Buna listasi, Din ce am vazut pana acum pe acest thread:
1. Sa nu te puna dracu sa pui arpproxy pe interfata externa ca o sa ai pb cu provideru. si o sa balaresti tot vlanu in care esti. Daca ai linux that is ... (cu cisco e alta pb.) Apropos, stie cineva cum faci (ce soft/demon userland sau patch de kernel+userland tool exista) ca sa faci arpproxy numa pt. anumite adrese ip. Sau macar sa faci linuxu sa se comporte ca un cisco, adica sa faca arpproxy numa pt adresele pe care le are in tabela de rutare pe alte interfete. Asta dac exista, ca io nu am gasit (nu ca as fi cautat prea mult). CHIAR MA INTERESEAZA ASTA, asa ca daca stie careva, please, reply. 2. Acu pornind de la ideea de la care se plecase in thread : Iptables nu are legatura cu distributia, si e char recomandabil sa nu aiba ... :) (Adica Kernel+Iptables+Modutils+Glibc+Compilator de obicei le pun din surse, chiar si pe RH, mai ales daca am nevoie de POM) #iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000 Si citez : "The --to--source IP numbers could then, for instance, be something like in the above example: 194.236.50.155-194.236.50.160. The source IP for each stream that we open would then be allocated randomly from these, and a single stream would always use the same IP address for all packets within that stream." Deci se poate face snat pe range de ip-uri si range de porturi. Acu si la dnat e cam la fel, mai putin ca portu tre matchit cu --dport, si nu merge range de porturi doar ca rezultatele sunt mai mult decat imprevizibile, mai ales la udp. Incercat cu streamuri RTP si ... nu merge faza cu rengele :), ce surpriza. Bine io, credeam ca face altceva la momentu X cand eram sincer cam bou (acu v-o 8-9 luni). Oricum, destul de bun pt load balancing intre servere multiple cand nu ai de gand sa folosesti DNS roundrobin, akaDNS, sau alto povesti, si ai toate masinile in aceiasi cladire. Desi de obicei e mai ieftin sa cumperi o masina mai puternica 3. Acu apropos de alt thread (stiu ca are decat o vaga legatura): Voce + Dnat/Snat H323 merge prin cate naturi vrei tu (Snat/Dnat pe portu udp cu pricina, ca e doar unul) . Traiasca Net2phone si altii ca nu ne fac probleme, noua muritorilor de rand si traitori din linux pe masini cel putin dubioase. SIP/RTP : o sa-l faca careva vroeodata sa meraga si ca modul de kernel ... ?, ca exista o implementare jegoasa de SIPProxd, care merge ... relativ, adica pana crapa in vre-o ora, si nu poti s-o pui in mod demon, ca nu face detach de shell asa ca tre sa dai cu nohup si &. . Care stie si vrea sa-l dezvolte in continuare si sa-i faca si pe utilizatorii de MSN messenger fericiti ca le merge vocea in spatele nat. (Secretara de aici ar avea orgasm ...) Cu alte protocoale mai mult sau mai putin proprietare nu am lucrat (vezi MSWMEncoder9 si extensiile de voice/video conference), asa ca nu stiu cu ce se manca. Daca vi se pare interesant, astept un nou thread. Oricum de facto H323 e un standard protocol transport de voce universal acceptat. Si da, nu tre neaparat sa faci dnat, pt ca exist modul de contrack h323 in kernel. Doar ca de obicei tre sa-l compilezi, cel putin pe slack, fedora si ... hahaha ... gentoo. Paranteza: Iddea e ca sip initiaza sesiune, dupa care se pornesc streamuri RTP pe udp, pe porturi random ... intre 5500 si 7000 parca, depinde de cine a facut programu. acu daca faci dnat la tot udp-ul asta spre o masina o sa mearga, daca ai 2 masini, ghici ce se intamplaaaaa... exact, nu exista modul de conn-tracking la RTP initiat de SIP (pentru cei care nu stiu : SIP = session initiation protocol, RTP = Real Time Protocol <= ce aberatie, da sa acceptam ideea) Va multumesc daca ati avut rabdare sa cititi :). si hmmm ... chiar vreau raspunsu la faza cu proxyarp, daca citind ati uitat de intrebarea mea de la inceput .. Toate cele bune Chiriac "Aarch" Dragos PS: Nu dati cu paru ca folosesc outlook ... ----- Original Message ----- From: "Alin Nastac" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, July 22, 2004 10:28 AM Subject: [rlug] Re: iptables pe rh7.0 | lonely wolf wrote: | | >Alin Nastac wrote: ------taiat de aici ca sa nu fie prea mare :P ---- --- Detalii despre listele noastre de mail: http://www.lug.ro/
