Hozzászólások
Kedves Mindenki!
Kovetkezo kerdessel fordulok hozzatok:
Egy debian sargebol (2.6.8-as kernellel) szeretnek atjarot csinalni a helyi halom gepei szamara (192.168.10-es cimtartomany).
A bokkeno "csak" annyi, hogy nem tudom, hogy kezdjek hozza!
Allitolag iptablessel lehet megoldani!?
Talaltam nehany iptables script generatort a neten, de igazabol nem lenditett a helyzetemen :oops:
Talan
iptables -A FORWARD -s 192.168.10.x -p icmp -j ACCEPT
???
Allitolag eleg bonyolult, ezert nem gondolom, hogy a fenti sor megoldja a problemat... :cry:
Aki tud, kerem segitsen!!!
THX
By, Sanyi
- A hozzászóláshoz be kell jelentkezni
pontosan milyen atjarast biztositana eme masina, ha tok ugyanabban a subnetben vannak a dobozok?
vagy nem ertem (pedig en mar sok kerdest nem ertettem!)
routert akarsz?
- A hozzászóláshoz be kell jelentkezni
Kifelé mindent port kimehet? Befelé tűzfal?
- A hozzászóláshoz be kell jelentkezni
Ha van grafikus felületed is a Sarge-n, akkor tudom javasolni a Firestartert.
Ha jól tévedek benne van a Sarge-ban a csomagja.
Ez kezdésnek könnyen, eredményesen beállítható tűzfal átjáróval.
Nálam ez működött amíg ki nem váltottam saját készítésű megoldással.
- A hozzászóláshoz be kell jelentkezni
[quote:10b04060d5="snq-"]pontosan milyen atjarast biztositana eme masina, ha tok ugyanabban a subnetben vannak a dobozok?
:oops:
Jogos a kerdes, eleg kodosen fogalmaztam!
Konkretan:
Eme masina rezse egy helyi halozatnak, es egy masik interfacevel resze egy varosi halozatnak.
Azt szeretnem, hogy ha a helyi halo gepei a varosi halo gepeit akarjak elerni, akkor "eme masinan" keresztul erjek el azokat.
Jelenleg ui.: kb.: 8 lepesben erik el ezeket a servereket (fokent mail es webservereket).
Ez egyreszt lelassitja a kommunikaciot ezekkel a gepekkel (2 lepes helyett kb. 8 lepes), es a mail servert nem tudjuk hasznalni a Netscape Messenger levelezojevel ui.: a leveleket letolti a serverrol, de ha kuldeni szeretnenk, akkor nem talalja a kiszolgalot... :(
Jogos lenne a felvetes, hogy az eddigi ADSL routerben allitsam be, hogy a varosi halo tartomanya fele iranyulo kereseket "eme masina" fele iranyitsa, de sajnos ezt nem en konfiguralom, a szolgaltatonak pedig tilitja a szabalyzata, hogy mas cimtartomanyara routoljon. :x
[quote:10b04060d5="snq-"]routert akarsz?
Nevezhetjuk annak is! :oops:
- A hozzászóláshoz be kell jelentkezni
Ha benne van két hálókártya, az egyiken (eth1) megy a belső háló akkor másikra (eth0) telepítsd rá a ppp0 interfészt a pppoeconf paranccsal, ha adsl-ed van.
Egy megoldási alternatíva (van jobb):
[code:1:1abf86aebc]# The loopback interface
auto lo
iface lo inet loopback
# The first inside card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
up echo "1" > /proc/sys/net/ipv4/ip_forward
up iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
up iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# The outside network card
auto eth0
[/code:1:1abf86aebc]
De olvasd el a
[code:1:1abf86aebc]
/usr/share/doc/ppp/README.Debian.gz
[/code:1:1abf86aebc]
fájl tartalmát. Ott leírja egy kicsit részletesebben a teednőket interface-kel kapcsolatban.
De lenne egy kérdésem. Mi történhetett az internet gateway-el, ha a belső háló megy, a belső hálón lévő gépek látják egymást, az eth1 él (ifconfig eth1 --belső hálókártya), a külső hálókártyára települt a ppp0 és megy az ADSL. De nem lehet pingetni az internet gateway-t és fordítva. A hub-on és a hálókártyán a ledek égnek, tehát fizikai kapcsolat van.
Ötlet? Tanácstalan vagyok.
Rendszer (PII 350 MHz proci, 64 MB RAM, 2 db 10/100-as hálókártya, Debian Sarge 2.6.8 kernel). Tegnap este még jó volt, ma bekapcsolás után f.akjsghak.djqthk.ea... A logokban minden rendjén valónak tűnik.
- A hozzászóláshoz be kell jelentkezni
[quote:767659740d="csonkasanyi"]
Talan
iptables -A FORWARD -s 192.168.10.x -p icmp -j ACCEPT
???
Ez itt egy kicsit bonyinak tűnhet de egy példa:
eth0: Interneten lóg
eth1: belső hálókártya
Kívülről minden le van tiltva.
Belülről minden gép kilát, ha a GW=192.168.10.1.
Internetről egy gép 'TERMINAL_CLIENT_IP' belát a belső háló egy db. Windows-ára terminal klienssel 'FORWARD_IP'
[code:1:767659740d]
#!/bin/sh
echo "0" > /proc/sys/net/ipv4/ip_forward
LAN_IP='192.168.10.1/24'
FORWARD_IP='192.168.10.2'
TERMINAL_CLIENT_IP='xxx.xxx.xxx.xxx'
iptables -F FORWARD
iptables -F INPUT
iptables -t nat -F
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
# localhost
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -A POSTROUTING -t nat -s $LAN_IP -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j DNAT --to $FORWARD_IP
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
[/code:1:767659740d]
- A hozzászóláshoz be kell jelentkezni
Mentsd el a scriptet a /etc/init.d/sajatgw néven,
add ki a következő patancsot:
update-rc.d sajatgw defaults
és minden gépinduláskor beállítja az iptables-t
- A hozzászóláshoz be kell jelentkezni
[quote:523756d5a9="zz7"]Ha van grafikus felületed is a Sarge-n, akkor tudom javasolni a Firestartert.
Nálam ez működött amíg ki nem váltottam saját készítésű megoldással.
Nem, nincs grafikus felulet, parancssorbol kellene megoldani!
- A hozzászóláshoz be kell jelentkezni
[quote:16737ac169="FeriX"][quote:16737ac169="csonkasanyi"]
Talan
iptables -A FORWARD -s 192.168.10.x -p icmp -j ACCEPT
???
Ez itt egy kicsit bonyinak tűnhet de egy példa:
eth0: Interneten lóg
eth1: belső hálókártya
Kívülről minden le van tiltva.
Belülről minden gép kilát, ha a GW=192.168.10.1.
Internetről egy gép 'TERMINAL_CLIENT_IP' belát a belső háló egy db. Windows-ára terminal klienssel 'FORWARD_IP'
[code:1:16737ac169]
#!/bin/sh
echo "0" > /proc/sys/net/ipv4/ip_forward
LAN_IP='192.168.10.1/24'
FORWARD_IP='192.168.10.2'
TERMINAL_CLIENT_IP='xxx.xxx.xxx.xxx'
iptables -F FORWARD
iptables -F INPUT
iptables -t nat -F
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
# localhost
#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -A POSTROUTING -t nat -s $LAN_IP -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -s $TERMINAL_CLIENT_IP -p tcp --dport 3389 -j DNAT --to $FORWARD_IP
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
[/code:1:16737ac169]
Hi!
Koszi a scriptet, FeriX!
Megirtam, elmentettem, futtattam, de 1-2 ket dolog nem teljesen tiszta :oops:
Az en ertelmezesem:
- GW jelentese gateway
- LAN_IP='192.168.10.1/24' jelenti a most felallitani kivant atjarot (magat a debian belso cimet)
- TERMIANL_CLIENT_IP='xxx.xxx.xxx.xxx' jelenti azt a gepet, amelyiket kivulrol is szeretnem, hogy hozzaferjen a belso halomhoz (jelen esetben a mail server)
Tehat hogy kell azt erteni, hogy:
[quote:16737ac169="FeriX"]Internetről egy gép 'TERMINAL_CLIENT_IP' belát a belső háló egy db. Windows-ára terminal klienssel 'FORWARD_IP
- FORWARD_IP='192.168.10.2' jelenti azt a win-es gepet, amelyik hasznalja a debaint atjaronak!? :?
Egyebkent a scripttel annyi volt mindosszesen a gond, hogy a jogosultsaga 644 volt, es ezert mar bootolaskor hibat irt a gep.
Atirtam 755re, mint a tobbit abban a konyvtarban, azota megy azon a konkret gepen ("FORWARD_IP"), es a netcapa is kuldi a leveleket! :wink:
Abban nem vagyok biztos, hogy a tobbi gepen is ha beallitom a debiant atjaronak, menni fog ugyanez?
Egyreszt igenre gondolok: "belulrol minden gep kilat"
Masreszt akkor minek kellett a "FORWARD_IP"?
Bocs a lama kerdesekert, de ez a fejezet eleg uj volt szamomra, de igerem at fogom gondolni logikusan, mi, miert oldodott meg.
Es a tobbi gepunkon is kiprobalom a debiant, mint atjarot! :wink:
- A hozzászóláshoz be kell jelentkezni
Nem. Azokat a sorokat nyugodtan kommentezheted amiben ez szerepel: TERMINAL_CLIENT_IP és FORWARD_IP.
Ez csak egy példa, ha az internetről a TERMINAL_CLIENT_IPben beállított IPről el akarod érni a FORWARD_IPben beállított gépedet a tűzfaladon keresztül. Ez a példa a Microsoft Terminal Service eléréséhez való.
De ha a pl:
192.168.10.5-ös géped "FORWARD_IP='192.168.10.5'" egy linux, és az ssh-t közvetlenül a netről akarod egy bizonyos IPröl elérni, "TERMINAL_CLIENT_IP='80.81.82.83'" akkor kijavítod a 3389-es portot 22-re és máris az ssh van forwardolva. Természetesen javíthatod a TERMINAL_CLIENT_IP-t SSH_IP-re
- A hozzászóláshoz be kell jelentkezni