Freesco, NND, CDN, EOS
http://forum.freesco.pl/

zewnetrzne ip
http://forum.freesco.pl/viewtopic.php?f=22&t=8909
Strona 11 z 11

Autor:  kakalia [ wtorek, 6 stycznia 2009, 15:45 ]
Tytuł: 

Wstało, dzieki :):) :) , pokłony

Autor:  poczta [ sobota, 31 stycznia 2009, 13:21 ]
Tytuł: 

witam
mam takie pytanie; czy jest mozliwosc podejrzenia ewentualnych bledow przy przy przekierowaniu zew. ip?
skrypt mam prawidlowy i pamietam , ze moglem sie laczyc z zewnatrz na wybrany komp , potrzbuje teraz polaczenia do AP ( obsluga przez www) i nie zglasza mi sie. ssh i potem lynx mnie nie urzadza bo lynx nie obsluguje ramek i nie moge przekonfigurowac zdalnie AP.

Autor:  adamol [ środa, 4 lutego 2009, 16:49 ]
Tytuł: 

Co do APekow, zrob sobie tunel za pomoc putty jak w temacie:
http://forum.freesco.pl/viewtopic.php?t=10145&highlight=putty+tunel

Autor:  Seba11 [ poniedziałek, 1 czerwca 2009, 19:46 ]
Tytuł: 

Mam problem z zewnętrznymi ipkami. Wszystko działa super i elegancko, jednak jeśli ktoś z sieci LAN próbuje połączyć się z drugim userem z tej samej adresacji za przy pomocy publicznego IP, a nie tego w sieci to niestety niechce to działać. Wszystko działa super między klasami adresowymi, serwer wszystko pięknie routuje. Z uwagi, że nie jestem w iptables biegły wolę poprosić o radę Was.
: [/] [] ()
Przykład:

user1: lan:10.0.0.10/24 publ: 89.206.xx.xx
user2: lan:10.0.0.11/24 publ: brak
user3: lan:10.0.2.2/24 publ: brak

user2 nawiązuje połączenie z  89.206.xx.xx -> nie działa
user2 nawiązuje połączenie z  10.0.0.10 -> działa
user3:nawiązuje połączenie z  89.206.xx.xx -> działa!
user3 nawiązuje połączenie z  10.0.0.10 -> działa

Używam lekko zmodyfikowanych pod własne potrzeby skryptów baroo na debianie etch z imq i l7. Oto kawałek mojego skryptu firewalla odpowiadającego za przydzielanie ipków.
: [/] [] ()
(..)
LICZ=0
    for i in `cat ${0%$START_FILE}rc.fire_nat | cut -d'#' -f1`
     do
       CLIENT=`echo $i | cut -d';' -f1`
       MAX_CONN=`echo $i | cut -d';' -f2`
       ZEW_IP=`echo $i | cut -d';' -f3`
       if [ ! "$MAX_CONN" == "" ]; then
      iptables -A FORWARD -p tcp --syn -s $CLIENT --dport ! 80:443 -m connlimit --connlimit-above $MAX_CONN -j REJECT
       fi
       if [ ! "$ZEW_IP" == "0.0.0.0" ]; then
      let LICZ++
      ifconfig eth0:$LICZ $ZEW_IP broadcast 89.206.xx.xx netmask 255.255.255.192 up
      iptables -t nat -A PREROUTING -s 0/0 -d $ZEW_IP -j DNAT --to $CLIENT
      iptables -t nat -A POSTROUTING -s $CLIENT -d 0/0 -j SNAT --to $ZEW_IP
      iptables -A FORWARD -s $ZEW_IP -j ACCEPT
      iptables -A FORWARD -d $CLIENT -j ACCEPT
      iptables -A FORWARD -s $CLIENT -j ACCEPT
       else
      iptables -A FORWARD -s $CLIENT -d 0/0 -j ACCEPT
      iptables -A FORWARD -p tcp --syn -s $CLIENT --dport ! 80:443 -m connlimit --connlimit-above $MAX_CONN -j REJECT
       fi
     done
(..)


: [/] [] ()
#rc.fire_nat (ip_address;max_conn;zewnętrzny_ip)
192.168.2.4;50;0.0.0.0
192.168.2.5;50;89.206.xx.xx
192.168.2.6;50;0.0.0.0
192.168.2.7;50;0.0.0.0
192.168.2.9;50;89.206.xx.xx
192.168.2.10;30;0.0.0.0
192.168.2.11;30;0.0.0.0
192.168.2.12;30;0.0.0.0
192.168.2.13;50;0.0.0.0
(..)

Autor:  Daemon [ wtorek, 5 kwietnia 2011, 22:20 ]
Tytuł: 

Witam,
mam w sieci kilka wolnych IP które leżą odłogiem, chciałem je przydzielić paru osobom.
podany sposób działa ale w przypadku gdy przydzielę 1 IPa - wtedy działa ok
ale chciałbym przydzielić drugiego innemu userowi i napotkałem problem.
nie wiem czy dobrze rozumuję działanie ale zrobiłem 2 osobne skrypty rc.zewip1 i rc.zewip2, wewnątrz poustawiałem zmienne odpowiednio dla jednego i drugiego usera. Dodałem do .../firewall w odpowiednich miejscach wpisy:
: [/] [] ()
/etc/rc.d/rc.zewip1 start
/etc/rc.d/rc.zewip2 start

oraz
: [/] [] ()
/etc/rc.d/rc.zewip1 stop
/etc/rc.d/rc.zewip2 stop


jednak efekt jest taki że tylko user2 dostaje zewnętrzne IP a user1 wogóle nie ma neta.
Wygląda to tak jakby rc.zewip2 "nadpisywało" działanie rc.zewip1.

Ma ktoś pomysł jak to rozwiązać??

pozdrawiam

Autor:  tasiorek [ środa, 6 kwietnia 2011, 10:50 ]
Tytuł: 

Tak. Ten pomysl jest juz opisany w tym watku.

Autor:  Daemon [ środa, 6 kwietnia 2011, 20:10 ]
Tytuł: 

ok już znalazłem, thx
wczoraj nie zauważyłem że ten post ma 11 stron i przeczytałem tylko pierwszą...

pozdrwiam

Autor:  Dayson [ piątek, 29 czerwca 2012, 09:11 ]
Tytuł:  Re: zewnetrzne ip

Witam,
Jestem w trakcie zmiany serwera (sprzętu), postawiłem na nowym sprzęcie nowe CDN, wrzuciłem wszystkie potrzebne pakiety (mam nadzieję), pliki konfiguracyjne przekopiowałem ze starego serwera i wszystko jest w porządku poza jednym, nie działają wszystkie przekierowania na adres zewnętrzny. Klienci którzy mają zwykła masquarade mają internet bez problemu ale klienci z przekierowaniem wg
: [/] [] ()
#!/bin/sh

. /etc/rc.d/functions
. /etc/iptables/conf/firewall.conf
                  
start ()
{
    stat_busy "Start przydzielania zewnetrznego IP"
     if [ $ZEW_IP = 1 ]; then
     grep "^" /etc/iptables/conf/zewip.conf | grep -v "^#"|grep [0123456789] |while read wewip zewip ; do
    /usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
    /usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
    /usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT
    /usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT
    /usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT
    /usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT
    stat_done
    done
    fi
stat_done
}
#    ;;
stop()
{
    stat_busy "Zatrzymanie przydzielania zewnetrznego IP"
     if [ $ZEW_IP = 1 ]; then
     grep "^" /etc/iptables/conf/zewip.conf | grep -v "^#"|grep [0123456789] |while read wewip zewip ; do
    /usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
    /usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
    /usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT
    /usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT
    /usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT
    /usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT
    stat_done
    done
    fi
stat_done
}
case "$1" in
    start)
    start
    ;;
    stop)
    stop
    ;;
    restart)
    $0 stop
    sleep 1
    $0 start
    ;;
    *)
    echo "usage $0 (start|stop|restart)"
esac
exit 0

nie mają internetu.

ifconfig przydziela aliasy w innym pliku.

Na starym serwerze wszystko działa bez problemu.
Może brakuje mi jakiegoś pakietu ale przecież jest działa to tylko na iptables.

Autor:  daneq [ piątek, 29 czerwca 2012, 12:49 ]
Tytuł:  Re: zewnetrzne ip

U siebie na CDN mam odpalone to i działa:

Cytuj:
#!/bin/sh

USECOLOR=yes
. /etc/rc.d/functions
zewip=x.x.x.x #zewnetrzne ip ktore ma b
wewip=192.168.0.14 #wewnetrzne ip
brd=x.x.x.x #adres rozgloszeniowy zew. adresu
mask=255.255.255.x #maska sieci zew. adresu
dev=eth0 #interfejs zewnetrzny (np. eth0)

case "$1" in
start)
stat_busy "Start przydzielania zewnetrznego IP"
ifconfig $dev:1 $zewip broadcast $brd netmask $mask up
/usr/sbin/iptables -t nat -I PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
/usr/sbin/iptables -t nat -I POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
/usr/sbin/iptables -I FORWARD -d $zewip -j ACCEPT
/usr/sbin/iptables -I FORWARD -s $wewip -j ACCEPT
/usr/sbin/iptables -I FORWARD -d $wewip -j ACCEPT
/usr/sbin/iptables -I INPUT -d $zewip -j ACCEPT
stat_done
;;
stop)
stat_busy "Zatrzymanie przydzielania zewnetrznego IP"
ifconfig $dev:1 down
/usr/sbin/iptables -t nat -D PREROUTING -s 0/0 -d $zewip -j DNAT --to $wewip
/usr/sbin/iptables -t nat -D POSTROUTING -s $wewip -d 0/0 -j SNAT --to $zewip
/usr/sbin/iptables -D FORWARD -d $zewip -j ACCEPT
/usr/sbin/iptables -D FORWARD -s $wewip -j ACCEPT
/usr/sbin/iptables -D FORWARD -d $wewip -j ACCEPT
/usr/sbin/iptables -D INPUT -d $zewip -j ACCEPT
stat_done
;;
restart)
$0 stop
sleep 1
$0 start
;;
*)
echo "usage $0 (start|stop|restart)"
esac
exit 0

Autor:  rikardo7 [ piątek, 29 czerwca 2012, 23:00 ]
Tytuł:  Re: zewnetrzne ip

prawdopodobnie nie przeniosłeś pliku, ktory nadaje IP_zewn czyli
Cytuj:
grep "^" /etc/iptables/conf/zewip.conf | grep -v "^#"|grep [0123456789] |while read wewip zewip ; do

cyli w /etc/iptables/conf/zewip jest plik "zewip" którego nie przeniosłeś
EDIT
przenieś plik uruchom go i powinno byc OK, miałeś jakieś kombinacje z iptablesem, bo normalnie nie ma czegoś takiego jak /etc/iptables/conf/
wiec, albo odpalisz plik inaczej np. w rc.local, zmieniając ścieżkę w podanym pliku, lub dostosujesz sobie tak aby działo, ale 100% nie masz odpalonego pliku /etc/iptables/conf/zewip ktory był w NND lub CDN

Autor:  Dayson [ sobota, 30 czerwca 2012, 09:34 ]
Tytuł:  Re: zewnetrzne ip

Wszystkie ścieżki są dobrze nie w tym problem.
Do tablicy iptables dodają się wszystkie wpsiy dotyczące przekierowań PREROUTING POSTROUTING FORWARD itd ale klient neta nie ma.

Autor:  rikardo7 [ sobota, 30 czerwca 2012, 12:54 ]
Tytuł:  Re: zewnetrzne ip

No to sam już musisz pomyśleć co miałeś zrobione, mnie jeszcze na myśl przychodzą DNS w resolv.conf, w CDN trzeba je chyba dopisać, o ile dobrze pamiętam, ale jak innym działa to chyba przypisałeś,pomyśl co zrobiłeś inaczej niż w NND, bo CDN u mnie po przeniesieniu plików z NND wszystko pracowało normalnie.
EDIT
Spróbuj odpalić skrypt który podał daneq

Autor:  Dayson [ wtorek, 3 lipca 2012, 05:57 ]
Tytuł:  Re: zewnetrzne ip

No i dzisiaj udało mi się znaleźć połowiczne rozwiązanie tj. jeżeli przydzielę klientowi inny adres zewnętrzny (publiczny z puli /24) niż już wcześniej używany na poprzednim serwerze działa przekierowanie jeżeli jest to poprzedni adres przekierowanie nie działa ale też nie u wszystkich z przekierowaniem, ponieważ są klienci na starych adresach i działa.
Może ma ktoś z Was jakieś rozwiązanie tego problemu?

Autor:  rikardo7 [ wtorek, 3 lipca 2012, 14:35 ]
Tytuł:  Re: zewnetrzne ip

Dayson pisze:
No i dzisiaj udało mi się znaleźć połowiczne rozwiązanie tj. jeżeli przydzielę klientowi inny adres zewnętrzny (publiczny z puli /24) niż już wcześniej używany na poprzednim serwerze działa przekierowanie jeżeli jest to poprzedni adres przekierowanie nie działa ale też nie u wszystkich z przekierowaniem, ponieważ są klienci na starych adresach i działa.
Może ma ktoś z Was jakieś rozwiązanie tego problemu?

A może poszukał byś jakich logów?? Ciężko jest wróżyć.Ewentualnie pozmieniaj te IP i tyle.
EDIT
Nie wiem jak dostajesz neta, ale może być tak ze u dostawcy trzeba by coś zresetować

Strona 11 z 11 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/