LINUX.ORG.RU

Сообщения millionaire_kg

 

локальный ДНС сервер

Форум — Admin

Доброго времени суток! Есть проблемка, Я установил виртуальный ДНС сервер на Гипервизоре debian jessie. На гипервизоре 2 сетевухи 1 на мир(белый IP), 2 на локалку(192.168.0.1) смотрят. Виртуальные машины и локальные компы в одной подсети, IP 192.168.0.0/24. На виртуальной машине (ДНС сервер) локальный IP 192.168.0.248. Хочу чтоб виртуальный ДНС сервер был виден из мира. Сделал проброс порта через iptables на гипервизоре

#DNS
iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p tcp -m tcp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -p udp -m udp -d xx.xx.xx.xx/32  --dport 1024:65535 -j DNAT --to-destination 192.168.0.248:1023:65535
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport  1023:65535 -j SNAT --to-source xx.xx.xx.xx
DIG на запрос из мира показывает:
dig @xx.xx.xx.xx mydomain.org ns

; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @xx.xx.xx.xx mydomain.org ns
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7291
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mydomain.org.                                IN      NS

;; ANSWER SECTION:
mydomain.org.                 30      IN      NS      ns1.mydomain.org.

;; ADDITIONAL SECTION:
ns1.mydomain.org.             30      IN      A       192.168.0.248

;; Query time: 10 msec
;; SERVER: xx.xx.xx.xx#53(xx.xx.xx.xx)
;; WHEN: Thu Dec 08 19:19:39 KGT 2016
;; MSG SIZE  rcvd: 69

root@server:~# nslookup mydomain.org
;; Got SERVFAIL reply from 8.8.8.8, trying next server
т.е. запрос проходит но nslookup не может определить IP или что не знаю tcpdump на запрос на виртуальном ДНС
tcpdump -nn udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:24:45.191811 IP xxx.xxx.xxx.xxx.49963 > 192.168.0.248.53: 24298 [1au] A? domain.org. (46)
10:24:45.192023 IP 192.168.0.248.53 > xxx.xxx.xxx.xxx.49963: 24298*- 1/1/2 A 192.168.0.248 (85)
10:24:45.271353 IP xxx.xxx.xxx.xxx.49970 > 192.168.0.248.53: 23420 [1au] A? NS2.domain.org. (50)
10:24:45.271513 IP 192.168.0.248.53 > xxx.xxx.xxx.xxx.49970: 23420 NXDomain*- 0/1/1 (90) 

tcpdump -nn udp port 53 на запрос на гипервизоре

tcpdump -nn udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:24:45.639550 IP 74.125.74.2.49963 > xxx.xxx.xxx.xxx.53: 24298 [1au] A? domain.org. (46)
10:24:45.640048 IP xxx.xxx.xxx.xxx.53 > 74.125.74.2.49963: 24298*- 1/1/2 A 192.168.0.248 (85)
10:24:45.719107 IP 74.125.46.2.49970 > xxx.xxx.xxx.xxx.53: 23420 [1au] A? NS2.domain.org. (50)
10:24:45.719531 IP xxx.xxx.xxx.xxx.53 > 74.125.46.2.49970: 23420 NXDomain*- 0/1/1 (90)
10:25:11.914179 IP xxx.xxx.xxx.xxx.53036 > 8.8.8.8.53: 10755+ PTR? 133.199.218.58.in-addr.arpa. (45)
10:25:11.978836 IP 8.8.8.8.53 > xxx.xxx.xxx.xxx.53036: 10755 NXDomain 0/1/0 (101)

 , , ,

millionaire_kg
()

Проброс портов 53 через гипервизор на виртуалку

Форум — Admin

Здравья желаю! Есть проблемка похожая на эту, Я внутри гипервизора поставил debian jessie в нем bind для ДНС сервера, извне не видит но через локалку видит. Если сделать вот так:


C:\Users\Администратор>nslookup mydomain.org 192.168.0.248
Server:  UnKnown
Address:  192.168.0.248

Name:    mydomain.org
Address:  192.168.0.248

Сделал проброс порта через iptables на гипервизоре

#DNS
iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p tcp -m tcp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -d xx.xx.xx.xx/32 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.0.248:53
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport 53 -j SNAT --to-source xx.xx.xx.xx

iptables -t nat -A PREROUTING -p udp -m udp -d xx.xx.xx.xx/32  --dport 1024:65535 -j DNAT --to-destination 192.168.0.248:1023:65535
iptables -t nat -A POSTROUTING -d 192.168.0.248/32 -p udp -m udp --dport  1023:65535 -j SNAT --to-source xx.xx.xx.xx

DIG на запрос извне показывает:

dig @xx.xx.xx.xx mydomain.org ns

; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @xx.xx.xx.xx mydomain.org ns
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7291
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mydomain.org.                                IN      NS

;; ANSWER SECTION:
mydomain.org.                 30      IN      NS      ns1.mydomain.org.

;; ADDITIONAL SECTION:
ns1.mydomain.org.             30      IN      A       192.168.0.248

;; Query time: 10 msec
;; SERVER: xx.xx.xx.xx#53(xx.xx.xx.xx)
;; WHEN: Thu Dec 08 19:19:39 KGT 2016
;; MSG SIZE  rcvd: 69

root@server:~# nslookup mydomain.org
;; Got SERVFAIL reply from 8.8.8.8, trying next server

tcpdump -nn udp port 53 на запрос извне

tcpdump -nn udp port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:33:20.387438 IP 185.33.228.228.53587 > xxx.xxx.xxx.xxx.53: 10311% [1au] A? book.isito.kg. (42)
19:33:20.387943 IP xxx.xxx.xxx.xxx.53 > 185.33.228.228.53587: 10311 NXDomain*- 0/1/1 (87)
19:33:36.514275 IP 188.43.29.50.55025 > xxx.xxx.xxx.xxx.53: 58701% [1au] A? book.isito.kg. (42)
19:33:36.514813 IP xxx.xxx.xxx.xxx.53 > 188.43.29.50.55025: 58701 NXDomain*- 0/1/1 (87)
19:33:36.530502 IP 188.43.29.50.62927 > xxx.xxx.xxx.xxx.53: 55782% [1au] AAAA? book.isito.kg. (42)
19:33:36.530910 IP xxx.xxx.xxx.xxx.53 > 188.43.29.50.62927: 55782 NXDomain*- 0/1/1 (87)
19:33:51.085627 IP 37.140.137.24.45750 > xxx.xxx.xxx.xxx.53: 2605 AAAA? book.isito.kg. (31)
19:33:51.086085 IP xxx.xxx.xxx.xxx.53 > 37.140.137.24.45750: 2605 NXDomain*- 0/1/0 (76)
19:33:55.166537 IP 178.57.192.122.24743 > xxx.xxx.xxx.xxx.53: 48262% [1au] A? book.isito.kg. (42)
19:33:55.166989 IP xxx.xxx.xxx.xxx.53 > 178.57.192.122.24743: 48262 NXDomain*- 0/1/1 (87)

book.isito.kg откуда берется?

 , ,

millionaire_kg
()

Бридж и 2 интерфейса

Форум — Admin

Здравствуйте уважаемые знатоки! У меня есть одна проблема. Есть гипервизор на основе дебиан qemu-kvm у него 2 сетевой карты eth0 и eth1. eth0 смотрит на мир eth1 смотрит на локалку. Внутри гипервизора Я создал бридж. вот так

allow-hotplug eth0
iface eth0 inet static
        address xxx.xxx.xxx.xxx
        netmask 255.255.255.248
        network xxx.xx.xx.xx
        broadcast xx.x.x.xx
        gateway x.xxx.x.x
        dns-nameservers 8.8.8.8
        dns-search google.com

# Bridge network interface
auto eth1
iface eth1 inet manual
        #address 192.168.0.251
        #netmask 255.255.255.0

auto br0
iface br0 inet static
        address 192.168.0.252
        netmask 255.255.255.0
        bridge_ports eth1
        bridge_maxwait 0

теперь виртуалки друг друга не видят, локалки виртуалок не видят и соответсвтенно гипервизор виртуалок не видит. в iptables макскарадил eth0 и br0. ip_forward=1

 , , ,

millionaire_kg
()

iptables пассивные порты

Форум — Admin

Доброго времени суток всем! Есть одна маленькая проблема. У меня на гипервизоре Debian стоит 2 фтп виртуальных сервера. один принимает по порту 2323 другой по 2121. Когда захожу через клиента FileZilla на первый заходит, на второй выходит ошибка

Сервер отправил пассивный ответ с неопределяемым адресом. Использую существующий адрес сервера.
Команда:	MLSD
Ошибка:	Соединение передачи данных не может быть установлено: ECONNREFUSED - Соединение отклонено сервером

в гипервизоре в iptables указал так:

#ftp 2121
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2121 -j DNAT --to-destination 192.168.0.12:21
-A POSTROUTING -d 192.168.0.12/32 -p tcp -m tcp --dport 2121 -j SNAT --to-source xxx.xxx.xxx.xxx
#ftp 2323
-A PREROUTING -d xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 2323 -j DNAT --to-destination 192.168.0.11:23
-A POSTROUTING -d 192.168.0.11/32 -p tcp -m tcp --dport 2323 -j SNAT --to-source xxx.xxx.xxx.xxx

-A PREROUTING -p tcp -m tcp -d xxx.xxx.xxx.xxx/32 --dport 49152:65534 -j ACCEPT

Я думаю что последняя строчка в IPTABLES не правильно. как сделать так чтобы пассивные отправлялись

 , ,

millionaire_kg
()

Онлайн-радио на Debian 8

Форум — Admin

Здравствуйте уважаемые линуксоведы! Есть сайт на нем надо онлайн-радио подключить. подскажите в какую сторону рыть. Спасибо. PS операционка Debian 8.

 , ,

millionaire_kg
()

bonding vpn канала

Форум — Admin

Доброго времени суток!
Хочу объединить 2 tap канала с помощью bonding в режиме balance-alb.

для этого в interfaces прописал

auto bond0
iface bond0 inet static
        pre-up    /sbin/modprobe bonding max_bonds=1 mode=6 miimon=100 downdelay$
        pre-up    /usr/sbin/openvpn --mktun --dev-type tap --dev bond-client1
        pre-up    /usr/sbin/openvpn --mktun --dev-type tap --dev bond-client2
        post-up   /etc/init.d/openvpn start client client2
        post-up /bin/sleep 15
        pre-down  /etc/init.d/openvpn stop  client client2
        post-down /bin/sleep 5
        post-down /usr/sbin/openvpn --rmtun --dev-type tap --dev bond-client1
        post-down /usr/sbin/openvpn --rmtun --dev-type tap --dev bond-client2
        post-down /sbin/rmmod bonding
        address 10.0.0.2
        netmask 255.255.255.0
        #network 10.10.10.0
        #broadcast 10.10.10.255
        hwaddress ether 00:00:1F:8D:E2:5A
        bond-mode balance-alb
        bond-slaves bond0 bond-client1 bond-client2

но после перезагрузки почему то bond0 не поднимается. на экране показывает вот такое сообщение:

[....]Configuring network interfaces... Sat Apr 12 11:25:07 2014 TUN/TAP device bond-cleint opened
Sat Apr 12 11:25:07 2014 Persist state set to: ON
Sat Apr 12 11:25:07 2014 TUN/TAP device bond-cleint2
Sat Apr 12 11:25:07 2014 Persist state set to: ON
Failed to enslave bond0 to bond0. Is bond0 ready and a bonding interface?
RTNETLINK answers: Device or resource busy
Failed to bring up bond0

приходиться вручную поднимать.

ifconfig bond0 10.0.0.1 netmask 255.255.255.0 up
может в interfaces что то не так прописал?

 ,

millionaire_kg
()

bonding 2 tap tunnels vpn

Форум — Admin

Доброго времени суток! сделал два соединения через vpn на debian7 по этой инструкции https://forums.openvpn.net/topic14153.html только в режиме balance-alb
на server.conf и server2.conf Я добавил строку
server 192.168.2.0 255.255.255.0
server 192.168.3.0 255.255.255.0

на сервере все запустилось хорошо, и bonding работает и каналы поднимаются.
ПРОБЛЕМА на клиенте... туннели поднимаются, но bond не поднимается. выводит ошибку при рестарте

RTNETLINK answers: Cannot assign requested address
Failed to bring up bond0
done.
ifconfig
bond-client1 Link encap:Ethernet  HWaddr 36:d1:fd:95:8d:77
          inet addr:192.168.2.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::34d1:fdff:fe95:8d77/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)

bond-client2 Link encap:Ethernet  HWaddr a6:0a:65:8e:b8:d5
          inet addr:192.168.3.2  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: fe80::a40a:65ff:fe8e:b8d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:468 (468.0 B)

eth0      Link encap:Ethernet  HWaddr 00:0c:29:c5:47:74
          inet addr:192.168.95.60  Bcast:192.168.95.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fec5:4774/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15674 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4988 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1438942 (1.3 MiB)  TX bytes:919554 (898.0 KiB)
          Interrupt:19 Base address:0x2000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
пытаюсь вручную поднять такая же ошибка
Fri Apr 11 17:06:01 2014 TUN/TAP device bond-client1 opened
Fri Apr 11 17:06:01 2014 Persist state set to: ON
Fri Apr 11 17:06:01 2014 TUN/TAP device bond-client2 opened
Fri Apr 11 17:06:01 2014 Persist state set to: ON
RTNETLINK answers: File exists
Failed to bring up bond0.
ifconfig -a
bond0     Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0
          BROADCAST MASTER MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
объясните почему? если надо выложу все конфиги

 , , ,

millionaire_kg
()

iptable+vpn+iproute

Форум — Admin

Доброго времени суток!

Проблема с перенаправлением трафика в определенный интерфейс.

Есть 3 интерфейса + 2 VPN канала на один и тот же vpn-сервер через порты 1194 и 1195:

eth0 = LAN — ip 192.168.55.1

eth1 = WAN1 - 1.1.1.1(dhcp)

eth2 = WAN2 - 2.2.2.2(dhcp)

tun0 = VPN канал1 — ip(192.168.2.2 port 1194)

tun1 = VPN канал2 — ip(192.168.3.2 port 1195)

Надо

1. сделать так чтобы первый vpn тунель поднялся через eth1

1.1 сделать так чтобы все исходящие пакеты на порт 1194 шли через eth1

1.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth1

2. сделать так чтобы второй vpn тунель поднялся через eth2

2.1 сделать так чтобы все исходящие пакеты на порт 1195 шли через eth2

2.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth2

для этого Я делаю:

#сначала задаю таблицы в /etc/iproute2/rt_table 1194 vpn1194.out 1195 vpn1195.out

#добавляю роли

ip rule add fwmark 1194 table vpn1194.out

ip rule add fwmark 1195 table vpn1195.out

#Задаю маршрут

/sbin/ip route add default dev eth1 table vpn1194.out

/sbin/ip route add default dev eth2 table vpn1195.out

iptables -t mangle -A OUTPUT -p udp -m udp --dport 1194 -j MARK --set-mark 1194

iptables -t mangle -A OUTPUT -p udp -m udp --dport 1194 -j LOG --log-prefix «udp 1194 CONNMARK 1»

iptables -t mangle -A OUTPUT -p udp -m udp --dport 1195 -j MARK --set-mark 1195

iptables -t mangle -A OUTPUT -p udp -m udp --dport 1195 -j LOG --log-prefix «udp 1195 CONNMARK 2»

маркируются все отлично.

Chain OUTPUT (policy ACCEPT 7587 packets, 760053 bytes)

pkts bytes target prot opt in out source destination

686 110402 MARK udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 MARK set 0x4aa

686 110402 LOG udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 LOG flags 0 level 4 prefix `udp 1194 CONNMARK 1'

161 15776 MARK udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1195 MARK set 0x4ab

161 15776 LOG udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1195 LOG flags 0 level 4 prefix `udp 1195 CONNMARK 2'

В логах пишет что маркируется

Apr 1 16:28:07 gwital kernel: [ 3008.803488] udp 1194 CONNMARK 1IN= OUT=eth2 SRC=192.168.1.33 DST=109.195.86.203 LEN=89 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=48533 DPT=1194 LEN=69 MARK=0x4aa

Apr 1 16:28:09 gwital kernel: [ 3010.330899] udp 1195 CONNMARK 2IN= OUT=eth2 SRC=192.168.1.33 DST=109.195.86.203 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57522 DPT=1195 LEN=50 MARK=0x4ab

далее делаю на POSTROUTE iptables -t nat -A POSTROUTING -p udp -m udp --dport 1194 -j SNAT --to-source 192.168.1.33

iptables -t nat -A POSTROUTING -p udp -m udp --dport 1194 -j LOG --log-prefix «udp 1194 marking out 1»

iptables -t nat -A POSTROUTING -p udp -m udp --dport 1195 -j SNAT --to-source 10.0.0.10

iptables -t nat -A POSTROUTING -p udp -m udp --dport 1195 -j LOG --log-prefix «udp 1195 marking out 2»

ЛОГИ для POSTROUTING

Chain POSTROUTING (policy ACCEPT 1 packets, 60 bytes)

pkts bytes target prot opt in out source destination

0 0 SNAT udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 to:192.168.1.33

0 0 LOG udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 LOG flags 0 level 4 prefix `udp 1194 marking out 1'

но туннель не поднимается... Кто нибудь когда нибудь делал на подобие этого?

Может в POSTROUTING не так делаю?

Дайте мне совет что надо делать и что Я не так делаю?

 , , ,

millionaire_kg
()

RSS подписка на новые темы