Hálózatok általános

Sziasztok!

Örököltem egy levelező szervert, amire rég óta panaszok voltak, hogy időnként nem jönnek a levelek illetve késnek akár egy/több napot is. Mivel nem vagyok otthon a tűzfalak és főleg a Linux világában, ezért segítséget kérnék a probléma javításában.
Egy leírás a jelenlegi állapotokról:
A levelező egy Debian 8 alapon lévő Postfix-es szerver ISPconfiggal. A Debian és az internet között egy Untagle van elhelyezve VM-re telepítve tűzfalként.
A levelezőt az elmúlt 1-2 hétben lemásoltam és frissítettem, egyenlőre csak a tesztet, nehogy az éles megboruljon mivel nem volt kb másfél-két éve frissítve, illetve telepítettem rá RoundCube-ot is, mert szükségünk lenne rá. Volt fent clamav, spamassasin és amavisd, de nem volt beállítva. Ezeket a különböző fórumokon lévő leírások alapján beállítottam. Az általam elvégzett tesztek alapján a működése jónak tűnik a teszt levelezőmnek. Bár szakavatott szemek biztos találnának benne még hiányosságokat.
Az Untangle aránylag friss, 13.1.1-es verzió van fent. A spam és vírus szűrés azért nem volt valószínűleg beállítva a levelezőn, mert a tűzfalon vannak telepítve az ingyenes csomagok (Virus Blocker Lite, Spam Blocker Lite, Phis Blocker Lite). Ezek jól működnek, mert nem sok spam és vírus jön be. A levelező felé a szükséges portok forwardolva vannak.

A konkrét probléma az, hogy a levelezőn meg a fail2ban csomag telepítve van és be is van állítva, hogy pár próbálkozás után a sikertelen bejelentkezési próbálkozások forrás IP-jét beírja a Debian iptables-ébe. Így kitiltja az Untagle belső IPjét, ez által 10 percig az összes levelet ami kintről jön és a nem belső hálóról próbálkozó felhasználók klienseit is visszadobja.
Néztem a logokat és egy támadás esetén ez órákon keresztül megy, így ellehetetlenítik a levelezést. Illetve néztem az Untangle auth.log-ját is, amiben szintén ezzel egy időben ott is rengeteg IP-ről rengeteg próbálkozás érkezik a bejelentkezésre különbőző felhasználói nevekkel.
Ezt otthon a Mikrotik routerben egyszerűen, pár tűzfal szabállyal orvosolni lehetett, de itt komplexebb a probléma, mert két VM-en is jelentkezik egy időben és az egyiken olyan, mintha LAN-on belüli probléma lenne.

Azt szeretném megtudni, hogy ti hogyan szoktátok beállítani a levelező-tűzfal párosításnál a vírus és spam szűrést? Hogy érdemes és biztonságos? A saját logikám szerint ezt csak a levelezőn tenném, így probléma esetén egy helyen kell csak keresni az okokat, viszont ebben az esetben a tűzfalon a problémás tartalmak átjönnek szűrés nélkül, felesleges forgalmat generálva. Vagy mindkét helyen legyen aktív, hogy több lépcsőben szűrjön? Vagy maradjon csak a tűzfalon?
Hogyan tudom a leírt támadások ellen védeni a levelezőt, milyen helyes konfigurációt kellene beállítanom, hogy ne magunkat rúgjuk lábon, tehát ne a tűzfalat tiltsam le a levelezőben, hanem a próbálkozó IP-jét. Ezt Untangle alatt hogy végezhetem el, mert nem találtam rá normális leírást eddig.
Van esetleg az Untangle helyett más ingyenes alternatíva? Sajnos pénzt nem áldoznak rá, de lennének olyan követelmények, hogy tiltsam pl a youtube-ot, facebook-ot, ami nehezen kivitelezhető, mivel az Untangle Lite csomagjai a https-t nem tudják blokkolni. Néztem még a pfsense-t, amit több helyen ajánlanak alternatívaként, de nem ismerem, hogy annak az ingyenes szolgáltatásai ilyet lehetővé tesznek-e.

Bocsánat, hogy sokat írtam és helyenként nagyon alap dolgokat kérdeztem, de még nem vagyok járatos ebben a témában. Köszönöm előre is az összes tanácsot, észrevételt és az építő jellegű kritikát. Illetve szívesen fogadok minden linkelt leírást, doksit, ami esetleg a segítségemre lehet.

Üdv:
spgabor

Sziasztok,

Ebben a fórum témában https://hup.hu/node/159648 volt szó a GPS trackerről, ami meg is jött és működik szépen (úgy tűnik)
Mivel ennek szerverként csak IP-t lehet megadni nem tudom használni az otthoni játékszerveremet (dyndns).

Mivel van egy szerverem amin fix publikus IP van, gondoltam egyszerűen átküldöm az adatokat Iptables-szel és már kész is. (Éles szerverre nem akarok "játékot" tenni)
Sajnos sok guglizás után sem tudtam megcsinálni a szkriptet. Oké nem vagyok egy nagy iptables expert.
Szeretnék segítséget kérni:
van egy szerver: 1.1.1.1 és egy port: 8643
Az erre az IP-re és portra érkező forgalmat szeretném egy másik gép ugyanaon portjára továbbítani, mondjuk ide:
gep.dinamikusip.hu:8643

Hogyan tudom ezt megtenni?
Olvastam, hogy az iptables nem tud nevet feloldani. Tényleg az a megoldás, hogy cron-ból percenként újra le kell futatni a scriptet a feloldott dinamikus domain IP eredményével?

üdv: redman

Sziasztok.

Lehet, hogy teljesen triviálisat kérdezek, de nem szeretnék belekezdeni amig elméletben sem vagyok képben.

Adva van egy 3 switch-ből álló, nagyon egyszerű hálózat:

sw1 -> sw2 -> sw3

Jelenleg nincs VLAN benne, működik is minden. A cél az volna, hogy a jelnelegi kábelezés megtartásával (1-1 kábel uplinkeli össze a switcheket) az sw1-be kapcsolódó gép (virtualizációs host egyik guest-je) kapjon egy VLAN-t, egészen az sw3 után lévő router-ig. (a többi guest-je, ugyanazon a kábelen pedig működjön tovább vlan nélkül ahogy eddig)

Ha tudnék külön kábelt dedikálni, akkor megcsinálnám a switch-eket a vlan-t és minden érintett portot tagged -be tennék és gondolom működne. (guest és a router is vlan képes)

És itt jön az elméleti(?) problémám, ha tagged a port, akkor a vlan nélküli csomagok is megkapják a vlan-t és akkor a nem vlan megszűnik működni. Ha untagged-be teszem, akkor meg "elvszik" a vlan már a középső switch-nél.

Vagy valamit nagyon félreértek :)

A kérdés tehát, hogy lehet-e egy vlan "tunnelt" csinálni a nem vlan forgalom mellett, ugyanazon a portokon? És ha igen, akkor mire kellene állitani a switch portokat. (cisco smart business switch-ek)

Nekem végülis az kellene, hogy ne variáljon a switch semmit a tagekkel, ami vlan taggel jön, az menjen tovább vlan-ként, ami meg anélkül az meg anélkül.

Sziasztok!

Azt szeretném kérdezni, hogy a címben szereplő kábelteszternek ismeritek valamilyen "gazdaságosabb" alternatíváját? UTP/STP/FTP kábeleket szeretnék tesztelni vele Cat6A-ig és 10GBase-T-ig, úgy, hogy a teszt feltárja az érpárak kötési sorrendjét, a kábel hosszát, a kábelen elérhető legnagyobb átviteli sebességet (pl. 100Base-TX), a kábel szerelési és egyéb problémáit és azok helyét (pl. szakadás 25 méter távolságra, rövidzárlat 20 méter távolságra, stb.). A Fluke Networks CIQ-100 Cable Tester rendelkezik ezekkel a képességekkel, de egyrészt 1000Base-T a legmagasabb szabvány, amit ismer, másrészt eléggé magas az ára. Ha nincs a piacon ennél jobb és/vagy olcsóbb eszköz, akkor ennek a megvásárlására is van keret, de mindenképpen szeretnék utánajárni, hogy van-e jobb alternatíva. Ismertek ilyet? Előre is köszönöm a segítséget.

Sziasztok!

Windows 7 alatt nem akar működni az L2TP vpn...
Ellenben iOS és MAC OS alatt hibátlanul működik rögtön szépen felcsatlakozik meg minden.
Windows alatt pedig 809-es hiba jelentkezik.
Windows tűzfalat is kinyomtam de ugyanúgy nem működik.

Mit gondoltok mi okozhatja?

Sziasztok,

Van egy hely, ami messze van mindentől és nem lehet odakötni vezetékes internetet, ezért 4G-s routerrel próbálkozok. A cél az lenne, hogy az ottani kamerákat nézhessem interneten keresztül, távolról. A router egy D-Link DWR-118, a stick D-Link DWM-222, a szolgáltató a Telekom. A helyszínről lehet internetezni, de távolról nem érem el a kamerák rögzítőjét, sőt még a router IP-jét sem tudom pingelni (beállítottam a port forwardingot és, hogy válaszoljon pingre). Számomra furcsa volt, hogy a router kezelőfelületében az IP 100.x.x.x volt, de a whatismyip.com teljesen másnak mutatta a publikus IP-met. Valószínű, hogy a sticknek és a routernek külön IP címe van. Lehet, hogy ezek között (USB) akad el a csatlakozási szándékom, vagy eleve a 4G nem támogatja ezt? Sima, vezetékes internettel még sosem volt ilyen problémám.

Köszi, ha tudtok segíteni.

Hello,

A következő a problémám.
Két hete cserélt a UPC modemet (CGNV4-EU). A modem mögött egy Mikrotik router van. A router fix ip-t kap a modemtől DHCP-vel. A router-en nyitva van pár port ami NAT-olva van. Ezek közül a 80-as és a 443-as is nyitva van, de ezek valamiért nem működnek. Konkrétan egy csomag sem jut el a router-ig belőlük.

A router helyére egy gépet rádugva Wireshark-al sem jön be csomag erre a két portra.
A UPC ügyfélszolgálat széttárja a karját, hogy ők nem korlátozzák ezeket a portokat. Mindent elhiszek, de valahol csak elakadnak azok a csomagok és nem nagyon tudom merre tovább.
Plusz adalék, hogy config hiba miatt 3 napig sikerült open proxy-t üzemeltetnem :(, így fel is került az említett ip pár feketelistára, de sikeresen leküzdöttem magam róluk.
Kb. eddig jutottam.
Ha van ötletetek ne kíméljetek!
Köszönöm előre is!

Üdv,

Lehet, hogy nagyon láma kérdés, de hogyan tudom az arubcloud oldalon létrehozott gépem dns-ét én kezelni. Ugye egy jól beállított szerverhez 2 NS lenne célszerű. Nekem ez az egy van.