своей сети на эз1, можно устроить маскарад. Этим занимается уже не таблица роутинга, а процессинг пакетов, который внезапно - как-бы фаервол.
Наты бывают разные. И более того, логически одинаковые наты могут между собой отличаться программной реализацией.
И упражнение - придумай зачем тебе может потребоваться двухсторонний Нат между ез1 и ез2.
>>1834697
Я попробую переформулировать вопрос.
У тебя есть ез0, ез1, ез2.
0 и 1 смотрят в интернет. Пусть разные провайдеры. На них будет разный шлюз.
Ты хочешь локальный трафик роутить через ез0, а пришедший с ез2, где у тебя локалка, роутить через ез1.
Тогда ты просто своим фаерволом кидаешь пакеты по интерфейсам. Это много описано в интернете. Там будет еще про балансировку, отказоустойчивость, про carp. И если копнешь чуть глубже - про bgp. К твоему вопросу ключевой момент для понимания такой - таблица роутинга раскидывает пакеты по интерфейсам, но это может делать и фаервол. В некотором смысле это грязный трюк и грабли с костылями, лол, но никто к этому так давно не относится.
В жизни на десктопе будет такое - у тебя есть ез0 и ты делаешь tun0. Который сам работает через ез0. Ситуация сводится к предыдущей.
Еще нужно помнить, что в реальном мире на роутерах таблица роутинга заполняется протоколами маршрутизации. Rip, например. Ты можешь пердолить только роутеры своей сети. Чтобы другие сети знали куда твоя сеть может переслать пакет, не зная твоей внутренней маршрутизации, нужен bgp.
Что такое мост лучше всего расписано в документации по бриджингу. Изначально это было нужно, чтоб в одну сеть в смысле логики 7ми уроаневой модели можно было объединять разные среды передачи.
Я попробую переформулировать вопрос.
У тебя есть ез0, ез1, ез2.
0 и 1 смотрят в интернет. Пусть разные провайдеры. На них будет разный шлюз.
Ты хочешь локальный трафик роутить через ез0, а пришедший с ез2, где у тебя локалка, роутить через ез1.
Тогда ты просто своим фаерволом кидаешь пакеты по интерфейсам. Это много описано в интернете. Там будет еще про балансировку, отказоустойчивость, про carp. И если копнешь чуть глубже - про bgp. К твоему вопросу ключевой момент для понимания такой - таблица роутинга раскидывает пакеты по интерфейсам, но это может делать и фаервол. В некотором смысле это грязный трюк и грабли с костылями, лол, но никто к этому так давно не относится.
В жизни на десктопе будет такое - у тебя есть ез0 и ты делаешь tun0. Который сам работает через ез0. Ситуация сводится к предыдущей.
Еще нужно помнить, что в реальном мире на роутерах таблица роутинга заполняется протоколами маршрутизации. Rip, например. Ты можешь пердолить только роутеры своей сети. Чтобы другие сети знали куда твоя сеть может переслать пакет, не зная твоей внутренней маршрутизации, нужен bgp.
Что такое мост лучше всего расписано в документации по бриджингу. Изначально это было нужно, чтоб в одну сеть в смысле логики 7ми уроаневой модели можно было объединять разные среды передачи.
>>1839650
А у меня есть сосед-мент. Не фскн, конечно, и далеко не майор(лейтенантик по-моему), и вафелька его отлично ловится у меня.
Вот только запаролена.
А вашим способом пожалуй воспользуюсь, а то вчера интернеты отвалились, сайт-заглушка выскакивал. Двачи хоть поскроллить получится?
А у меня есть сосед-мент. Не фскн, конечно, и далеко не майор(лейтенантик по-моему), и вафелька его отлично ловится у меня.
Вот только запаролена.
А вашим способом пожалуй воспользуюсь, а то вчера интернеты отвалились, сайт-заглушка выскакивал. Двачи хоть поскроллить получится?
>>1833133 (OP)
Такс взял я значит бесплатный сервак от амазона, подрубился по ssh, поставил iodine
Что теперь? Нужно домен для dns где-то взять, где?
Такс взял я значит бесплатный сервак от амазона, подрубился по ssh, поставил iodine
Что теперь? Нужно домен для dns где-то взять, где?
>>1876609
amazon ec2
amazon ec2
И оно действительно работает? Интернеты идут? Скорость какая?
>>1833133 (OP)
Туннель поднялся только через dnscat2. Как юзать это говно для сёрфинга?
Туннель поднялся только через dnscat2. Как юзать это говно для сёрфинга?
Ответы>>1876723
>>1876639
Короче я даже смог открыть google. Потом связь с туннелем пропала, сервер перестал видеть клиента. Видимо пчела таки палит и режет
Короче я даже смог открыть google. Потом связь с туннелем пропала, сервер перестал видеть клиента. Видимо пчела таки палит и режет
Ебанашки, тунельте через ICMP. DNS сервера и так под адовой нагрузкой, а тут вы еще создаете нехуёвую нагрузку
Тред утонул или удален.
Это копия, сохраненная 16 ноября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 16 ноября 2016 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.