LINUX.ORG.RU
ФорумAdmin

Раздача интернета в SUSE 11.1


0

0

Прошу помощи: интернет на сервере (SUSE 11.1) настроил, пакеты бегают, маскарадинг ("Трансляция сетевых адресов") тоже настроил, в результате Skype на клиенте (из локалки) работает. Но с DNS-ом проблемы: DNS запросы не переправляются провайдеру, соответственно веб странички с клиентских машин не грузятся, только с сервера. Помогите, пожалуйста, или ткните в ссылку по настройке, желательно с картинками ;-) : никак не могу найти, руководство по 10.3 не совсем подошло.

★★★★★

Ответ на: комментарий от anonymous_0

Спасибо, завтра на работе проверю.Если прописать в настройках сети клиентских машин IP DNS-сервера провайдера, то всё работает, но это не есть "true", как сами понимаете. С настройками DNS тоже возился долго сегодня, но YAST не хочет их сохранять почему-то, выдаёт ошибку. Проверю его завтра с вашими. bind получается должен быть установлен, или достаточно bind-libs?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

ПО факту, у меня получился кэширующий dns-сервер на домашней машине, для этого - да, надо устанавливать bind. Может быть здесь еще посоветуют, как настроить просто перенаправление запросов, без bind

anonymous_0
()
Ответ на: комментарий от anonymous_0

>Может быть здесь еще посоветуют, как настроить просто перенаправление запросов, без bind

Насколько я помню на клиентских (домашних ;) ПК я всегда жёстко прописывал DNS провайдера, чтобы не заморачиваться с DNS. Сейчас придётся настроить.

Вопросы есть ещё:

1) Можно ли как-то настроить DNS (bind), чтобы он адреса серверов имён провайдера узнавал автоматом, например из resolv.conf? Ну тут, как я понимаю, уже документацию по bind-у нужно читать? ;)

2) Сейчас машрутизация настроена на ip-шник внешнего интерфейса - он фиксированный; это не критично, но всё же - а если провайдер будет выделять динамический IP: можно ли будет в yast-e настроить маршрутизацию на интерфейс, например dsl0, чтобы всё работало в автомате или это только ручками нужно?!

Скриншоты прилагаются ниже.

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

dhclient умеет изменять изменять resolf.conf при получении адреса. (yast2 > система -> редактор /etc/sysconfig -> network -> dhcp -> dhcp client -> dhclient_modify_resolv_conf -> yes (так стоит по умолчанию)). Так что должно работать без проблем

anonymous_0
()
Ответ на: комментарий от anonymous_0

>Этого достаточно?

Да, спасибо, заработало. Сейчас напишу подробнее для тех, кто будет идти следом: версия openSUSE 11.1 ещё до осени будет актуальна. ;)

Настройка брандмауэра (подразумевается, что сеть и DSL уже настроены: с этим проблем быть не должно):

1) http://imageshost.ru/links/c094db1f3d8c993b69a923bf85d625df - один интерфейс - в данном случае это dsl0 (ppp over Ethernet) - Внешний - интернет, а другой - внутренний eth0 - смотрит в локалку.

2) "Трансляция сетевых адресов" (masquerade или masquerading): http://imageshost.ru/links/5103b04705364f2eaf3940f009cdedb8: здесь 192.168.3.0/24 - соответственно локалка, "Перенаправление на IP" - внешний интерфейс, адрес которого выдаёт провайдер. Вот здесь вопрос был: как его задавать динамически?

Настройка DNS (этот пункт можно пропустить, если жестко забить DNS провайдера в настройках сети клиентских машин, что не всегда удобно): http://imageshost.ru/links/8441d81eb5a89d1fd777d39a24554a62: здесь "forwarders" - соответственно DNS сервера провайдера. И в связи с этим и был вопрос: как их задавать автоматически?

При настройке DNS в Yast-е возник глюк: он упорно не хочет сохранять строку forwarders в /etc/named.conf, пришлось вписать ручками. И вообще что-то у здесь с сохранением настроек не доработано, надо будет в novell баг репорт написать.

P.S. Jpeg-ом жать картинки - жестоко! ;)

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от anonymous_0

>dhclient умеет изменять изменять resolf.conf при получении адреса. (yast2 > система -> редактор /etc/sysconfig -> network -> dhcp -> dhcp client -> dhclient_modify_resolv_conf -> yes (так стоит по умолчанию)). Так что должно работать без проблем

В смысле? Это Вы о чём? Можно поподробнее пожалуйста?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

>2) Сейчас машрутизация настроена на ip-шник внешнего интерфейса - он фиксированный; это не критично, но всё же - а если провайдер будет выделять динамический IP: можно ли будет в yast-e настроить маршрутизацию на интерфейс, например dsl0, чтобы всё работало в автомате или это только ручками нужно?!

Да, у меня дома так же работает. Провайдер мне выдает динамический IP, я просто вместо конкретного IP указал имя интерфейса

>Насколько я помню на клиентских (домашних ;) ПК я всегда жёстко прописывал DNS провайдера, чтобы не заморачиваться с DNS. Сейчас придётся настроить.

А можно еще заморочиться и настроит DHCP-сервер, чтобы он выдавал в том числе и IP DNS-сервера. И тогда уже не придётся бегать к каждой машине и прописывать его ручками

anonymous_0
()
Ответ на: комментарий от anonymous_0

>Да, у меня дома так же работает. Провайдер мне выдает динамический IP, я просто вместо конкретного IP указал имя интерфейса

Где? Можно скриншотик, пожалуйста?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от anonymous_0

>скриншотик дома, но сейчас могу сказать, что в поле "Перенапр на IP" у меня стоит "eth0"

Спасибо работает, скриншот, для тех, кто пойдёт следом, ;) прилагается: http://imageshost.ru/links/6403b0fc55dacfba38a123d59045b2c1

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от anonymous_0

>Насколько я помню на клиентских (домашних ;) ПК я всегда жёстко прописывал DNS провайдера, чтобы не заморачиваться с DNS. Сейчас придётся настроить.

>А можно еще заморочиться и настроит DHCP-сервер, чтобы он выдавал в том числе и IP DNS-сервера. И тогда уже не придётся бегать к каждой машине и прописывать его ручками

У нас маленький офис, IP-шники фиксированные, чтобы можно было запрос перенаправить на конкретную машину, например БД, или посмотреть какая зараза забивает канал Интернета. ;)

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от anonymous_0

>скриншотик дома, но сейчас могу сказать, что в поле "Перенапр на IP" у меня стоит "eth0"

Нет так не работает, просто там нужно все правила убрать и только флажок включить: "Транслировать сети", т.е. разрешить маскарадинг, а иначе выдаёт тучу ошибок при перезагрузке сети в консоли:

/etc/init.d/network restart
Shutting down network interfaces:
dsl0 name: DSL done
eth0 device: Marvell Technology Group Ltd. 88E8001 Gigabit Ethernet Controller (rev 14) done
eth1 device: VIA Technologies, Inc. VT6105/VT6106S [Rhine-III] (rev 8b) done
Shutting down service network . . . . . . . . . done
Hint: you may set mandatory devices in /etc/sysconfig/network/config
Setting up network interfaces:
eth0 device: Marvell Technology Group Ltd. 88E8001 Gigabit Ethernet Controller (rev 14)
eth0 IP address: 192.168.3.2/24 done
eth1 device: VIA Technologies, Inc. VT6105/VT6106S [Rhine-III] (rev 8b)
eth1 Startmode is 'off' skipped
dsl0 name: DSL done
Setting up service network . . . . . . . . . . done
SuSEfirewall2: Setting up rules from /etc/sysconfig/SuSEfirewall2 ...
SuSEfirewall2: batch committing...
iptables-batch v1.4.2-rc1: Port `0' not valid

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2-rc1: Port `0' not valid

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2-rc1: host/network `dsl0' not found

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2-rc1: Port `0' not valid

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

>При настройке DNS в Yast-е возник глюк: он упорно не хочет сохранять строку forwarders в /etc/named.conf, пришлось вписать ручками. И вообще что-то у здесь с сохранением настроек не доработано, надо будет в novell баг репорт написать.

Написал: https://bugzilla.novell.com/show_bug.cgi?id=484736

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от anonymous_0

:) Главное, что оно работает! Помню я с помощью iptables включал правило которое просто перенаправляло пакеты с внутреннего интерфейса на внешний (т.е. маскарадинг). Похоже, что этот флажок делает тоже саоме, а правила нужны для более сложных случаев (цепочек, chains), когда одни запросы можно перенаправлять, а другие нет.

Остался только один вопрос на будущее: как bind настроить, чтобы DNS провайдера подхватывался автоматом?

Теперь копаю nagios для мониторинга сети.

GladAlex ★★★★★
() автор топика

Другая проблема возникла: нельзя получить список файлов с некоторых внешних ftp как с сервера, так и с клиентских машин и похоже, что это распространённая проблема. С чем это может быть связано, как это лечить?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

Что интересно: можно подключиться к ftp с сервера, но только, если файрвол отключён. Кто-нибудь может подсказать решение проблемы, пожалуйста?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от NEM

для фтп нужно скорее всего подключить модули в сусконфиге настройки фаервола FW_LOAD_MODULES="nf_ftp"
ошибка в гуе dns из-за того
/etc/named.conf
include "/etc/named.conf.include";

такого файла просто не существует поначалу.

