Hozzászólások
Üdv Mindenkinek aki olvassa e sorokat tudna ma segíteni valaki folytatni a szerver és kliens beállítást hibakeresést, mert mint látom sajnos Trey nincs Online!
Előre is köszi a fáradozást
S.Feri
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Nagyon nagy fába vágtam a fejszém és úgy látom kicsorbult az éle segítségre kellene minél onlineabb annál jobb ![]("images/forum/icons/icon_smile.gif"){kind=icon}
adott egy sulinetes háló ami korábban Nt-n ment 10 géppel bővült a géppark és az NT Cd-je nincs meg amiről meglehetne oldani hogy a 15 gép tudjon internetezni és hálózaton lássák egymás megosztott könyvtárait (w95,w98 kliensek). Arra gondoltam én kis naív itt a fris SuSE81-em felnyomom és a könyvekből próbálok okos lenni, de nem jön be a dolog.
Alapeset a következő SuSE81 telepítve, 2 hálókártya a gépben eth0 és eth1 szerintem beállitva a linuxos gépen KDE3 müxik és internetet látok az egyik kliensnél a hálózatoknál beállítottam egy belső ip cimet és a ping látja de a kliensről nem lehet még internetezni. levelezés ftp kizárt.
Kérdés: Tudna valaki lépésről-lépésre segíteni ez lenne az első hálózatom amit így összeraknánk (közösen) segitsetek légyszi.
S.Feri undefined
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
Lassuk az elejerol. Ha jol ertem, akkor van egy "szervered". Ebbe van ket halozati kartya. Ez latja az internetet, azaz van kulso ipcime, megy rajta a nevfeloldas (azaz ha megpingeled a www.hup.hu-t mondjuk, akkor jon valasz)? A kliens gepekben van halozati kartya, össze vannak kötve a szerverrel (utp, vagy koax vagy barmi, tehat fizikai halozat letezik) es a klienek tudjak pingelni a szervert? Eddig jol ertettem?
Es a feladat: minden egyes kliensrol lehessen internetezni? Mi kell meg?
- A hozzászóláshoz be kell jelentkezni
Szia! örülök hogy ilyen gyorsan jön a segitség személyedben előre is köszi!
Szóval ha a szerveren pingelem a www.hup.hu-t akkor az alábbi üziket kapom:
PING portal.fsn.hu (195.228.252.13![]("images/forum/icons/icon_cool.gif"){kind=icon}
from 195.199.172.13 : 56(84) bytes of data.
--- portal.fsn.hu ping statistics ---
132 packets transmitted, 0 received, 100% loss, time 131032ms
a kliensnél csak a belső kártya pingelhető tehát csak az eth1
S.Feri
- A hozzászóláshoz be kell jelentkezni
Hat az internet megosztas a legegyszerubb. Tobb modon is meg lehet csinalni, az egyik, hogy teszel fel egy HTTP proxy-t, a masi az ip masquerading/nat.
Nezzuk a proxy peldat:
Mondjuk egy squidet a szerverre, azt beallitod, es a kliensek bongeszojebe beallitott a proxy-t. Pl. a HTTP proxy: szerver_ip:3128
Ehhez fel kell tenni a squid csomagot (nezd meg suse alatt hogy kell, gyanitom a yast2 a megoldas). Azt be kell allitani. Alap helyzetben is mukodni fog imho, de van egy 2000+ soros konfigja is ami a /etc/squid.conf. Azt kell tanulmanyozni.
Nezzuk a peldat ipchainssel (2.2.x kernel tuzfal kodja):
ellenorizd, hogy a kernel tudja-e az ipchainst-t:
ird be:
#ipchains -L
valami ilyesmit kell latni:
sunshine:/home/trey# ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
Ez azt jelenti, hogy a kernel tamogatja az ipchains-et. Termeszetesen ezt a szerveren kell csinalni.
johet az ip forwarding engedelyezese:
echo 1 > /proc/sys/net/ipv4/ip_forward
ellenorzes:
cat /proc/sys/net/ipv4/ip_forward
1
most már csak az ip masq-olást kell beállítani:
ipchains -P forward DENY
ipchains -A forward -j MASQ -s [belsõ háló címe]
A belso halozat cime az a kovetkezo beallitasokkal tortenik:
ha a szerver ipje mondjuk 10.0.0.1 es a kliensek ipja a 10.0.0.10 - 10.0.0.250 tartomanybol vannak kiosztva a 255.255.255.0 netmask mellett, akkor a pelda igy modosul:
ipchains -P forward DENY
ipchains -A forward -j MASQ -s 10.0.0.0/24
A /24 itt a 255.255.255.0 netmask rövidebb formában történõ megadása.
Ellenorzes:
ipchains -L
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ 10.0.0.0/24 anywhere n/a
ha 2.4-es kernelt hasznalsz, ipchains helyett hasznalj inkabb iptables-t. Ez egy stateful (allapottarto) tuzfalkod, szemben az ipchains-sel, ami csak egy csomagszuro. Ez azt jelenti, hogy sokkal tobbet tud, bar neked meg ezekre nem lesz szukseged.
a felallas ugyanaz:
ip forward engedelyezese:
echo 1 > /proc/sys/net/ipv4/ip_forward
masq-olas engedelyezese az eth0 interface-re:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ezek a szerver oldali beallitasok. A masq-olasnal a kliens oldalon ezeket kell beallitani (mindegy hogy ipchains vagy iptables):
ugye pingelni tudja a szervert. Ezek utan linuxk liensen:
route add default gw [szerver ipje]
ebben az esetben:
route add default gw 10.0.0.1
/etc/resolv.conf -ba valami DNS szervert be kell allitani, ha nem dhscp-tol kapja az ipt a kliens es nem allitodik be automatan.
Windows kliensen:
Az ip beallitasok fulon be kell allitani az alapertelmezett etjatot 10.0.0.1-re, es a DNS beallitasoknal valami DNS szervert.
Innentol kezdve minden gepen mennie kell az internetnek. masq-olasnal a bongeszoben nem kell semmit allitani.
"Szakirodaom":
Szerkesztés Squid Web cache server + ipchains howto (ezt jomagam irtam par eve, kicsit melyebben foglalkozik az ipchainssel + a squiddel)
IP masquerading (chrlee fele ipmasq howto, egymillioan tanultak meg belole az alapokat, koztuk en is)
Ipchains - Linux firewall
Iptables - Linux 2.4 Csomagszűrő Howto (B0B baratom iptables HOWTO forditasa)
Sok szerencset:
Udv: trey
[ Ezt az üzenetet szerkesztette:: trey 10-01-2003 13:11 ]
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
Jaj. Ez OK. A szerveren le van tiltva az ICMP eho request/reply tuzfalbol a flood-ok miatt.
Akkor a www.bme.hu-t probald megpingelni. Az valaszolni is fog:
trey@sunshine:~$ ping www.bme.hu
PING torpapa.eik.bme.hu (152.66.115.35): 56 data bytes
64 bytes from 152.66.115.35: icmp_seq=0 ttl=251 time=1194.1 ms
64 bytes from 152.66.115.35: icmp_seq=1 ttl=251 time=1215.5 ms
- A hozzászóláshoz be kell jelentkezni
Szia Trey!
Nagy a gond!
sferi@server:~> ipchains -L
bash: ipchains: command not found
Most mi a teendő? ![]("images/forum/icons/icon_frown.gif"){kind=icon}
((
- A hozzászóláshoz be kell jelentkezni
Még valami!
A BME szépen pingelődik hiba mentesen!
várom a továbbiakat is még maradok sajnos ma meg kell csinálnom ha tudsz továbbra is segíts!
S.Feri
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
eloszor is root -kent kell. Ha nincs ipchains akkor probald az iptables-t:
#iptables -L
sunshine:/home/trey# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
fel kell tenni az iptabels user space csomagot hozza, ha nincs fenn akkor a yast2-be nezz korul. A kernelbe meg csak van iptabels tamogatas meg a SuSE-ba is ![]("images/forum/icons/icon_wink.gif"){kind=icon}
Egyebkent sokkal konnyebb lenne ha a debian-t hasznalnal .... Legalabbis nekem
- A hozzászóláshoz be kell jelentkezni
Szió csak iptables van az alábbi dolgokat látja:
server:/home/sferi # iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG all -- loopback/8 anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ´
LOG all -- anywhere loopback/8 LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ´
DROP all -- loopback/8 anywhere
DROP all -- anywhere loopback/8
LOG all -- server.ank-tolna.sulinet.hu anywhere LOG level wa
rning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ´
DROP all -- server.ank-tolna.sulinet.hu anywhere
LOG all -- server.ank-tolna.sulinet.hu anywhere LOG level wa
rning tcp-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOFING ´
DROP all -- server.ank-tolna.sulinet.hu anywhere
input_ext all -- anywhere server.ank-tolna.sulinet.hu
input_int all -- anywhere server.ank-tolna.sulinet.hu
DROP all -- anywhere 195.199.172.15
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere 192.168.0.255
DROP all -- anywhere 255.255.255.255
DROP all -- anywhere server.ank-tolna.sulinet.hu
LOG all -- anywhere anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-ILLEGAL-TARGET ´
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LOG icmp -- anywhere anywhere icmp time-exceeded L
OG level warning tcp-options ip-options prefix `SuSE-FW-TRACEROUTE-ATTEMPT ´
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp port-unreachabl
e
ACCEPT icmp -- anywhere anywhere icmp fragmentation-n
eeded
ACCEPT icmp -- anywhere anywhere icmp network-prohibi
ted
ACCEPT icmp -- anywhere anywhere icmp host-prohibited
ACCEPT icmp -- anywhere anywhere icmp communication-p
rohibited
DROP icmp -- anywhere anywhere icmp destination-unr
eachable
ACCEPT all -- anywhere anywhere state NEW,RELATED,ES
TABLISHED
LOG all -- anywhere anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-OUTPUT-ERROR ´
Chain forward_dmz (0 references)
target prot opt source destination
Chain forward_ext (0 references)
target prot opt source destination
Chain forward_int (0 references)
target prot opt source destination
Chain input_dmz (0 references)
target prot opt source destination
LOG all -- 195.199.172.0/28 anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ´
DROP all -- 195.199.172.0/28 anywhere
LOG all -- 192.168.0.0/24 anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ´
DROP all -- 192.168.0.0/24 anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque
st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp address-mask-re
quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp type 2 LOG leve
l warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
DROP icmp -- anywhere anywhere
reject_func tcp -- anywhere anywhere tcp dpt:ident flag
s:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ssh flags:SY
N,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:ssh flags:SY
N,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:sunrpc flags
:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:sunrpc flags
:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:x11 flags:SY
N,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:x11 flags:SY
N,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpts:1024:65535
flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-A
CCEPT ´
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABL
ISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- pecs.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- core.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
DROP udp -- anywhere anywhere udp dpt:ssh
DROP udp -- anywhere anywhere udp dpt:sunrpc
DROP udp -- anywhere anywhere udp dpt:sunrpc
DROP udp -- anywhere anywhere udp dpt:x11
ACCEPT udp -- anywhere anywhere state RELATED,ESTABL
ISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,AC
K/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp redirect LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp echo-request LO
G level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque
st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp address-mask-re
quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG udp -- anywhere anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG all -- anywhere anywhere state INVALID LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ´
DROP all -- anywhere anywhere
Chain input_ext (1 references)
target prot opt source destination
LOG all -- 192.168.0.0/24 anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ´
DROP all -- 192.168.0.0/24 anywhere
LOG icmp -- 195.199.172.0/28 anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT-SOURCEQUENCH ´
ACCEPT icmp -- 195.199.172.0/28 anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque
st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp address-mask-re
quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp type 2 LOG leve
l warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
DROP icmp -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp dpt:http flags:S
YN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT ´
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ES
TABLISHED tcp dpt:http
reject_func tcp -- anywhere anywhere tcp dpt:ident flag
s:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:ssh flags:SY
N,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:ssh flags:SY
N,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:sunrpc flags
:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:sunrpc flags
:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpt:x11 flags:SY
N,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP ´
DROP tcp -- anywhere anywhere tcp dpt:x11 flags:SY
N,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpts:1024:65535
flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-A
CCEPT ´
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABL
ISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- pecs.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- core.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
DROP udp -- anywhere anywhere udp dpt:ssh
DROP udp -- anywhere anywhere udp dpt:sunrpc
DROP udp -- anywhere anywhere udp dpt:sunrpc
DROP udp -- anywhere anywhere udp dpt:x11
ACCEPT udp -- anywhere anywhere state RELATED,ESTABL
ISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,AC
K/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp redirect LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp echo-request LO
G level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque
st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp address-mask-re
quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG udp -- anywhere anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG all -- anywhere anywhere state INVALID LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ´
DROP all -- anywhere anywhere
Chain input_int (1 references)
target prot opt source destination
LOG all -- 195.199.172.0/28 anywhere LOG level warning tc
p-options ip-options prefix `SuSE-FW-DROP-ANTI-SPOOF ´
DROP all -- 195.199.172.0/28 anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp echo-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp time-exceeded
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp parameter-problem
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp timestamp-reply
ACCEPT icmp -- anywhere anywhere state RELATED,ESTABL
ISHED icmp address-mask-reply
LOG icmp -- anywhere anywhere icmp redirect LOG le
vel warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque
st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp address-mask-re
quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
LOG icmp -- anywhere anywhere icmp type 2 LOG leve
l warning tcp-options ip-options prefix `SuSE-FW-DROP-ICMP-CRIT ´
DROP icmp -- anywhere anywhere
reject_func tcp -- anywhere anywhere tcp dpt:ident flag
s:SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp dpts:1024:65535
flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-A
CCEPT ´
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABL
ISHED tcp dpts:1024:65535
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpts:ipcserver:65535 flags:!SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state ESTABLISHED tc
p dpt:ftp-data flags:!SYN,RST,ACK/SYN
ACCEPT udp -- pecs.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- core.sulinet.hu anywhere state NEW,RELATED,ES
TABLISHED udp spt:domain dpts:1024:65535
ACCEPT udp -- anywhere anywhere state RELATED,ESTABL
ISHED udp dpts:1024:65535
LOG tcp -- anywhere anywhere tcp flags:SYN,RST,AC
K/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp source-quench L
OG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp redirect LOG le vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp echo-request LO G level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp timestamp-reque st LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG icmp -- anywhere anywhere icmp address-mask-re quest LOG level warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG udp -- anywhere anywhere LOG level warning tc p-options ip-options prefix `SuSE-FW-DROP-DEFAULT ´
LOG all -- anywhere anywhere state INVALID LOG le vel warning tcp-options ip-options prefix `SuSE-FW-DROP-DEFAULT-INVALID ´
DROP all -- anywhere anywhere
Chain reject_func (3 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere reject-with tcp-rese t
REJECT udp -- anywhere anywhere reject-with icmp-por t-unreachable
REJECT all -- anywhere anywhere reject-with icmp-pro to-unreachable
A SuSe saját tűzfalát nem a personált hanem a nagyot állítottam szerverhez formátumúra korábban. Látsz benne valami olyat ami baromság vagy hiányos?
S.Feri
- A hozzászóláshoz be kell jelentkezni
Sajnos Debian-unk nincs elérhető közelségben
- A hozzászóláshoz be kell jelentkezni
Szia Trey!
Nagyon sok csúnya dolgot írt a fenti iptables igaz ( Ha egyszerüsíteni lehet akkor kezdjük onnan, én még mindig vagyok!
Előre is köszi
S.Feri
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
Haath ha a SuSE mondja.. es ez mukodik...
Ebbe kell beszurni azt amit mondtam.
Ez azt jelenti, hog ymukodik az iptables a gepen, es szu"r is. Szoval csak azt a ket sort ird be, es allitsd be a klienseket.
- A hozzászóláshoz be kell jelentkezni
Szióka!
Rootként próbáltam beírni:
server:/home/sferi # iptables -L Chain INPUT policy ACCEPT
Bad argument `INPUT´
Try `iptables -h´ or ´iptables --help´ for more information.
neztem a helpben nem ertem mi baja az INPUT -tal?
S.Feri
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
Ugfff. Nem azt kell az az iptables -L parancs kimenete.
#echo 1 > /proc/sys/net/ipv4/ip_forward [enter]
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE [enter]
ezt a ket parancsot kell beirnod az ipmasq -hoz
utana a klienseket allitsd be:
#route add default gw [szerver_ip]
/etc/resolv.conf -ba allits minden kliensen DNS szervert.
Ennyi.
Utana probalt ki a klinseken a bongeszest.
- A hozzászóláshoz be kell jelentkezni
Hali!
Ahogy Trey is mondta, csak a natolást lődd be, más nem kell.
A SuSE tűzfal skriptjét meg imho inkább irtsd ki
iptables -t nat -I PREROUTING -s intranet_cime -o kulso_interfesz -j MASQUERADE
meg a biztonság kedvéért, ki tudja mit szűr a SuSE:
iptables -I FORWARD -s intranet_cime -i intranet_interfész -o kulso_interfesz -p tcp --sport
1024: --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I FORWARD -d intranet_cime -i kulso_interfesz -o intranet_interfész -p tcp --sport
80 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
és tudnak webezni.
[Vili]
- A hozzászóláshoz be kell jelentkezni
Szió!!
a route add-os sort is ki kell adni? rootként és a szerver külsö vagy a belsö ip cimét kell megadni?
S.Feri
- A hozzászóláshoz be kell jelentkezni
Szia Másik Anonimous!
Hogy irtsam ki milyen paranccsal (szintaktikával , mert ahogy elörébb is írtam nem vagyok éppen guru még linuxból és ez az első ilyen hálózatom, de érdekel és meg szeretném csinálni ebből is tanulok egy kicsit előre is köszi neked is a segítséget.
S.Feri
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
igen ki kell adni a klienseken:
#route add default gw 10.0.0.1
ez azt jelent, hogy a szerver BELSO ip cimen szereplo halozati kartya az alapertelmezett atjaroja a belso gepeknek. A kulso nem is lehet, hiszen azokat nem is latja. Probald megpingepni a kulso ip-t. Az bizony nem fog neked valaszolni. ![]("images/forum/icons/icon_biggrin.gif"){kind=icon}
- A hozzászóláshoz be kell jelentkezni
Hali!
Beirtam a w9x-es gépen a route-os sort és azt irja c:\windows\route.exe: bad destination address default
Ezt hogy kell értenem? Mi a teendőm még? Kipróbáltam a belső hálókártya ipcímével is (192.168.0.1)
S.Feri
- A hozzászóláshoz be kell jelentkezni
| Quote: |
|
Mint irtam ezt a linuxos klienseken kell beirni egy konzolba root-knet.
Idezem sajat magamat kicsit elobbrol:
"Windows kliensen:
Az ip beallitasok fulon be kell allitani az alapertelmezett atjarot 10.0.0.1-re, es a DNS beallitasoknal valami DNS szervert.
Innentol kezdve minden gepen mennie kell az internetnek. masq-olasnal a bongeszoben nem kell semmit allitani."
- A hozzászóláshoz be kell jelentkezni
Trey és Vili!
Sajnos el kell mennem mert a takarítónéni is menne haza péntek lévén, hétfőn 9 körül jönnék be és folytatnánk esetleg mert annyi történt hogy irdatlanul belassultunk és a win9x-en továbbra sem megy az internet
Köszi a mai sok segitségeteket és előre is az esetleges hétfőit!
Kellemes hétvégét nektek!
S.Feri
- A hozzászóláshoz be kell jelentkezni