Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 12:59

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 11 ] 
Autor Wiadomość
Post: sobota, 8 maja 2010, 03:31 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
Witam.

Próbuję adaptować poradę do swoich potrzeb.

Cytuj:
32. Jak zrobić ogłoszenie o zablokowaniu internetu?
W apache utwórz wirtualnego hosta na porcie 81 (patrz wyżej). W thttpd edytuj plik /etc/rc.d/thttpd i pod linią:

[ -z "$PID" ] && /usr/sbin/thttpd -p 80 -u nobody -d /var/www -l /dev/null
dodaj taką:

[ -z "$PID" ] && /usr/sbin/thttpd -p 81 -u nobody -d /var/www/ogloszenie -l /dev/null
Umieść stronę www z informacja, którą ma zobaczyć użytkownik przy próbie otwarcia dowolnej strony www w katalogu /var/www/ogloszenie w przypadku thttpd, a w przypadku apache tam, gdzie ustawiłeś wirtualnego hosta. Wpisz taką regułę:

iptables -A PREROUTING -t nat -s 192.168.0.3 -p tcp --dport 1:65535 -j DNAT --to- 192.168.0.1:81
Wyłączyć to możesz wpisując taką samą regułę, tylko zmieniając –A na –D .


Problem w tym, że mam apache, i na 80 jest zestaw stron internetowych.

Pomyślałem więc, że ustawię dodatkowo Listen 81 i w Virtualhostach dopiszę sobie gdzie ma mnie przekierować jak wbijam po porcie 81. Ok. Działa. Jak wchodzę sobie na port 81 to wyświetla się ogłoszenie.

Problem w tym, że jak wprowadzę sobie regułę

iptables -A PREROUTING -t nat -s 192.168.0.224/27 -p tcp --dport 1:65535 -j DNAT --to- 192.168.0.1:81

to działa to nie do końca tak jakbym chciał.

Owszem, DHCP przydzieli mi odpowiedni adres, trafiam na maskę, zostaję przekierowany na... no i tu są klocki. Przekierowany niby na 192.168.0.1:81. Owszem, rzeczywiście wszystkie inne usługi przestały działać, ale nadal działają mi wszystkie strony internetowe (nie tylko ta z ogłoszeniem).

Pewnie banał a mi pomysłów zabrakło.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 8 maja 2010, 06:48 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
szukanie chyba nie boli? wystarczy wpisac "panel admina"
http://forum.freesco.pl/viewtopic.php?t ... nel+admina


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 maja 2010, 18:48 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
rikardo7 pisze:
szukanie chyba nie boli? wystarczy wpisac "panel admina"
http://forum.freesco.pl/viewtopic.php?t ... nel+admina

Nawet sobie to uruchomiłem u siebie. Całkiem fajna zabawka, i działa bezproblemowo. Ale... To nie jest do końca to o co mi chodzi.

Bo z tego, co widzę, to po odwiedzeniu strony 192.168.0.1:82 możesz sobie przeczytać ewentualną informację jaką admin dla ciebie zostawił.

A mi chodzi o taką sytuację, że jeśli admin zostawi ci jakąś informację, ty nie możesz czytać niczego oprócz tej wiadomości. Poza tym masz poblokowane wszystkie porty poza tym jednym.

Mogę ten skrypt wykorzystać i chętnie wykorzystam, tyle, że w takiej postaci nie rozwiązuje on powyższego problemu.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 maja 2010, 18:57 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Nie wiem jakich modyfikacji dokonales, ale ja to robilem jakis
czas temu i u mnie dziala perfekcyjnie. Na zadna inna strone sie
nie wbijesz. Bokuj wszystkie pozostale porty jesli chcesz kogos
zablokowac. Ja mam wpisana regulke do firewall.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 maja 2010, 00:39 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
CyberDuck pisze:
Nie wiem jakich modyfikacji dokonales, ale ja to robilem jakis
czas temu i u mnie dziala perfekcyjnie. Na zadna inna strone sie
nie wbijesz. Bokuj wszystkie pozostale porty jesli chcesz kogos
zablokowac. Ja mam wpisana regulke do firewall.


Prawdopodobnie tutaj znajduje się odpowiedź:
http://forum.freesco.pl/viewtopic.php?p=126769

Nie wiem tylko jakim cudem te wpisy w sudousers narobiły takiego bałaganu w systemie, i dlaczego zadziałały inaczej niż sugerowano w temacie skryptu: http://forum.freesco.pl/viewtopic.php?t=12052


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 maja 2010, 08:17 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
A ja czytając Twoje posty dochodze do przekonania ze nie zawsze robisz tak jak jest napisane, albo nie czytasz wszystkiego aby zrozumieć, ja również miałem ten panel i na 100% działał mi bez problemów.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 maja 2010, 10:52 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Odpusc sobie ten panel jesli potrzebujesz tylko statycznego ogloszenia.
Uzywasz squida?

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 maja 2010, 17:28 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
tasiorek pisze:
Odpusc sobie ten panel jesli potrzebujesz tylko statycznego ogloszenia.
Uzywasz squida?

Tak, ruch na porcie 80 idzie przez osobną maszynę Squid+Dansguardian+ClamAV. Ten panel (o ile udałoby mi się zmusić go do działania w moich warunkach) jest o tyle fajny, że mogę w łatwy i wygodny sposób blokować dostęp do internetu na wybranym stanowisku, co w przypadku placówki /szkolnej/opiekuńczej/wychowawczej, typu Dom Dziecka, byłoby całkiem pomocne.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 maja 2010, 18:22 
Offline

Rejestracja: niedziela, 7 października 2007, 23:10
Posty: 69
A może ten wątek pomoże:
http://forum.freesco.pl/viewtopic.php?t ... ht=blokada
Kiedyś miałem coś takiego zainstalowane coś ala pakiet oglos(zenie) tyle, że pisałeś blok i końcówkę IP.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 11 maja 2010, 04:50 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Wiec nie wazne czy uzywasz tego panelu, czy przekierowania z faq, upewnij sie ze regula przekierowujaca na strone jest dodana przed ta dla squida.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 13 maja 2010, 22:05 
Offline
Użytkownik

Rejestracja: niedziela, 23 września 2007, 14:35
Posty: 477
tasiorek pisze:
Wiec nie wazne czy uzywasz tego panelu, czy przekierowania z faq, upewnij sie ze regula przekierowujaca na strone jest dodana przed ta dla squida.

Problem z uruchomieniem (a dokładniej z blokowaniem wszystkiego poza komunikatem zaszytym w skrypcie http://forum.freesco.pl/viewtopic.php?t=12052 ) będzie tkwił we wpisie do subousers, który jest jednym z kroków uruchomienia skryptu.

Z jakiegoś powodu wpis w sudousers:

nobody ALL=NOPASSWD:/home/httpd/html/tablica/iptables.blok
nobody ALL=NOPASSWD:/home/httpd/html/tablica/iptables.unblok
nobody ALL=NOPASSWD:/home/httpd/html/tablica/iptables.list
(zalecana linia odstępu pod tymi wierszami była).

spowodował, że maszyna po restarcie została zapchana mnożącymi się procesami httpd na userze nobody. Ewidentnie tu się coś podziało. Więc owe wpisy z sudousers wywaliłem (i wszystko wróciło do normy, ale skrypt owszem, wyświetla komunikat, ale nie blokuje niczego i można przejść do innej strony).

Co do zwykłego przekierowania i zabawy z kolejnościami, to będzie problem, bo mam firewalla ze strony listonosz.com.pl i on działa sobie trochę własnym życiem, więc wpisy robię w rc.local. Choć ruch na Dansguardiana też tam właśnie przekierowuję. Teraz sprawdziłem i faktycznie najpierw było realizowane przekierowanie na Dansa:

: [/] [] ()
# przekierowanie portu 80 na Dansguardiana na maszynie 192.168.0.2
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.2 --dport 8080 -j MASQUERADE
iptables -t nat -A PREROUTING ! -s 192.168.0.2 ! -d 192.168.0.2 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080


A dopiero później:

: [/] [] ()
#Przekierowanie do strony powitalnej
iptables -A PREROUTING -t nat -s 192.168.0.224/27 -p tcp --dport 1:65535 -j DNAT --to- 192.168.0.1:81


Może jak zmienię kolejność to faktycznie będzie działać?


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 11 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Majestic-12 [Bot] i 22 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl