LINUX.ORG.RU

Избранные сообщения deniska

Нет инете по статике,только по dhcp.

Форум — Admin

Образ миниУбунту 14.04,драйвер сетевой карты для платы MSI Z87i пришлось переустанавливать,т.к.подгрузался не верный модуль.Вместо r8168 грузился r8169 и в самый такой момент,при загрузке системы инет вообще пропадал и больше не поднимался. После всех манипуляций всё пошло как по маслу.Подключил модем АДСЛ настроенный бриджем,на машине поднял АДСЛ соединение при помощи pppoeconf.Потыкался,АДСЛ работает. Строки отвечающие за АДСЛ в /etc/network/interfaces зарешотил.

auto lo
iface lo inet loopback
# The primary network interface
auto p2p1
iface p2p1 inet dhcp
#address 192.168.1.6
#netmask 255.255.255.0
#gateway 192.168.1.1

#auto dsl-provider
#iface dsl-provider inet ppp
#pre-up /sbin/ifconfig p2p1 up # line maintained by pppoeconf
#provider dsl-provider

Решил снова обычный роутер подключить.и не тут то было. Прописанная статика не работает,инета нет.При пинге например сайта любого выводится : 

den@den-MS-7758 ~ $ ping ya.ru
ping: unknown host ya.ru
По dhcp всё пучком. Вопрос,как проверить,какими командами,почему нет инета по статике.

deniska
()
18 комментариев

Роутер - что входит в его состав ?

Форум — Admin

Извиняюсь,по другому не смог сформулировать вопрос.Хочу узнать,что программно входит в него.По аналогии с обычными железными роутерами.Имеется машина (MSI Z87i+i3 4130) с двумя LAN портами и встроенным WI-Fi.Плюс 8 портовый свитч,на выходе.На ней и хочу попробовать построить роутер с элементами ХБМЦ (т.к. производительности ПК хватит на 10 роутером).Когда расспрашивал нашего сисадмина,он сказал,что дистрибутива (например миниУбунту) +iptables(shorewall для настройки например,чтобы не запутаться) и dnsmasq хватит за глаза для создание домашнего роутера. Может ещё чего нужно кроме указанного?Некоторые доставляют сквид (для чего он нужен.я так и понял до конца). Кто что скажет?

И что скажете насчет shorewall.Есть ещё что ,для того чтобы не сильно косячить в iptables.Или всё же помаяться с ним и если дойдёт,то нормально понять как и что работает.

deniska
()
14 комментариев

iptables проброс портов

Форум — Admin

Не могу настроить проброс портов с внешней сети на машину во внутренней сети по порту 27015. Второй день мучаюсь, помогите плиз.

EXTIF="ppp0" -внешний 
INTIF="eth1" - внутренний

UNPRIPORTS="1024:65535"


	$IPT -F
	$IPT -X
	$IPT -t nat -F PREROUTING
	$IPT -t nat -F POSTROUTING


  	# Политики по умолчанию.
  	$IPT -P INPUT DROP
	$IPT -P FORWARD DROP
    	$IPT -P OUTPUT ACCEPT
	
	# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
	$IPT -A INPUT -i lo -j ACCEPT
	$IPT -A OUTPUT -o lo -j ACCEPT
	
	# Если интерфейс не lo, то запрещаем входить в список его адресов.
	$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

     	# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
	$IPT -A INPUT   -m state --state INVALID -j DROP
   	$IPT -A FORWARD -m state --state INVALID -j DROP
	$IPT -A OUTPUT -m state --state INVALID -j DROP
	
	# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
	# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. 
	$IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	
		
		    
	# Разрешаем  ping 
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type echo-reply -j ACCEPT
	$IPT -A INPUT -p icmp -i $EXTIF -j ACCEPT

	# Разрешаем передачу пакета - некорректный параметр - используется, если в заголовке пакета содержится недопустимая запись,
	# или если контрольная сумма заголовка не соответствует контрольной сумме, указанной передающим узлом.
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type parameter-problem -j ACCEPT
	$IPT -A OUTPUT -p icmp -m icmp -o $EXTIF --icmp-type parameter-problem -j ACCEPT

	# Запрещаем подключение к X серверу через сетевые интерфейсы.
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 6000:6063 -j DROP --syn
	
	# Прописываем порты, которые открыты в системе, но которые не должны быть открыты на сетевых интерфейсах:
	# $IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports #порта
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 783
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 3310
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 10000

	# DNS сервер имен разрешаем.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport $UNPRIPORTS --sport 53 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 1024:65353 --sport 53 -j ACCEPT

	# Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - запрещаем.
	#$IPT -A OUTPUT -p tcp -m tcp -o $EXTIF --dport 113 --sport $UNPRIPORTS -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 113 -j DROP

	# Открываем некоторые порты:
	
	# SSH клиент (22)
	$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

	# Teamspeak
	$IPT -A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 9987 -j ACCEPT
	
	# Transmission-daemon
	$IPT -A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 51413 -j ACCEPT


	# Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport 68 --sport 67 -j ACCEPT

	# Разрешаем все из внутренней сети
	$IPT -A INPUT -i $INTIF -j ACCEPT
	
			
	#NAT
	$IPT -A FORWARD -i $INTIF -j ACCEPT
	$IPT -t nat -A POSTROUTING -s 192.168.1.0/$INTMSK -o $EXTIF -j MASQUERADE

	#ПРОБРОС портов
	
	#Сервер контры на 192.168.1.54 (проброс)
	$IPT -t nat -A PREROUTING -p udp -d $EXTIP/32 --dport 27015  -j DNAT --to-destination 192.168.1.54:27015 #?????
	$IPT -t nat -A POSTROUTING -p udp --dport 27015 -d 192.168.1.54/24 -j SNAT --to-source $EXTIP #??????

# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*filter
:INPUT DROP [1353:81407]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12:1040]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 783 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 3310 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 10000 -j DROP
-A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p udp -m udp --dport 27015 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*nat
:PREROUTING ACCEPT [1838:126861]
:POSTROUTING ACCEPT [13:1075]
:OUTPUT ACCEPT [13:1075]
-A PREROUTING -d 95.220.236.147/32 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.1.54:27015
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*mangle
:PREROUTING ACCEPT [2073310:1755263914]
:INPUT ACCEPT [129631:10112509]
:FORWARD ACCEPT [1943596:1745100737]
:OUTPUT ACCEPT [28682:4678269]
:POSTROUTING ACCEPT [1972010:1749696598]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
walter1991
()
13 комментариев

Простой, но при том гибкий фаерволл для линукс

Форум — General

Здравствуйте, форумчане. Возникла необходимость в firewall. До этого сидел на виндах и с легкостью мог запрещать исходящие и входящие соединения (при помощи Comodo Firewall, OutPost Firewall) отслеживая соответствующие оповещения. Софт я настраивал таким образом, что для всех сетевых операций firewall спрашивал разрешение, уведомляя меня о поведении приложения, если что-то явно не было разрешено и компьютер не получал моего разрешения, то по заранее составленному правилу - запрещалось. Это касалось всех процессов, в том числе системных.

Может кто подопнуть в направлении что почитать, и вообще - возможно ли получать подобные уведомления (даже в консоли) с подобным функционалом на Linux? Может я вообще зря надеюсь или по крайней мере мне нужно получить 80 уровень красноглазия для решения этой проблемы?

 , , , ,

Hops
()
22 комментария

Ниасилил blacklist shorewall

Форум — Admin

Доброго времени суток. На ubuntu server стоит shorewall v3.2.6 из репозитория. Имеются три зоны(две внутренние подсети и инет) В policy все соединения забанены по умолчанию, а в rules резрешены определенные порты для подсетей. Пишу в blacklist забанить порт для mac адреса определенной машины по документации с shorewall.net, перезагружаю shorewall и ничего не банится. Может кто сталкивался? Заранее благодарен. ps: в shorewall.conf стоит параметр BLACKLISTNEWONLY=No

С уважением mendisobal

>>>

mendisobal
()
3 комментария