S.O.S. kezdő hálózati kérdések!!!!

Hálózatok egyéb

Sziasztok!

Előre is elnézést kérek, mert a kérdéseim nagyon lámák, de még eléggé kezdő vagyok hálózatépítésben...

1. Ha én a gépen a dc=intra,dc=kft tartományt állítottam be, attól még
az interneten keresztül el tudom-e érni a levelezést mondjuk a neten keresztül a mail.kft.hu címen és a megosztásokat a www.kft.hu címen? A bind9-ben a szerverre regisztrálva vannak a mail, smtp, intraweb, wpad stb. domain-ek. Regelve van domain név és a fixIP-re van irányítva.

2. Sokat gugliztam már a következő kérdésre, de igazán kielégítő
megoldást nem találtam még. Hogyan kell megosztani a netet a belső
hálózaton. A routernek használt serverben 2 db hálókártya van: eth0
--> internet felé fixIP-vel; eth1 --> belső hálózat felé egy
switch-hez csatlakozik. A serveren Debian Etch van, de gondolom a
route-olást ugyanúgy kell kivitelezni más Debian alapú oprendszeren is
konzolban.

3. Ez az egyik leginkább láma kérdésem: Tudna-e valaki adni egy jól
működő iptables és squid konfigurációt. Igyekszem megírni a sajátomat
is, de mivel most tanulom a rendszer működését, kicsit lassan haladok,
viszont a servernek a héten üzembe kellene állnia. A jelenlegi
ipTables konfigomat az Easy Firewall Generator for IPTables Version
1.17-tel készítettem és a # pon dsl-provider parancs után folyamatosan
tele írja a képernyőmet, dropped bad packet üzenetekkel... Ezeket hogy
lehet valahova átirányítani, vagy eltüntetni a képernyőről, mert így
használhatatlan a gép. Nem lehet semmit beállítani mert csak a
hibaüziket látom.

Mindenféle segítséget nagyon köszönök és ahogy tudom, meghálálom
valamiféle barter üzlet keretében....

UI.: Flamet ne a listára küldjétek, hanem privátba!

Mindenkinek köszi!

Bazsi

  • 2254 megtekintés

( kbela | 2007. 07. 12., cs – 16:40 )

Szia,

1. Ha itt arra vagy kivancsi hogy uzemeltethetsz-e mail szervert es web szervert, akkor a valasz mindket kerdesre az hogy igen, csak persze el kell inditani es be kell allitani.

2.Ha megosztani a netet a belso halozaton azt jelenti hogy a gepekrol tudjanak internetezni akkor az IP forward kell es a masquerade a tuzfalbol. Sikszor reszletesen le volt irva itt is, keress ra.

3. Az iptables attol fugg mire akarod hasznalni a gepet. Nem letezik egy mindenre jo szabaly lista. Ha a heten mukodnie kel a gepnek akkor egy kicsit elkestel. Eloszor olvass utana hogy ertsed hogyan mukodik az iptables. A squid-nel ugyanaz: mire akarod hasznalni?

Szia,

1. Igen, erre gondoltam. Köszi, hogy megnyugtattál...
2. Megnézem itt is. Gondolhattam volna előbb is arra, hogy a HUP.hu keresőjében keressek. Én google.hu -n kerestem és az egy csomó félkész megoldást adott, amik nem akarnak igazán menni.
3. A gép egy kisvállalat szervere, ami egykeként látja el a web-, mail-, intra szerverek feladdatait és a router ill tűzfal szerepét...

+1 kérdés: Melyik progi írja állandóan fölül a resolv.conf fájlomat? Mindig kitörli a nameserver 127.0.0.1 bejegyzésem, de enélkül nem megy a belső hálón a ping-elés sem.

--
Bazsi

Ma is holnap fekszünk le, mint tegnap...

Szia!

DHCP3 szervert használok, de nem hinném, hogy az írja felül. Akkor íródik felül észrevételem szerint, amikor a pppoeconf segítségével létrehozott internetkapcsolat létrejön, vagy újra kapcsolódok valami miatt, de a pppoeconfban letiltottam, hogy aut. felülírja a nameservereket...

--
Bazsi

Ma is holnap fekszünk le, mint tegnap...

Nem így kezdődik a resolv.conf-od?
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

Mert ez csak egy link, es dinamikusan állítja elő a rendszer. Ha valamit bele akarsz tenni akkor a /etc/resolvconf/resolv.conf.d/tail fájlt szerkeszd, egyébként "man resolvconf". Az Etch-ben lett ez bevezetva, ha jol tudom.

( uid_10503 v | 2007. 07. 12., cs – 18:44 )

Nem lenne egyszerűbb az életed, ha egy Adsl Routert osztaná szét a netet? A legtöbben van valamilyen tüzesfal is, igen egyszerű beállítási lehetőségekkel. E mögé rakod a szervered, és küzdesz a levelezés beállításával. Az is emberpróbáló tud lenni! :))

gyors, olcsó és megbízható munkát végzünk.
ebből kettőt választhat!

Azt hiszem ezt az aranyszabályt nagyon elfelejtettétek mérlegelni: Vagy szánj rá időt, és tanuld meg, vagy szánj rá pénzt és bízz meg szakembert, vegyél routert, stb. vagy írd meg a tudásod szerint, gyorsan összeguglizva, és ne sírjon a szád széle...

Ha kevés az időd és tapasztalatlan vagy, akkor esetleg megpróbálkozhatsz egy "konzerv" szerverrel, mint pl. a ClarkConnect. Tűzfal, Netmegosztás, Web- , Mail-, Adatbázis-, File- és nyomtatószerver.
http://www.clarkconnect.com/info/compare.php
Ha 10 mailbox elegendő, akkor a közösségi változat megfelelő lehet neked (ingyenes).

Sziasztok!

Ennyi becsmérlő és lenéző üzenet, válasz után azt hiszem elmondom a véleményem.

Úgy gondolom, hogy a fórumban olyanok kérnek segítséget, akik valamit nem tudnak, olyanoktól, akik náluknál járatosabbak a témában. Több fórumnak és levezőlistának is a tagja vagyok, és sajnos ez mindenhol probléma. A kérdésre olyanok is válaszolnak, akik érdemben semmit nem mondanak, csak a kérdést feltevőt ócsárolják és nézik teljesen hülyének. Ennél egy fokkal jobbak azok, akik nem nézik le a kérdezőt, de a felmerült problémát teljesen máshogy akarják megoldani, mint azt a kérdező szeretné. Természetesen elfogadom, hogy vannak olyan esetek, amikor nem lehet megoldani egy problémát úgy, ahogy a kérdező kitalálta. Azt is megértem, hogy unalmas sokszor leírni ugyanazokat a megoldásokat...

Anélkül írtam le ezeket a gondolatokat és észrevételeket, hogy bárkit is szándékomban állt volna megbántani. Természetesen mindenkinek nagyon köszönöm a segítő szándékú reakcióit! Azért is fogalmazódtak meg bennem ezek a gondolatok, mert jórészt alaptalannak tartom a lekezelést.

Higgyétek el, mielőtt itt feltettem volna a kérdéseimet, sokat olvastam és böngésztem a témában. Mint mindent, a szerver építést is el kell kezdeni valahol. Senki nem úgy született, hogy tudjon kernelt programozni, tűzfalat építeni stb. Amit én eddig megtanultam a számítógépekkel kapcsolatban, azt mind autodidakta módon, rengeteget olvasva, _magamtól_ tanultam meg.

Az internet megosztással kapcsolatban is sokat böngésztem. Igyekeztem megérteni az IPtables működését és felépítését. Tudom, hogy a bejövő portot kell maszkolni és forward-olni a belső tartományra. Rengeteg tűzfal script-et kipróbáltam, amit találtam a neten, ill. próbálkoztam saját megoldással is, de sajnos egyik sem oldotta meg a problémát. Ennek ellenére nem adom fel és megpróbálom megoldani a feladatot. Azért, hogy elhigyjétek, nem csak "sír a szám" egy kész megoldásért, bemásolom ide a tűzfal scriptem internetmegosztásra vonatkozó részeleteit, amit összehoztam script generátorral és internetes leírások alapján. Elvileg működnie kellene...

...........................R É S Z L E T...........................
#!/bin/sh
#
#=====================================================================
#=====Tűzfal indítása
#=====================================================================
#

FWVER=1.3.6

echo "================================================================"
echo "================= Tűzfal (v. $FWVER) indítása... ================="
echo "================================================================"

IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe

#
#=====================================================================
#=====Eszközök beállítása
#=====================================================================
#
# ADSL-es internet kapcsolat esetén a külső eszközt valószínűleg
# ppp0-nak kell beállítani. A pontos beállításokhoz használd az
# "ifconfig" parancsot.
#

# Internet interface adatai
INET_IFACE="ppp0"
INET_ADDRESS="saját_fix_IP_címem"

# Intranet interface adatai
LOCAL_IFACE="eth1"
LOCAL_IP="192.168.15.1"
LOCAL_NET="192.168.15.0/24"
LOCAL_BCAST="192.168.15.255"

# Localhost interface adatai
LO_IFACE="lo"
LO_IP="127.0.0.1"

echo "Hálózati eszközök beállítása:"
echo "================================================================"
echo ""
echo "Internet interface adatai:"
echo "----------------------------------------------------------------"
echo " Internet kapcsolat azonosítója: $INET_IFACE"
echo " Internet kapcsolat IP címe: $INET_ADDRESS"
echo ""
echo "Intranet interface adatai:"
echo "----------------------------------------------------------------"
echo " Intranet kapcsolat azonosítója: $LOCAL_IFACE"
echo " Intranet kapcsolat IP címe: $LOCAL_IP"
echo " Intranet hálózat: $LOCAL_NET"
echo " Intranet hálózat broadcast címe: $LOCAL_BCAST"
echo ""
echo "Localhost interface adatai:"
echo "----------------------------------------------------------------"
echo " Localhost kapcsolat azonosítója: $LO_IFACE"
echo " Localhost kapcsolat IP címe: $LO_IP"

#
#=====================================================================
#=====Modulok betöltése
#=====================================================================
#

echo ""
echo "Kernel modulok betöltése:"
echo "================================================================"
echo ""
echo " Kernel modulok vizsgálata:"
$DEPMOD -a
echo "----------------------------------------------------------------"
echo " ip_tables"
$MODPROBE ip_tables
echo " ip_conntrack"
$MODPROBE ip_conntrack
echo " ip_conntrack_ftp"
$MODPROBE ip_conntrack_ftp
echo " ip_conntrack_irc"
$MODPROBE ip_conntrack_irc
echo " iptable_nat"
$MODPROBE iptable_nat
echo " ip_nat_ftp"
$MODPROBE ip_nat_ftp
echo " ip_nat_irc"
$MODPROBE ip_nat_irc
#echo " ipt_unclean"
# $MODPROBE ipt_unclean
echo " ipt_MASQUERADE"
$MODPROBE ipt_MASQUERADE
echo " iptable_mangle"
$MODPROBE iptable_mangle
echo " ipt_state"
$MODPROBE ipt_state
echo " ipt_limit"
$MODPROBE ipt_limit
echo " iptable_mangle"
$MODPROBE iptable_mangle
echo "----------------------------------------------------------------"
echo "Modulok betöltése kész!"

#
#=====================================================================
#=====Kernel paraméterek beállítása
#=====================================================================
#

echo ""
echo "Kernel paraméterek beállítása:"
echo "================================================================"
echo ""
echo " IP továbbítás engedélyezése..."
echo "1" > /proc/sys/net/ipv4/ip_forward

echo " DynamicAddr engedélyezése..."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo " SYN Flood védelem aktiválása..."
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo " ICMP csomagok elfogadása..."
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo " Secure_redirect kérések elfogadása csak az alapértelmezett gateway-től..."
echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

echo " Valótlan címekről érkező csomagok naplózása..."
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

#
#=====================================================================
#=====Irányelvek beállítása
#=====================================================================
#

echo ""
echo "Irányelvek beállítása:"
echo "================================================================"
echo ""
echo " Alapértelmezett szabályok irányelveinek átállítása..."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

echo " Láncok szabályainak törlése..."
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

echo " Üres láncok törlése..."
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

echo " Irányelvek beállítása..."
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#=====================================================================
# Itt még van rengeteg szabály, aki kívácsi rá, annak privátban
# elküldöm a teljes script-et!!!
#=====================================================================

#
#=====================================================================
#=====NAT beállítása
#=====================================================================
#

echo ""
echo "NAT beállítása:"
echo "================================================================"

echo " PREROUTING lánc beállítása..."
$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 80 -j RETURN
$IPTABLES -t nat -A PREROUTING -p tcp -s $INET_ADDRESS --destination-port 443 -j RETURN

echo " Átlátszó proxy beállítása..."
$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports 3128

echo " POSTROUTING lánc beállítása"
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_ADDRESS
$IPTABLES -t nat -A POSTROUTING -s $LOCAL_NET -j SNAT --to-source $INET_ADDRESS
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $INET_IFACE -o $LOCAL_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT

echo " MTU csomagok méretének szabályozása..."
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1453: -j TCPMSS --set-mss 1452
# ADSL-es internet kapcsolat esetén a problémánk lehet az MTU-csomagok
# méretével, ezért a következő sor elől mindenképpen ki kell venni a
# kommentet.
...........................R É S Z L E T...........................

Talán a fenti script-részlet alapján tudtok 1-2 ötletet mondani, hogy miért nem megy az internet-megosztás. Ahhoz, hogy jobban belelássatok a rendszerbe, bemásolom az lsmod prancs kimenetét is.

Module Size Used by
ipt_LOG 6112 1
ipt_REDIRECT 2176 2
ipt_REJECT 5248 2
ip_nat_irc 2720 0
ip_nat_ftp 3328 0
ip_conntrack_irc 6800 1 ip_nat_irc
ip_conntrack_ftp 7760 1 ip_nat_ftp
iptable_filter 3104 1
ipt_MASQUERADE 3712 1
iptable_nat 7044 1
ip_nat 16876 5 ipt_REDIRECT,ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE,iptable_nat
ip_conntrack 49088 8 ip_nat_irc,ip_nat_ftp,ip_conntrack_irc,ip_conntrack_ftp,xt_state,ipt_MASQUERADE,iptable_nat,ip_nat
nfnetlink 6680 2 ip_nat,ip_conntrack
ipt_TCPMSS 4096 1
iptable_mangle 2880 0
ip_tables 13028 3 iptable_filter,iptable_nat,iptable_mangle
x_tables 13316 12 ipt_LOG,xt_limit,ipt_REDIRECT,xt_pkttype,ipt_REJECT,xt_state,ipt_MASQUERADE,iptable_nat,ipt_TCPMSS,
xt_tcpmss,xt_tcpudp,ip_tables

Remélem senkit nem bántottam meg, mert nem állt szándékomban és számíthatok még a segítségetekre.

--
Bazsi

Ma is holnap fekszünk le, mint tegnap...

Neked is iagazad van, a hozzaszoloknak is igazuk van. Gondolom a hozzaszolok 95%-a szinten autodidakta modon tanult, konyvekbol, netrol, howto/man segitsegevel. A gond ott van, hogy nem azzal kezdtek, hogy xy ceg szerveret beallitottak, hanem _sajat, otthoni_ gepen tanultak meg a beallitasokat. Amikor volt ra ido. Erre celoztak, hogy inkabb bizz meg vele szakembert es ha mar Te is tudod, akkor tartsd karban sajat magad. Ez nem rossz szandek, csak jotanacs.
Nezz korul erre: http://www.szabilinux.hu
Iptables-hogyan (en pl. ez alapjan allitottam be anno, van benne egy teljesen alap, mondjuk kliensre, ez semmit nem enged es van benne egy routerre valo script is)

Szia Celtic!

A szabilinux.hu-t már akkor is olvasgattam, amikor csak MS-t használtam. Sok szerepe volt ennek az oldalnak abban, hogy áttértem Linux-ra. Az xy cég a saját családi vállalkozásunk. Nem valami vadidegen cég, ahol fizetnek a munkámért. Mivel egyetemre járok, kutatok és közben tanítok is, így évközben nincs időm gyakorolni.

Azért köszönöm a tippet a "HOW-To"-kra vonatkozóan. Láthatod, hogy a saját scriptemben is megvan a route-olással kapcsolatos rész, hasonlóan mint a szabilinux.hu -s "IPtables How-To"-ban.

--
Bazsi

Ma is holnap fekszünk le, mint tegnap...

Ennyi becsmérlő és lenéző üzenet, válasz után azt hiszem elmondom a véleményem.

Úgy gondolom, hogy a fórumban olyanok kérnek segítséget, akik valamit nem tudnak, olyanoktól, akik náluknál járatosabbak a témában. Több fórumnak és levezőlistának is a tagja vagyok, és sajnos ez mindenhol probléma. A kérdésre olyanok is válaszolnak, akik érdemben semmit nem mondanak, csak a kérdést feltevőt ócsárolják és nézik teljesen hülyének.

Kár volt, mert a véleményeddel csak tovább vágod magad alatt a fát. Elfogadható az, ha kezdő és tudatlan vagy. Mindenkinek el kellett kezdenie valahol. De mindenki, aki tud regisztrálni egy kib. fórumba már azt hiszi magáról, hogy tud "fórumozni" is.

A nagypacipimpóját tud!

Legszivesebben akkor engednék fórumregisztrációt aktiválni valakinek, ha levizsgázott rfc 1855-ből, meg mondjuk felfogta esr hogyan kérdezzünk okosanjának a lényegét.
gyk.:
http://irclabor.hu/rfc1855_magyar
http://esr.fsf.hu/smart-questions_hu.html

( ilkb | 2007. 07. 13., p – 01:11 )

Sziasztok!

IPTABLES script generátorral és egy kis foltozgatással összeraktam egy scriptet. Esetleg megtenné valaki, hogy átfutja, nincs-e benne komoly biztonsági rés, illetve nagyon felesleges szabály????

Ha valaki lenne olyan rendes és megnézné, az dobjon egy privit, mert nem szeretném ide bemásolni, mert elég hosszú a sok komment miatt...

UI.: Tudtok ajánlani valami jó kis progit, amivel lehetne tesztelni a servert (tűzfal, portok stb...)?

--
Bazsi

Ma is holnap fekszünk le, mint tegnap...

Sziasztok.

Tetszik ez a "Ma is holnap fekszünk le, mint tegnap"
Én meg azt hittem, hogy a spanyol viaszt én találtam fel :
"Az idei év nehezebb mint a tavalyi, de könnyebb lessz mint a jövő évi"

Ja, próbáld meg az önmegtámadásokat is:
http://wigwam.sztaki.hu/varazslatok/port_teszt.shtml
http://www.admin-portal.hu/modules.php?name=Firewall_Test
http://www.biztonsagportal.hu/modules.php?name=Firewall

Bazsi, ez a script generator publikus?
--
wt : virtualm
Az idei év nehezebb mint a tavalyi, de könnyebb lessz mint a jövő évi.