Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
zewnetrzne ip http://forum.freesco.pl/viewtopic.php?f=22&t=8909 |
Strona 10 z 11 |
Autor: | DjRobson [ niedziela, 18 maja 2008, 13:34 ] |
Tytuł: | |
Pokombinowałem trochę z rc.zewip ale ciut mi chyba to nie wychodzi tzn. nie działa. Korzystam z pliku iptables.rules, jest tam kilkanaście regułek do wywalenie p2p (layer7 i p2p), niektórym ip poblokowane, kilka przekierowań, transparentny squid itd. Działa to sobie kilka lat, stąd nie ruszam i nie dotykam. Zaistniała potrzeba przydzielenia zew. IP kilku szkodnikom. Więc wstawiam odpowiednie parametry do skryptu, uruchamiam go, robie iptable save, zatrzymuję skrypt i restart iptables. Wpisy zostają w pliku iptables.rules ale user zew. ip niema. Oprócz eth0 i eth1 pojawia sie 3 interfejs, czyli chyba tak jak powinno. Jakieś wskazówki? Czy może wkleić zawartość iptables.rules i ktoś z Was pomoże. |
Autor: | rikardo7 [ niedziela, 18 maja 2008, 15:05 ] |
Tytuł: | |
DjRobson pisze: Zaistniała potrzeba przydzielenia zew. IP kilku szkodnikom. Więc wstawiam odpowiednie parametry do skryptu, uruchamiam go, robie iptable save, zatrzymuję skrypt i restart iptables. Wpisy zostają w pliku iptables.rules ale user zew. ip niema. Oprócz eth0 i eth1 pojawia sie 3 interfejs, czyli chyba tak jak powinno. Jakieś wskazówki? Czy może wkleić zawartość iptables.rules i ktoś z Was pomoże. a po co kombinujesz z iptablesem??masz wyraznie napisane gdzies, zeby podstawic IP i maske i uruchomic! tez korzystam z pliku iptables.rules ale "....nazwapliku start" wystarcza. |
Autor: | DjRobson [ niedziela, 18 maja 2008, 18:07 ] |
Tytuł: | |
rikardo7 pisze: a po co kombinujesz z iptablesem??masz wyraznie napisane gdzies, zeby podstawic IP i maske i uruchomic! tez korzystam z pliku iptables.rules ale "....nazwapliku start" wystarcza.
No widać u mnie nie to nie działa ;( |
Autor: | zciech [ niedziela, 18 maja 2008, 22:15 ] |
Tytuł: | |
Dlaczego mili moi zamiast wylistować sobie regułki i je zanalizować zadajecie jakieś mętne pytanie typu: -To mi nie działa a wpisałem coś? W tym wątku już tyle zostało napisane, że nic do tego tematu praktycznie dodać nie można. |
Autor: | rikardo7 [ poniedziałek, 19 maja 2008, 00:02 ] |
Tytuł: | |
zciech pisze: W tym wątku już tyle zostało napisane, że nic do tego tematu praktycznie dodać nie można.
ale po co czytac wszystkie watki? mozna pierwszy i ostatni i walnac posta ze nie dziala i tyle. |
Autor: | Konar [ sobota, 28 czerwca 2008, 11:15 ] |
Tytuł: | |
Witam! Przejrzalem temat, ale nie zauwazylem kwestii dynamicznego (przyznawanego z dhcp), zewnetrznego ip... Generalnie rozchodzi się o alias interfejsu... polecenie odpowiada SIOCSIFFLAGS: Cannot assign requested address SIOCSIFFLAGS: Cannot assign requested address z gory dzieki. |
Autor: | JakubC [ poniedziałek, 30 czerwca 2008, 13:19 ] |
Tytuł: | |
Konar pisze:
dynamic? Po co chcesz robić to na aliasie? Ale skoro chcesz ifconfig eth0:2 10.10.10.10 up dhcpcd eth0:2 |
Autor: | Konar [ poniedziałek, 30 czerwca 2008, 14:59 ] |
Tytuł: | |
Fajnie, jeszcze mi tylko powiedzcie, czy mozna dla aliasu przypisac inny mac Widzialem temat sprzed paru lat, ale nie rozwiazano problemu... Pozdro |
Autor: | JakubC [ wtorek, 1 lipca 2008, 12:45 ] |
Tytuł: | |
Konar pisze: Fajnie, jeszcze mi tylko powiedzcie, czy mozna dla aliasu przypisac inny mac
Alias to tylko alias, działa na tym samym urządzeniu (tej samej karcie sieciowej), a MAC to adres sprzętowy właśnie tejże karty, więc nie ma możliwości, aby na aliasie był inny niż na ethX // EDIT: jak pokazuje tasiorek jednak jest możliwe, przepraszam za wprowadzenie w błąd. |
Autor: | tasiorek [ wtorek, 1 lipca 2008, 14:16 ] |
Tytuł: | |
Nigdy nie testowalem, ale jest to mozliwe. Zaintereuj sie multimac: http://sourceforge.net/projects/multimac/ , albo macvlan (w kernelu od 2.6.23 OIDP). |
Autor: | cassini [ wtorek, 1 lipca 2008, 16:15 ] |
Tytuł: | |
Witam, z tego co wiedze to komputer w sieci lan dziełajacym na zewnetrzym IP nie jest chroniony przez firewall (mam standardowy Zciecha). I tu pytanie czy ma ktos jakis pomysł jak odpowiednio zastosować przedzielanie zew IP aby chronił to komputer firewall?? |
Autor: | -MW- [ wtorek, 1 lipca 2008, 17:08 ] |
Tytuł: | |
patrz ostatnia linia w twoim poscie ma sie tak samo jak firewall na zewnetrznym ip. |
Autor: | kakalia [ poniedziałek, 1 grudnia 2008, 10:08 ] |
Tytuł: | |
Uzylew zewip i dziala bez problemu. Teraz jednak potrzebuje wystawic 4 koleny adresy ip, jak to zrobicz, czy wystarczy do tego samego pliku dopisac kolejne zmienne? |
Autor: | rikardo7 [ wtorek, 2 grudnia 2008, 00:34 ] |
Tytuł: | |
kakalia pisze: Uzylew zewip i dziala bez problemu. Teraz jednak potrzebuje wystawic 4 koleny adresy ip, jak to zrobicz, czy wystarczy do tego samego pliku dopisac kolejne zmienne?
zrob kopie pliku zewip o roznych nazwach np. zewip1, zewip2 itp. z odpowiednimi wpisami i prawami i uruchom je. |
Autor: | ziolko [ czwartek, 25 grudnia 2008, 20:23 ] |
Tytuł: | |
Zmodyfikowałem troszkę pliczek z rc.zewip dla łatwiejszego wprowadzania wielu IP publicznych powiązanych z lokalnymi. Łatwo można też dodać jako parametr interfejs zewnętrzny jeżeli ktoś posiada kilka łączy z przekierowaniem ruchu. Należy zatrzymać przekierowanie przed modyfikacją istniejącej listy. #!/bin/sh USECOLOR=yes . /etc/rc.d/functions #zewip=" #zewnetrzne ip ktore ma byc przydzielone #wewip= #wewnetrzne ip brd= #adres rozgloszeniowy mask= #maska sieci dev= #interfejs zewnetrzny (np. eth0) veth=2 #od jakiego numeru ma zakladac vhost plik_ip=# nazwa pliku z lista IP w formacie: wewip zewip case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" grep "^" $plik_ip | while read wewip zewip; do ifconfig $dev:$veth $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT let veth=$veth+1 done stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" grep "^" $plik_ip | while read wewip zewip; do ifconfig $dev:$veth down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT let veth=$veth+1 done stat_done ;; restart) $0 stop sleep 1 $0 start ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 |
Autor: | -MW- [ czwartek, 25 grudnia 2008, 22:38 ] |
Tytuł: | |
/usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT a te pogrubione reguly to dla zaciemnienie? sa konieczne? analizowales jakie pakiety spelnia w/w warunki? trzy reguly nie obciaza procesora, ale jak bedzie ich 300 to juz warto sie nad nimi zastanowic. przy zmianie ilosci ip zew na mniejsza ilosc np. o 1 skrypt nie wlaczy ostatniego aliasu. proponowalbym dograc skrypt aby byl nieco bardziej inteligentny. w pliku z nadawanym ip zwe i ip wew nie mozna wstawic komentarzu ? same cyferki bez opisu kto jest kto? niewygodnie tak - plik bedzie nieczytelny. |
Autor: | kakalia [ poniedziałek, 5 stycznia 2009, 15:50 ] |
Tytuł: | |
Juz mowie w czym problem. Tworze sobie 3 pliki: zewip1 zewip2 zewip3 uruchamiam je w ta takiej samej kolejnosci po uruchomieniu z zewnatrz tylko dziala zewip3, jak teraz uruchomie zewip2 to teraz on bedzie dzialal z sieci zewnetrznej. Natomiast co ciekawe wszystko dziala z sieci wnetrznej co mnie troche dziwi ? W czym jest problem, dlaczego zawsze dziala tylko ostatnie przekierowanie. |
Autor: | Osfald [ poniedziałek, 5 stycznia 2009, 23:05 ] |
Tytuł: | |
kakalia pisze: W czym jest problem, dlaczego zawsze dziala tylko ostatnie przekierowanie.
mozesz wylistowac te 3 pliki? |
Autor: | kakalia [ wtorek, 6 stycznia 2009, 10:29 ] |
Tytuł: | |
Juz je podaje: Plik zewip1: #!/bin/sh USECOLOR=yes . /etc/rc.d/functions zewip=10.0.1.99 #zewnetrzne ip ktore ma byc przydzielone wewip=192.168.1.201 #wewnetrzne ip brd=10.0.255.255 #adres rozgloszeniowy mask=255.255.0.0 #maska sieci (zewnetrznej) dev=eth0 #interfejs zewnetrzny (np. eth0) case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" ifconfig $dev:2 $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" ifconfig $dev:2 down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT stat_done ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 Plik zewip2: #!/bin/sh USECOLOR=yes . /etc/rc.d/functions zewip=10.0.1.105 #zewnetrzne ip ktore ma byc przydzielone wewip=192.168.1.95 #wewnetrzne ip brd=10.0.255.255 #adres rozgloszeniowy mask=255.255.0.0 #maska sieci (zewnetrznej) dev=eth0 #interfejs zewnetrzny (np. eth0) case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" ifconfig $dev:2 $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" ifconfig $dev:2 down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT stat_done ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 Plik zewip3: #!/bin/sh USECOLOR=yes . /etc/rc.d/functions zewip=10.0.1.83 #zewnetrzne ip ktore ma byc przydzielone wewip=192.168.1.45 #wewnetrzne ip brd=10.0.255.255 #adres rozgloszeniowy mask=255.255.0.0 #maska sieci (zewnetrznej) dev=eth0 #interfejs zewnetrzny (np. eth0) case "$1" in start) stat_busy "Start przydzielania zewnetrznego IP" ifconfig $dev:2 $zewip broadcast $brd netmask $mask up /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT stat_done ;; stop) stat_busy "Zatrzymanie przydzielania zewnetrznego IP" ifconfig $dev:2 down /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT stat_done ;; *) echo "usage $0 (start|stop|restart)" esac exit 0 Jak uruchomie wszystkie 3 lub tylko 2 to dziala zawsze ten ktory byl uruchomiony jako ostatni. |
Autor: | Osfald [ wtorek, 6 stycznia 2009, 12:07 ] |
Tytuł: | |
nie zmieniles ustawien identyfikatorow kart (interfejsow) wirtualnych: plik 1: $dev:2 - tu jest ok plik 2: jest - $dev:2, ma byc - $dev:3 - do zmiany w dwoch miejscach plik 3: jest - $dev:2, ma byc - $dec:4 - do zmiany w dwoch miejscach |
Strona 10 z 11 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |