LINUX.ORG.RU

Избранные сообщения deniska

ФорумAdmin

Нет инете по статике,только по dhcp.

Образ миниУбунту 14.04,драйвер сетевой карты для платы MSI Z87i пришлось переустанавливать,т.к.подгрузался не верный модуль.Вместо r8168 грузился r8169 и в самый такой момент,при загрузке системы инет вообще пропадал и больше не поднимался. После всех манипуляций всё пошло как по маслу.Подключил модем АДСЛ настроенный бриджем,на машине поднял АДСЛ соединение при помощи pppoeconf.Потыкался,АДСЛ работает. Строки отвечающие за АДСЛ в /etc/network/interfaces зарешотил.

auto lo
iface lo inet loopback
# The primary network interface
auto p2p1
iface p2p1 inet dhcp
#address 192.168.1.6
#netmask 255.255.255.0
#gateway 192.168.1.1

#auto dsl-provider
#iface dsl-provider inet ppp
#pre-up /sbin/ifconfig p2p1 up # line maintained by pppoeconf
#provider dsl-provider

Решил снова обычный роутер подключить.и не тут то было. Прописанная статика не работает,инета нет.При пинге например сайта любого выводится : 

den@den-MS-7758 ~ $ ping ya.ru
ping: unknown host ya.ru
По dhcp всё пучком. Вопрос,как проверить,какими командами,почему нет инета по статике.

deniska
()
18 комментариев
ФорумAdmin

Роутер - что входит в его состав ?

Извиняюсь,по другому не смог сформулировать вопрос.Хочу узнать,что программно входит в него.По аналогии с обычными железными роутерами.Имеется машина (MSI Z87i+i3 4130) с двумя LAN портами и встроенным WI-Fi.Плюс 8 портовый свитч,на выходе.На ней и хочу попробовать построить роутер с элементами ХБМЦ (т.к. производительности ПК хватит на 10 роутером).Когда расспрашивал нашего сисадмина,он сказал,что дистрибутива (например миниУбунту) +iptables(shorewall для настройки например,чтобы не запутаться) и dnsmasq хватит за глаза для создание домашнего роутера. Может ещё чего нужно кроме указанного?Некоторые доставляют сквид (для чего он нужен.я так и понял до конца). Кто что скажет?

И что скажете насчет shorewall.Есть ещё что ,для того чтобы не сильно косячить в iptables.Или всё же помаяться с ним и если дойдёт,то нормально понять как и что работает.

deniska
()
14 комментариев
ФорумAdmin

iptables проброс портов

Не могу настроить проброс портов с внешней сети на машину во внутренней сети по порту 27015. Второй день мучаюсь, помогите плиз.

EXTIF="ppp0" -внешний 
INTIF="eth1" - внутренний

UNPRIPORTS="1024:65535"


	$IPT -F
	$IPT -X
	$IPT -t nat -F PREROUTING
	$IPT -t nat -F POSTROUTING


  	# Политики по умолчанию.
  	$IPT -P INPUT DROP
	$IPT -P FORWARD DROP
    	$IPT -P OUTPUT ACCEPT
	
	# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
	$IPT -A INPUT -i lo -j ACCEPT
	$IPT -A OUTPUT -o lo -j ACCEPT
	
	# Если интерфейс не lo, то запрещаем входить в список его адресов.
	$IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

     	# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
	$IPT -A INPUT   -m state --state INVALID -j DROP
   	$IPT -A FORWARD -m state --state INVALID -j DROP
	$IPT -A OUTPUT -m state --state INVALID -j DROP
	
	# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
	# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. 
	$IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	
		
		    
	# Разрешаем  ping 
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type echo-reply -j ACCEPT
	$IPT -A INPUT -p icmp -i $EXTIF -j ACCEPT

	# Разрешаем передачу пакета - некорректный параметр - используется, если в заголовке пакета содержится недопустимая запись,
	# или если контрольная сумма заголовка не соответствует контрольной сумме, указанной передающим узлом.
	$IPT -A INPUT -p icmp -m icmp -i $EXTIF --icmp-type parameter-problem -j ACCEPT
	$IPT -A OUTPUT -p icmp -m icmp -o $EXTIF --icmp-type parameter-problem -j ACCEPT

	# Запрещаем подключение к X серверу через сетевые интерфейсы.
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 6000:6063 -j DROP --syn
	
	# Прописываем порты, которые открыты в системе, но которые не должны быть открыты на сетевых интерфейсах:
	# $IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports #порта
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 783
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 3310
	$IPT -A INPUT -p tcp -m tcp -m multiport -i $EXTIF -j DROP --dports 10000

	# DNS сервер имен разрешаем.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport $UNPRIPORTS --sport 53 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 1024:65353 --sport 53 -j ACCEPT

	# Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - запрещаем.
	#$IPT -A OUTPUT -p tcp -m tcp -o $EXTIF --dport 113 --sport $UNPRIPORTS -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
	$IPT -A INPUT -p tcp -m tcp -i $EXTIF --dport 113 -j DROP

	# Открываем некоторые порты:
	
	# SSH клиент (22)
	$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

	# Teamspeak
	$IPT -A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
	$IPT -A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 9987 -j ACCEPT
	
	# Transmission-daemon
	$IPT -A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
	$IPT -A INPUT -p udp -m udp --dport 51413 -j ACCEPT


	# Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
	$IPT -A INPUT -p udp -m udp -i $EXTIF --dport 68 --sport 67 -j ACCEPT

	# Разрешаем все из внутренней сети
	$IPT -A INPUT -i $INTIF -j ACCEPT
	
			
	#NAT
	$IPT -A FORWARD -i $INTIF -j ACCEPT
	$IPT -t nat -A POSTROUTING -s 192.168.1.0/$INTMSK -o $EXTIF -j MASQUERADE

	#ПРОБРОС портов
	
	#Сервер контры на 192.168.1.54 (проброс)
	$IPT -t nat -A PREROUTING -p udp -d $EXTIP/32 --dport 27015  -j DNAT --to-destination 192.168.1.54:27015 #?????
	$IPT -t nat -A POSTROUTING -p udp --dport 27015 -d 192.168.1.54/24 -j SNAT --to-source $EXTIP #??????

# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*filter
:INPUT DROP [1353:81407]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [12:1040]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 783 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 3310 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp -m multiport --dports 10000 -j DROP
-A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51413 -j ACCEPT
-A INPUT -p udp -m udp --dport 51413 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -p udp -m udp --dport 27015 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*nat
:PREROUTING ACCEPT [1838:126861]
:POSTROUTING ACCEPT [13:1075]
:OUTPUT ACCEPT [13:1075]
-A PREROUTING -d 95.220.236.147/32 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.1.54:27015
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
# Generated by iptables-save v1.4.8 on Tue Nov 15 21:29:34 2011
*mangle
:PREROUTING ACCEPT [2073310:1755263914]
:INPUT ACCEPT [129631:10112509]
:FORWARD ACCEPT [1943596:1745100737]
:OUTPUT ACCEPT [28682:4678269]
:POSTROUTING ACCEPT [1972010:1749696598]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue Nov 15 21:29:34 2011
walter1991
()
13 комментариев
ФорумGeneral

Простой, но при том гибкий фаерволл для линукс

 , , , ,

Здравствуйте, форумчане. Возникла необходимость в firewall. До этого сидел на виндах и с легкостью мог запрещать исходящие и входящие соединения (при помощи Comodo Firewall, OutPost Firewall) отслеживая соответствующие оповещения. Софт я настраивал таким образом, что для всех сетевых операций firewall спрашивал разрешение, уведомляя меня о поведении приложения, если что-то явно не было разрешено и компьютер не получал моего разрешения, то по заранее составленному правилу - запрещалось. Это касалось всех процессов, в том числе системных.

Может кто подопнуть в направлении что почитать, и вообще - возможно ли получать подобные уведомления (даже в консоли) с подобным функционалом на Linux? Может я вообще зря надеюсь или по крайней мере мне нужно получить 80 уровень красноглазия для решения этой проблемы?

Hops
()
22 комментария
ФорумAdmin

Ниасилил blacklist shorewall

Доброго времени суток. На ubuntu server стоит shorewall v3.2.6 из репозитория. Имеются три зоны(две внутренние подсети и инет) В policy все соединения забанены по умолчанию, а в rules резрешены определенные порты для подсетей. Пишу в blacklist забанить порт для mac адреса определенной машины по документации с shorewall.net, перезагружаю shorewall и ничего не банится. Может кто сталкивался? Заранее благодарен. ps: в shorewall.conf стоит параметр BLACKLISTNEWONLY=No

С уважением mendisobal

>>> (Invalid URL, no host part!)

mendisobal
()
3 комментария