можно выполнить /usr/share/bind/createNamedConfInclude
или отключить использование named.conf.include в
/etc/named.conf и
/etc/sysconfig/named


Pontostroy
()
Ответ на: комментарий от Pontostroy

>ошибка в гуе dns из-за того
>/etc/named.conf

>include "/etc/named.conf.include";

>такого файла просто не существует поначалу.


У меня он существует, но его можно выкинуть - это не принципиально, а ошибка всё одно будет.

>для фтп нужно скорее всего подключить модули в сусконфиге настройки фаервола FW_LOAD_MODULES="nf_ftp"


FATAL: Module nf_ftp not found.

Какие ещё могут быть идеи?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

ага nf_conntrack_ftp в /etc/named.conf.include должны инклудиться файлы которые прописаны в etc/sysconfig/named : NAMED_CONF_INCLUDE_FILES="" теоретически это должны быть файлы из /etc/named.d/ так как именно туда яст гененрирует файлы с настройками forwarders, но фактически он не хочет их грузить от туда, так как они неправельно составлены и на них ругаеться. самое простое это отключить все его самодеятельность с include, и работать самому с named.conf

Pontostroy
()
Ответ на: комментарий от GladAlex

>может: nf_conntrack_ftp?

С сервера доступ к ftp заработал нормально, с клиентов ещё нет.

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от NEM

>Брось эти морды.

Да мне без разницы уже, лишь бы работало! Видимо Линукс без консоли невозможен, :) а я так надеялся!!! ;)

>Собака зарыта в /etc/sysconfig/SuSEfirewall2. Там усЁ подробно в коментах описано.

Да, но там не написано, почему нельзя получить список файлов с некоторых ftp (только с отключенным файрволом) и как это лечить?!

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

дай ссылку на такой фтп, сам сижу за натом суси 11.1 таких фтп не встречал, и как при отключенном фтп у тебя может работать трансляция адрессов для клиентов?

Pontostroy
()
Ответ на: комментарий от Pontostroy

>дай ссылку на такой фтп, сам сижу за натом суси 11.1 таких фтп не встречал, и как при отключенном фтп у тебя может работать трансляция адрессов для клиентов?

Не могу: это корпоративный сервер с паролем, там проекты хранятся и всё такое.

Что значит за NAT-ом сидишь?! Я посмотрел, что возможно нужно для данной проблемы NAT включить:

1) отредактировал /etc/sysconfig/SuSEfirewall2, поставил
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"

2) В /etc/sysconfig/scripts/SuSEfirewall2-custom поставил:

fw_custom_before_masq() {
iptables -t nat -A POSTROUTING -o dsl0 -s 192.168.3.0/24 -j MASQUERADE
true
}

Но не работает, по iptables -L данного правила не вижу. Что я делаю не так?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от Pontostroy

>и как при отключенном фтп у тебя может работать трансляция адрессов для клиентов?

В смысле? Каккой такой "отключённый ftp"? Может "_не_ работать"?

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от Pontostroy

>дай ссылку на такой фтп, сам сижу за натом суси 11.1 таких фтп не встречал

Дали тестовый вход на один из таких серверов на время (на некоторые можно заходить): ftp://global_vova:test123@cleverweb.mk.ua С отключённым файрволом заходит, но долго.

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

>#iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Всё вроде разрешено, в чём же может быть проблема?!

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

Уже и модули все поподключал:

>FW_LOAD_MODULES="nf_conntrack nf_conntrack_ftp nf_conntrack_tftp nf_conntrack_ipv4 nf_conntrack_netbios_ns nf_nat_ftp nf_nat_tftp iptable_nat nf_nat"

всё одно не пашет.

GladAlex ★★★★★
() автор топика
Ответ на: комментарий от GladAlex

все так и есть, без фаервола зашло почти мгновенно но только в активном режиме, в пасивном тоже не отдает ЛИСТ, так что стоит копать в это сторону, с фаерволом ни с моего роутера ни с тачки за ним я нее смог зайти.

Pontostroy
()
Ответ на: комментарий от Pontostroy

>ни с моего роутера ни с тачки за ним я нее смог зайти.

А если поставить:

FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

в /ect/sysconfig/SuSEfirewall2 - с "тачки" ;) получается зайти?

GladAlex ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.