Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 18:12

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 
Autor Wiadomość
Post: wtorek, 27 marca 2012, 21:09 
Offline

Rejestracja: czwartek, 12 października 2006, 17:49
Posty: 32
Witam!
Udalo mi sie uruchomic podstawowa wersje CDN z orginalnym firewallem.
Niestety dostep do internetu ma kazda osoba, ktora ustawi sobie adres z zakresu 10.0.0.1-254.
Mam rowniez lacze w kilkoma zew. IP.

Pytanie 1:
Jak skonfigurowac firewall aby dostep mialy tylko konkretne IP

Pytanie 2:
Jak postawic dodatkowe zew. IP i udostepnic je konkretnym wew. IP

Pytanie 3:
Czy istnieje mozliwosc stworzenia "grup" ,aby kilka wew. IP mialo pierwsze zew. IP, nastepne kilka konkretnych wew. IP mialo drugie zew. IP itd.

Mysle, ze chodzi o wirtualne interfejsy, ale jak je postawic?

Przepraszam za moze banalne pytania i pozdrawiam.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 29 marca 2012, 10:43 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
Witam

Wszystko to co piszesz da się zrobić.

1. Wystarczy w firewall zablokować cały forward do sieci lan, a pozwolić tylko wybranym adresom ip.


2. Zew ip można nadać klientowi na kilka sposobów.
- alias na eth0 i przekierować cały ruch z ip zew na ip wew.
- alias na eth1 o adresie zew zawierającym się w przedziale
maski otrzymanych ip publicznych.
- dodać reguły forwardu do danej sieci publicznej o podanych adresach.

3. Firewall zawiera regułę maskującą adresy wew na adres zew routera.
Aby przypisać grupom inne ip zew należy na eth0 podnieść aliasy
o adresach zew i nad regułą masuarade dodać podobne reguły
z określonym zakresem sieci lan których będą się tyczyć.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ


Na górę
 Wyświetl profil  
 
Post: niedziela, 10 czerwca 2012, 16:09 
Offline

Rejestracja: czwartek, 12 października 2006, 17:49
Posty: 32
Witam!
Problem dotyczy Pkt 1, bo do konca nie wiem w ktorym pliku mam to zrobic i jak on ma wygladac :-)

Pozdrawiam


Na górę
 Wyświetl profil  
 
Post: niedziela, 10 czerwca 2012, 22:34 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
Cytuj:
Niestety dostep do internetu ma kazda osoba, ktora ustawi sobie adres z zakresu 10.0.0.1-254.

To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP
Cytuj:
Pytanie 1:
Jak skonfigurowac firewall aby dostep mialy tylko konkretne IP

Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local
Cytuj:
Pytanie 2:
Jak postawic dodatkowe zew. IP i udostępnić je konkretnym wew. IP

Możesz przecztrac TO
Cytuj:
Pytanie 3:
Czy istnieje możliwość stworzenia "grup" ,aby kilka wew. IP mialo pierwsze zew. IP, następne kilka konkretnych wew. IP miało drugie zew. IP itd.

Jak wyżej, ale w dhcp założyć kilka klas, lub zastosować wirtualne inerfejsy
i to by bylo chyba na tyle
EDIT
A tak na marginesie, dla CDN pasuje wiele plików od NND


Na górę
 Wyświetl profil  
 
Post: poniedziałek, 10 czerwca 2013, 09:32 
Offline

Rejestracja: czwartek, 12 października 2006, 17:49
Posty: 32
Witam!
rikardo7 pisze:
Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local

Moglbys mi podac przyklad takiego pliku? Jestem niedoswiadczony i nie chcial bym czegos popsuc.
Puki co wszystko dziala na standardowym firewallu z CDN.
rikardo7 pisze:
To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP

Mam i DHCP i ARP, ale jak user ustawi sobie na sztywno jakis adres,ktory nie jest wpisany do ARP to i tak ma dostep.

Pozdrawiam.


Na górę
 Wyświetl profil  
 
Post: wtorek, 11 czerwca 2013, 18:47 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
O obudziłeś się po roku!! :-)

PikaPL pisze:
Witam!
rikardo7 pisze:
Raczej podstawowego nie ruszaj, jak co to możesz zrobić sobie plik z regułami firewalla i go odpalać np. z rc.local

Moglbys mi podac przyklad takiego pliku? Jestem niedoswiadczony i nie chcial bym czegos popsuc.
Puki co wszystko dziala na standardowym firewallu z CDN.
rikardo7 pisze:
To może zainteresuj się dhcp i przydziel IP po MAC-u kompa, lub sparuj IP<-->MAC stosujac ARP

Mam i DHCP i ARP, ale jak user ustawi sobie na sztywno jakis adres,ktory nie jest wpisany do ARP to i tak ma dostep.

Pozdrawiam.

Ad.1 np. cos takiego
Cytuj:
. /etc/rc.firewall
$i -t nat -F MACS
$i -t nat -A MACS -s 192.168.0.8 -m mac --mac-source 00:0D:F3:05:39:C9 -j RETURN
$i -t nat -A MACS -s 192.168.0.11 -m mac --mac-source 00:07:85:3E:78:C0 -j RETURN
$i -t nat -A MACS -s 192.168.0.12 -m mac --mac-source 00:26:F2:60:11:B3 -j RETURN
$i -t nat -A MACS -s 192.168.0.13 -m mac --mac-source 00:1D:7D:9B:8F:5C -j RETURN
$i -t nat -A MACS -p tcp --dport 80 -j DNAT --to 127.0.0.1:80
$i -t nat -A MACS -p tcp --dport 8080 -j DNAT --to 127.0.0.1:80
$i -t nat -A MACS -j DROP

Ale nie wiem jak to zadziala bo nie testowałem tego.

Ad.2 w pliku "ethers" musza byc wszystkie IP z sieci, te ktore nie maja miec neta powinny miec jakis fałszywy MAC, jezeli masz siec x.x.x.x/24, a tylko 20 kompow w sieci to powinienes miec wszystkie 254 IP, ale tylko te 20 z właściwymi MAC-ami i odpalasz arp -f, jest jeszcze "arpalet" i "ipsentinel" do pilnowania sieci.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl