Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest wtorek, 19 marca 2024, 04:17

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 19 ] 
Autor Wiadomość
 Tytuł: Firewall
Post: poniedziałek, 18 stycznia 2010, 02:01 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Firewall jest pakietem zawierającym firewall wzorowany na NND, później przerobiony i zastosowany w EOSie.
Dla potrzeb CDN firewall został ponownie przerobiony i dostosowany do tego systemu.
Instalacja: pacman -S firewall
Konfiguracja: Do konfiguracji służą pliki /etc/rc.firewall, w którym są ustawienia dotyczące interfejsów, oraz uruchamianych usług, oraz /etc/forward.porty zawierający ewentualne porty oraz IP. Po dokonaniu zmian należy wpisać obydwa te pliki jako NoUpgrade w /etc/pacman.conf.
Możliwości: Otwarcie lub zamknięcie portów, forward portów na maszyny w sieci, włączenie transparentnego proxy www i pop3.
Todo: Dodanie opcji sprawdzania, czy jest faul2ban i restart niceshapera przy restarcie firewalla.
Uwagi: W przeciwieństwie do NND tutaj firewall nie jest częścią iptables. Dzięki temu, gdy powstaną kolejne firewalle, będzie można sobie wybrać dowolny. Inne firewalle, które będą powstawać, będą musiały mieć alternatywną nazwę (np. firewall-x, gdzie x to nazwa autora).

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 26 maja 2010, 17:09 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Czy ktoś miał może jakieś problemy z forwardem portów? Mam bardzo dziwną sytuację.

/etc/forward.porty
192.168.1.2 6812 6812
192.168.1.2 7812 7812
192.168.1.4 6814 6814
192.168.1.4 7814 7814
192.168.1.5 6815 6815
192.168.1.5 7815 7815

w /etc/rc.firewall
(...)
FORWARD=1
(...)

Podczas testowania forwardowanych portów przy tej konfiguracji wszystkie, poza 7814, są zamknięte, tzn. tak twierdzi test na stronie utorrent'a, a program portchecker stwierdza, że port jest otwarty dla udp i na zmianę otwarty i zamknięty dla tcp.
Sprawdzałem tablice iptables poleceniem iptables --list i w łańcuchu Forward po odpaleniu skryptu firewall są wszystkie ustawione w forward przekierowania.

Konifguracja:
EXTIF=eth0 RTL-8139C
INTIF=br0
br0=eth1 RTL-8139C +wlan0 AR2413(jakiś TP-link)

Most stoi, dhcp też.

Nie wiem, co może być nie tak. Zaczynam skłaniać się ku powrotowi do nnd, bo z cdn póki co dużo problemów :/


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 26 maja 2010, 17:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Przygotowując taką podstawową konfigurację, założyliśmy pewne standardowe potrzeby adminów. Miedzy innymi takie, że żaden zawodowy admin nie będzie się raczej bawił w torrenty.
Mało tego, typowy firewall z maskaradą jest raczej dal małych sieci szkolnych i firmowych, sieci abonenckie maskaradą się nie posługują i admina torrenty klientów nie obchodzą.
Dlatego forward portów założyliśmy, ze będzie dotyczył tcp. Miał być prymitywnie wręcz prosty i łatwy, ale stuprocentowo skuteczny.
: [/] [] ()
$IPT -I FORWARD -p tcp -d $I1 --dport $I2 -j ACCEPT
$IPT -t nat -A PREROUTING -i $EXTIF -p tcp --dport $I3 -j DNAT --to $I1:$I2

Takie regułki są w pliku /etc/rc.d/forward i jeśli potrzebujesz forwardu dla torrentów na udp, to po prostu dodaj jeszcze raz takie same regułki w tym pliku, zamieniając "tcp" na "udp".

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 26 maja 2010, 17:36 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Nie wspomniałem, że dodałem reguły dla udp.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 26 maja 2010, 20:55 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To źle, ze nie wspomniałeś. Bo nadal nic nie mamy. Ten sposób robienia przekierowań działa w praktyce bez żadnych problemów. Więc sprawdź czy czegoś nie pomyliłeś.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 9 czerwca 2010, 22:25 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Reguły są wpisane poprawnie. W tym miejscu raczej nic nie znajdę.
Może mam źle skonfigurowaną sieć?
Co powinno być wpisane w gateway w rc.conf jeśli dostaję IP przez dhcp, a jednocześnie komputer jest routerem dla lan'u podłączonego za nim. W tej chwili wpisany mam ip komputera, od którego dhcpcd dostaje ip.

Czy dobrze rozumiem, że skrypt rc.firewall jest na dobrą sprawę mechanizmem "routującym"? Wnioskuję tak, ponieważ gdy zatrzymywałem firewall(przy walce z forwardem portów) traciłem połączenie z internetem na komputerach za routerem.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 00:00 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
Jezeli masz IP od usługodawcy to w rc.conf od lini 62(chyba) powinno być :
Cytuj:
#Static IP example
#eth0="eth0 192.168.0.2 netmask 255.255.255.0 broadcast 192.168.0.255"
eth0="dhcp"
INTERFACES=(eth0)

# Routes to start at boot-up (in this order)
# Declare each route then list in ROUTES
# - prefix an entry in ROUTES with a ! to disable it
#
gateway="default gw 192.168.0.1" #<-Tu wpisz nr.IP bramy
ROUTES=(!gateway)

# Enable these network profiles at boot-up. These are only useful
Tak jest w orginalnym pliku, dla drugiej karty robisz taki wpis:
Cytuj:
eth1="eth1 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up"
a całość będzie wyglądać tak:
Cytuj:
#Static IP example
#eth0="eth0 192.168.0.2 netmask 255.255.255.0 broadcast 192.168.0.255"
eth1="eth1 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up"
eth0="dhcp"
INTERFACES=(eth0 eth1)

# Routes to start at boot-up (in this order)
# Declare each route then list in ROUTES
# - prefix an entry in ROUTES with a ! to disable it
#
gateway="default gw 192.168.0.1" #<-Tu wpisz nr.IP bramy
ROUTES=(!gateway)

# Enable these network profiles at boot-up. These are only useful

A co do rc.firewall to jest to plik w którym szybko włączysz (1) lub wyłączysz (0) wymieniona tam usługę bez konieczności grzebania w pliku /etc/rc.d/firewall.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 19:51 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Heh, jaki sens ma tworzenie "trasy" z ip bramy, skoro później tę "trasę" wyłączasz(!gateway)? Swoją drogą po gateway= mam wpisane ip routera, od którego dostaję ip(o ile dobrze rozumiem, to jest on dla mnie bramą, bo żadnych innych informacji z logów nie mogę wyciągnąć, a w wynikach polecenia tracert jest to najbliższy po moim adres ip).
Bardziej interesuje sposób w jaki ruch sieciowy jest obsługiwany, bo poza /etc/rc.d/firewall skrypty iptables są puste.
Używam ustawień w rc.firewall i forward.porty, ale w dalszym ciągu nie działają mi przekierowania portów. Niby są wpisane w tablicach iptables, ale nie są forwardowane.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 20:06 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli masz dhcp (jako klient), to gateway jest nieużywane, to wpis tylko dla statycznych IP.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 20:07 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
Nie trzeba wpisywać bramy w przypadku, kiedy dostajemy adres IP z serwera dhcp. Pytasz: Dlaczego skrypty iptables są puste? Nie chcieliśmy popełnić błędu z NND i narzucać użytkownikom naszego firewalla. Każdy może sobie zrobić go wedle własnych upodobań. Pakiet firewall ma pomóc tylko w zapewnieniu podstawowych funkcji dzielenia łącza i pełnić rolę prostego firewalla (prostego, ale jakże skutecznego).

Edit:
Heh. Maciek mnie uprzedził.

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 22:14 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Rozumiem, wpis z gateway'em sobie poprawię. Nie zmieni to jednak mojej sytuacji, ponieważ wcześniej funkcjonowałem właśnie z wychaszowanym gateway i ROUTES i forwardy również nie działały. Wciąż też nie odpowiedzieliście mi na pytanie, czy /etc/rc.d/firewall jest jednocześnie mechanizmem organizującym ruch sieciowy, a nie tylko firewall'em.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 22:40 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nazwanie pliku z zasadami iptables jest takim naszym ukłonem w stronę użytkowników Windows.
W Linuksie nie istnieje coś takiego jak firewall w potocznym rozumieniu tego słowa.
W Linuksie są iptables, które regulują zasady dozwolonego ruchu w sieci, a ponieważ te zasady czasem też czegoś zabraniają, więc zgodnie z windowsową terminologia nazywa się je też firewallem.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 10 czerwca 2010, 22:43 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
A aktualizowales iptables i xtables-addons?
Cytuj:
pacman -Sf xtables-addons
pacman -S iptables



Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 14 czerwca 2010, 21:35 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Kiedy robię:

pacman -Sf xtables-addons

dostaję błąd, że 'xtables-addons-1.20-5PGF-i686.pkg.tar.gz nie udało się pobrać z pakiety.cdn.freesco.pl Not found. Poza tym Maciek napisał w instrukcji konfiguracji, że, a przynajmniej tak to zrozumiałem, xtable-addons potrzebny jest do "zaawansowanych skryptów kontroli przepływu pakietów". Forwarding portów chyba się pod to nie kwalifikuje? Iptables mam aktualne.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 14 czerwca 2010, 22:31 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Możesz nie potrzebować xtables-addons.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 14 czerwca 2010, 22:38 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
Kolega ma nieaktualną bazę danych pakietów! pacman -Suyy obowiązkowo!

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł: Problem solved?
Post: środa, 7 lipca 2010, 00:45 
Offline

Rejestracja: poniedziałek, 26 kwietnia 2010, 11:17
Posty: 27
Lokalizacja: Gdańsk
Zaktualizowałem bazę i iptables.
Posunąłem się też do przodu jeśli idzie o problem forwardu. Otóż blokowany jest, nie wiedzieć czemu, jedynie port 6814 na moim komputerze stacjonarnym. Dla sprawdzenia dodałem inny port do listy forwardów (8814) i wszystko śmiga. Ciekawi mnie tylko o co może chodzić z tym konkretnym (6814) portem. Może mój ISP go blokuje? Załączam, tak pro forma, wynik polecenia iptables --list

: [/] [] ()
iptables --list
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds
REJECT     tcp  --  anywhere             anywhere            tcp dpt:auth reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere            tcp dpt:socks reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssmtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:4266
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4266

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             192.168.1.5         udp dpt:7815
ACCEPT     tcp  --  anywhere             192.168.1.5         tcp dpt:7815
ACCEPT     udp  --  anywhere             192.168.1.5         udp dpt:6815
ACCEPT     tcp  --  anywhere             192.168.1.5         tcp dpt:6815
ACCEPT     udp  --  anywhere             192.168.1.4         udp dpt:8814
ACCEPT     tcp  --  anywhere             192.168.1.4         tcp dpt:8814
ACCEPT     udp  --  anywhere             192.168.1.4         udp dpt:7814
ACCEPT     tcp  --  anywhere             192.168.1.4         tcp dpt:7814
ACCEPT     udp  --  anywhere             192.169.1.4         udp dpt:6814
ACCEPT     tcp  --  anywhere             192.169.1.4         tcp dpt:6814
ACCEPT     udp  --  anywhere             192.168.1.3         udp dpt:7813
ACCEPT     tcp  --  anywhere             192.168.1.3         tcp dpt:7813
ACCEPT     udp  --  anywhere             192.168.1.3         udp dpt:6813
ACCEPT     tcp  --  anywhere             192.168.1.3         tcp dpt:6813
ACCEPT     udp  --  anywhere             192.168.1.2         udp dpt:7812
ACCEPT     tcp  --  anywhere             192.168.1.2         tcp dpt:7812
ACCEPT     udp  --  anywhere             192.168.1.2         udp dpt:6812
ACCEPT     tcp  --  anywhere             192.168.1.2         tcp dpt:6812
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            multiport dports loc-srv,microsoft-ds
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Na górę
 Wyświetl profil  
 
 Tytuł: Re: Firewall
Post: poniedziałek, 7 lipca 2014, 21:24 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Wiecie co ... mam powoli dość.
Żeby być pewnym to zrobiłem tak :
1. zmieniłem na moim routerze adresacje na 192.168.0.1
adresy w sieci z puli 192.168.0.100 ... 254
maska 255.255.255.0
adres rozgłoszeniowy 192.168.0.255

Na wszelki wypadek ustawiłem sobie na laptopie na sztywno adres 192.168.0.103
żeby być pewnym, że mi zadziała internet. I działa. Wszystko jest ok.

2. Zmieniłem parametry połączenia w CDN2 na :
net.conf
eth0="eth0 192.168.0.102 netmask 255.255.255.0 broadcast 192.168.0.255"
eth1="eth1 10.10.0.1 netmask 255.255.0.0 broadcast 10.10.20.255"
INTERFACES="eth0 eth1"

gateway="default gw 192.168.0.1"
ROUTES=(!gateway)

Po reboocie nie ma netu.
Ifconfig pokazuje, że jest ok, ale ping 192.168.0.1 daje rezultat a już
ping 212.77.100.101
wywala że :
connect: Network is unreachable.
Jakto nieosiągalna ?

Edit
Dziwne bo kiedy skonfgurowałem z DHCP adres to poszło wszystko ...

Edit2
Kiedy zmienie na ustawienia z DHCP i zrobie reboot internet działa.
Następnie ustawiam na sztywno i restartuje usługi netcond, dhcp4, firewall
i internet nadal działa, ale kiedy na tych ustawieniach zrobię reboot to już znowu nie działa.
Co jest ?

Edit3
Doszedłem. Wstawiałem ! niepotrzebnie w ostatniej linii


Na górę
 Wyświetl profil  
 
 Tytuł: Re: Firewall
Post: wtorek, 8 lipca 2014, 03:12 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
:-) pisalem Ci gdzies o konigurowaniu CDN2 na "piechotke" trzeba sie kontrolowac samemu i to 2x.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 19 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl