Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Firewall i kilka zewnetrznych IP http://forum.freesco.pl/viewtopic.php?f=38&t=18696 |
Strona 1 z 1 |
Autor: | PikaPL [ wtorek, 27 marca 2012, 21:09 ] |
Tytuł: | Firewall i kilka zewnetrznych IP |
Witam! Udalo mi sie uruchomic podstawowa wersje CDN z orginalnym firewallem. Niestety dostep do internetu ma kazda osoba, ktora ustawi sobie adres z zakresu 10.0.0.1-254. Mam rowniez lacze w kilkoma zew. IP. Pytanie 1: Jak skonfigurowac firewall aby dostep mialy tylko konkretne IP Pytanie 2: Jak postawic dodatkowe zew. IP i udostepnic je konkretnym wew. IP Pytanie 3: Czy istnieje mozliwosc stworzenia "grup" ,aby kilka wew. IP mialo pierwsze zew. IP, nastepne kilka konkretnych wew. IP mialo drugie zew. IP itd. Mysle, ze chodzi o wirtualne interfejsy, ale jak je postawic? Przepraszam za moze banalne pytania i pozdrawiam. |
Autor: | -MW- [ czwartek, 29 marca 2012, 10:43 ] |
Tytuł: | |
Witam Wszystko to co piszesz da się zrobić. 1. Wystarczy w firewall zablokować cały forward do sieci lan, a pozwolić tylko wybranym adresom ip. 2. Zew ip można nadać klientowi na kilka sposobów. - alias na eth0 i przekierować cały ruch z ip zew na ip wew. - alias na eth1 o adresie zew zawierającym się w przedziale maski otrzymanych ip publicznych. - dodać reguły forwardu do danej sieci publicznej o podanych adresach. 3. Firewall zawiera regułę maskującą adresy wew na adres zew routera. Aby przypisać grupom inne ip zew należy na eth0 podnieść aliasy o adresach zew i nad regułą masuarade dodać podobne reguły z określonym zakresem sieci lan których będą się tyczyć. |
Autor: | PikaPL [ niedziela, 10 czerwca 2012, 16:09 ] |
Tytuł: | Re: Firewall i kilka zewnetrznych IP |
Witam! Problem dotyczy Pkt 1, bo do konca nie wiem w ktorym pliku mam to zrobic i jak on ma wygladac Pozdrawiam |
Autor: | rikardo7 [ niedziela, 10 czerwca 2012, 22:34 ] |
Tytuł: | Re: Firewall i kilka zewnetrznych IP |
Cytuj: Niestety dostep do internetu ma kazda osoba, ktora ustawi sobie adres z zakresu 10.0.0.1-254. To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP Cytuj: Pytanie 1: Jak skonfigurowac firewall aby dostep mialy tylko konkretne IP Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local Cytuj: Pytanie 2: Jak postawic dodatkowe zew. IP i udostępnić je konkretnym wew. IP Możesz przecztrac TO Cytuj: Pytanie 3: Czy istnieje możliwość stworzenia "grup" ,aby kilka wew. IP mialo pierwsze zew. IP, następne kilka konkretnych wew. IP miało drugie zew. IP itd. Jak wyżej, ale w dhcp założyć kilka klas, lub zastosować wirtualne inerfejsy i to by bylo chyba na tyle EDIT A tak na marginesie, dla CDN pasuje wiele plików od NND |
Autor: | PikaPL [ poniedziałek, 10 czerwca 2013, 09:32 ] |
Tytuł: | Re: Firewall i kilka zewnetrznych IP |
Witam! rikardo7 pisze: Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local Moglbys mi podac przyklad takiego pliku? Jestem niedoswiadczony i nie chcial bym czegos popsuc. Puki co wszystko dziala na standardowym firewallu z CDN. rikardo7 pisze: To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP Mam i DHCP i ARP, ale jak user ustawi sobie na sztywno jakis adres,ktory nie jest wpisany do ARP to i tak ma dostep. Pozdrawiam. |
Autor: | rikardo7 [ wtorek, 11 czerwca 2013, 18:47 ] |
Tytuł: | Re: Firewall i kilka zewnetrznych IP |
O obudziłeś się po roku!! PikaPL pisze: Witam! rikardo7 pisze: Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local Moglbys mi podac przyklad takiego pliku? Jestem niedoswiadczony i nie chcial bym czegos popsuc. Puki co wszystko dziala na standardowym firewallu z CDN. rikardo7 pisze: To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP Mam i DHCP i ARP, ale jak user ustawi sobie na sztywno jakis adres,ktory nie jest wpisany do ARP to i tak ma dostep. Pozdrawiam. Ad.1 np. cos takiego Cytuj: . /etc/rc.firewall $i -t nat -F MACS $i -t nat -A MACS -s 192.168.0.8 -m mac --mac-source 00:0D:F3:05:39:C9 -j RETURN $i -t nat -A MACS -s 192.168.0.11 -m mac --mac-source 00:07:85:3E:78:C0 -j RETURN $i -t nat -A MACS -s 192.168.0.12 -m mac --mac-source 00:26:F2:60:11:B3 -j RETURN $i -t nat -A MACS -s 192.168.0.13 -m mac --mac-source 00:1D:7D:9B:8F:5C -j RETURN $i -t nat -A MACS -p tcp --dport 80 -j DNAT --to 127.0.0.1:80 $i -t nat -A MACS -p tcp --dport 8080 -j DNAT --to 127.0.0.1:80 $i -t nat -A MACS -j DROP Ale nie wiem jak to zadziala bo nie testowałem tego. Ad.2 w pliku "ethers" musza byc wszystkie IP z sieci, te ktore nie maja miec neta powinny miec jakis fałszywy MAC, jezeli masz siec x.x.x.x/24, a tylko 20 kompow w sieci to powinienes miec wszystkie 254 IP, ale tylko te 20 z właściwymi MAC-ami i odpalasz arp -f, jest jeszcze "arpalet" i "ipsentinel" do pilnowania sieci. |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |