Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest wtorek, 24 października 2017, 13:19

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 126 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5, 6, 7  Następna
Autor Wiadomość
Post: niedziela, 6 lipca 2014, 14:10 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
1) odnośnie net.conf, to jest prawie OK, ale w
gateway="default gw 10.10.1.1" powinno być IP bramy do netu a nie lanu przy stałym IP jeżeli jest IP pobrane z DHCP serwera to :
Cytuj:
gateway="default gw 10.10.1.1"
ROUTES=(!gateway)
i wtedy IP jest nie istotne, ale ważny jest "!" powinien być wykrzyknik gdy IP pobierane jest z DHCP

2) jak chcesz miec kilka sieci w dhcp to poczytaj o "shared-network" bo możesz mieć problemy z kilkoma sieciami w dhcp u mnie tak wygląda :
Cytuj:
shared-network WAN {
subnet 192.168.100.168 netmask 255.255.255.248 { # Network: wlan (ID:4)
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.248;
option routers 192.168.100.173;
option domain-name-servers 8.8.8.8, 8.8.4.4;

host BRAMA_NET { # ID: 75
hardware ethernet F4:3E:61:97:C5:07;
fixed-address 192.168.100.173;
}
}
}

shared-network LAN-eth1 {
subnet 192.168.2.0 netmask 255.255.255.0 { # Network: lan (ID:1)
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.0;
option routers 192.168.2.1;
option domain-name-servers 192.168.2.1, 192.168.100.173;
option domain-name "PRIV";
option netbios-name-servers 192.168.2.1;

host HOMEREK { # Router
hardware ethernet 00:02:A5:5C:70:3B;
fixed-address 192.168.2.1;
}
host ADMIN { # Admin
hardware ethernet 00:24:1D:A7:2C:B9;
fixed-address 192.168.2.2;
}
}
# dodatkowe IP na Wirtualnym interfejsie
#subnet 10.10.0.0 netmask 255.255.255.0 { # Nieautoryzowani)
#default-lease-time 86400;
#max-lease-time 86400;
#range 10.10.0.2 10.10.0.254;
#option subnet-mask 255.255.255.0;
#option routers 10.10.0.1;
#option domain-name-servers 10.0.0.1;
#
#}
#}
#dodatkowa sieć na eth2
#shared-network LMS-eth2 {
#subnet 192.168.100.1 netmask 255.255.255.252 { # Network:2 (ID:6)
#default-lease-time 86400;
#max-lease-time 86400;
#option subnet-mask 255.255.255.252;
#option routers X.X.X.X;
#option domain-name-servers 194.204.159.1, 194.204.152.34;
#}
#}

Nie wiem czy nie bedziesz miał błedów bo masz podniesioną sieć w netconf 255.255.255.0, a w dhcp masz 255.255.0.0 czyli zakres WAN i LAN

3)Można, ja nie używam arpa ale mozna nawet wykorzystac plik z NND znajdujacy sie w /etc/rc.d/rc.arp (chyba taka miał nazwe w NND)

4)co do rc.conf to u mnie jest tak:
Cytuj:
interface=eth0
interface=eth1
interface=eth2
#address=
#netmask=
#broadcast=
#gateway=

Bo mam 3 interfejsy podniesine

A co do deamons to u mnie to wyglada tak :
Cytuj:
DAEMONS=(syslog-ng netconfd imq firewall dhcp4 crond sshd httpd mysqld proftpd niceshaper squid fail2ban mrtg samba)

Jak widzisz firewall startuje mi z deamos, a nie z rc.local, ale to ja tak mam

5) Co do firewall-a i przekierowywania portów to zajrzyj do dwóch plików może ci się coś rozjaśni
1. /etc/rc.firewall
Cytuj:
EXTIF=eth0
INTIF=eth1
SSH=1
WWW=1
HTTPS=0
FTP=1
MAIL=1
IMAP=0
IMAPS=0
IDENT=0
RSYNC=0
NETWORK=1
PROXY=0
PROXYPOP3=0
FORWARD=0
NICESHAPER=0

2. /etc/forward.porty
Cytuj:
192.168.10.3 80 82

i to powinno być odpowiedzią częściowo na kolejny post, dodatkowe regułki otwierające port na zewnątrz wstawiasz sobie w osobnym pliku np. w "/etc/moj_firewall"
Cytuj:
#!/bin/sh
#
. /etc/rc.conf
. /etc/rc.d/functions
# dostep do serwa z zewnątrz moje porty
# otwieramy jakis nietypowy port
## $i -A INPUT -p tcp -i $EXTIF --dport 8888 -j ACCEPT

i odpalasz go np. w rc.lokal lub dodajesz sobie porty w /etc/rc.firewall od lini 78, jak zauważysz jest to to samo co i ja wcześniej zrobiłem, wybór jest twój. Co do nie działającej regułki to nie wiem może sprawdź czy po odpaleniu firewalla masz w ogóle coś otwarte.


Na górę
 Wyświetl profil  
 
Post: niedziela, 6 lipca 2014, 18:32 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Zastosuje się do sugestii. Masz racje.
Posłucham przedewszystkim dlatego, że jeśli w przyszłości będę chciał coś zrobić
to łatwiej będzie odpowiedzieć i dopasować sugestie do rozwiązania.
Co do firewall nmap zwraca mi otwarte 80, 82, 150 bo na takim porcie zrobiłem ftp.
A tamten jak zaklęty 8O

Edit.
Teraz jeszcze zauważyłem w Twoich demonach fail2ban i mrtg :) Oczywiście
zainstalowałem sobie też.


Na górę
 Wyświetl profil  
 
Post: poniedziałek, 7 lipca 2014, 02:26 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
a co ci pokazuje
#iptables -L
Cytuj:
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:urd
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:gbjd816
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:12203

Chain FORWARD (policy DROP)
target prot opt source destination
BL25 all -- anywhere anywhere
BL587 all -- anywhere anywhere

u mnie się otworzył ale nmap go nie widzi, tylko że z palucha nie działa taka sama składnia jak z pliku, ja uzyłem :
Cytuj:
iptables -A INPUT -p tcp -i eth0 --dport 12203 -j ACCEPT

A nie widać go może dlatego w nmap, że nmap wykrywa uruchomione usługi na portach, a nie czy port jest otwarty.


Na górę
 Wyświetl profil  
 
Post: poniedziałek, 7 lipca 2014, 04:11 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
: [/] [] ()
[root@cdn2 ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere             multiport dports epmap,microsoft-ds
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ident reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere             tcp dpt:socks reject-with icmp-port-unreachable
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:12203
ACCEPT     tcp  --  anywhere             anywhere             tcp dpts:jargon:netsc-dev
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:urd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:50022
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             10.10.0.1            tcp dpt:http
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere             multiport dports epmap,microsoft-ds
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

No to tutaj jest ... teraz rozumiem.


Na górę
 Wyświetl profil  
 
Post: poniedziałek, 7 lipca 2014, 23:27 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Możesz mi podać kompletny przykład konfigu dhcpd.conf
dla dwóch podsieci i w każdej z nich jeden komputer autoryzowany
a wcześniej jeden nieautoryzowany ?


Na górę
 Wyświetl profil  
 
Post: wtorek, 8 lipca 2014, 03:02 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
CyberDuck pisze:
Możesz mi podać kompletny przykład konfigu dhcpd.conf
dla dwóch podsieci i w każdej z nich jeden komputer autoryzowany
a wcześniej jeden nieautoryzowany ?

mozesz jasniej? masz czly moj DHCP na samej gorze eth0-192.168.100.174 to moj WAN a 192.168.2.1 na eth1 to moj LAN z dostepem do neta i 10.10.0.1 tez na eth1:1 bez dostepu jezeli czegos nie rozuniesz to sprecyzuj o co Ci chodzi, ten dhcp mozesz skopiowac zmienic IP/MASKE zahaszowac co Ci nie potrzebne i uzyc u siebie spokojnie.W adresacji
192.168.2.1 sa podane dwa ip ktore sa zalezne od mac-a
EDIT
przypomnialo mi sie ze dhcp.conf z NND bez problemu wystartowal u mnie na CDN2 zreszta wiele konfigow z NND dziala ale to by trzeba sobie sprawdzic samemu.
EDIT2
dodam jeszcze ze ip 192.168.100.173 w tym dhcp to mt stojacy po drodze do swiata, no i caly dhcp.conf wygenerowany jest przez LMS-a


Na górę
 Wyświetl profil  
 
Post: wtorek, 8 lipca 2014, 12:25 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
To że hscpd.conf pracuje z NND też już wiem od samego początku bo wypróbowałem
jak i z tysiąc innych konfigów. Problem w tym, że o ile niektóre ustawienia pomagają
przy jednej dolegliwości to jednocześnie pojawiają się inne problemy.
Np jak testowałem konfiga z NND to Ci na podstawie MAC maja internet, ale Ci z puli
range, którzy nie powinni mieć netu też go mają 8O

Pytałem o cały Twoj konfig bo wydawał mi się okrojony. Inaczej skopiowałem go do siebie
na próbę i wtedy mi dhcp nie chciał wystartować.

: [/] [] ()
# dhcpd.conf
#

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# option definitions common to all supported networks...
ddns-update-style=ad-hoc;
option domain-name "bluelan.eu";
option domain-name-servers 8.8.8.8, 194.204.152.3;
option subnet-mask 255.255.255.0;

default-lease-time 3600;
max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.2 10.10.10.50;
option broadcast-address 10.10.10.255;
option routers 10.10.10.1;
authoritative;
}

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).


# A slightly different configuration for an internal subnet.
#subnet 10.10.0.0 netmask 255.255.0.0 {
#range 10.10.10.1 10.10.10.20;
#option domain-name-servers 194.204.152.34,8.8.8.8;
#option domain-name "siec.local";
#option routers 10.10.0.1;
#option broadcast-address 10.10.255.255;
#}


# Użytkownicy w sieci.
# Przydzielanie adresacji na podstawie MAC
#

host CyberLap {
hardware ethernet 00:1E:37:D6:CE:AE;
fixed-address 10.10.10.100;
option broadcast-address 10.10.10.255;
option routers 10.10.10.1;
}


To jest mój obecny testowy konfig.
A chciałbym mieć dwie podsieci z możliwością wysyłania komunikatów
dla dwóch grup ludzi :
1. Nieautoryzowani z przypisywanymi adresami range 10.10.10.1 10.10.10.50
2. Autoryzowani Zablokowani.
Zrobiłem pewne początkowo oszustwo i zmieniłem dla tych z puli range inny option routers 10.10.0.1
na, z którego nie ma internetu, ale wtedy sobie pomyślałem, że nie będą też przekierowywani do
vhost i nie zobaczą komunikatu.

Problem w tym, że regułki z NND do firewall nie chcą zadziałać.

: [/] [] ()
    #Blokada zalegajacych
    for IP in `cat /srv/http/_zablokowaniPLAT/za_blokowaniPLAT | cut -d "#" -f1`;do
        $i -t nat -A PREROUTING -p tcp -s $IP -d ! 10.10.10.1 -j REDIRECT --to-port 200.
        $i -A FORWARD -p udp -s $IP -m ipp2p --ipp2p -j DROP
        $i -A PREROUTING -t nat -s $IP -p udp --dport 300:65535 -j DROP
    done


: [/] [] ()
    #Blokada nieznanych adrersow MAC
    for IP in `cat /srv/http/_zablokowaniMAC/za_blokowani | cut -d "#" -f1`;do
        $i -t nat -A PREROUTING -p tcp -s $IP -d ! 10.10.10.1 -j REDIRECT --to-port 210
        $i -A FORWARD -p udp -s $IP -m ipp2p --ipp2p -j DROP
        $i -A PREROUTING -t nat -s $IP -p udp --dport 300:65535 -j DROP
    done


Ustawiając tego dhcp chce uwzględnić wszystko aby działało tak jak bym chciał.
Teraz myślę, że troszkę wyjaśniłem o co mi chodzi.
Zgadzam się z tym co piszesz, ale jednocześnie chciałbym dopasować to wszystko
do własnych potrzeb. Konfiguracja na piechotę mi nie przeszkadza. Z czasem dopiszę
sobie konfiguratory. Nawet lepiej, że tak jest bo wiedząc co i gdzie można wszystko dopisać
tak jak się chce.


Na górę
 Wyświetl profil  
 
Post: wtorek, 8 lipca 2014, 18:13 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
Skoro działało Ci to co piszesz po NND to i w CDN2 powinno, kwestia tylko sprawdzenia czy przekierowania i blokady robią to co powinny. Co do dhcp to że wszystkie IP maja internet jest normalne bo cały zakres 10.10.10.0/24 ma dostęp do internetu, i problem bedzie w twoich blokadach i przekierowaniach :
Cytuj:
#Blokada zalegajacych
for IP in `cat /srv/http/_zablokowaniPLAT/za_blokowaniPLAT | cut -d "#" -f1`;do
$i -t nat -A PREROUTING -p tcp -s $IP -d ! 10.10.10.1 -j REDIRECT --to-port 200.
$i -A FORWARD -p udp -s $IP -m ipp2p --ipp2p -j DROP
$i -A PREROUTING -t nat -s $IP -p udp --dport 300:65535 -j DROP
done

Co do tego to ja bym użył czegoś takiego :
Cytuj:
iptables -A PREROUTING -t nat -i $IP -p tcp --dport 1:65535 -j DNAT --to- 10.10.10.1:200

pozostałe dwie nie wiem czemu maja służyć.
co do reguł iptables to szukaj w necie, ja nie jestem zbyt biegły w iptablesach, ja znalazłem strone z kilkoma przykładami IPTABLES
Ale ok chcesz przykład konfigu dhcp z dwoma podsieciami to proszę :
Cytuj:
authoritative;
# Sieć WLAN na eth0
shared-network WLAN-eth0 {
subnet 192.168.100.168 netmask 255.255.255.248 { # WLAN: WAN na eth0
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.248;
option routers 192.168.100.173;
option domain-name-servers 8.8.8.8, 8.8.4.4;

}
}
# Sieć LAN1 na eth1
shared-network LAN-eth1 {
subnet 192.168.2.0 netmask 255.255.255.0 { # Lan1 na eth1
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.0;
option routers 192.168.2.1;
option domain-name-servers 192.168.2.1, 8.8.8.8;
option domain-name "PRIV";
option netbios-name-servers 192.168.2.1;
# Przykład kilku hostów dostajacych IP po MAC-u
host HOMEREK { # IP routera
hardware ethernet 00:02:A5:5C:70:3B;
fixed-address 192.168.2.1;
}
host ADMIN { # IP-1
hardware ethernet 00:24:1D:A7:2C:B9;
fixed-address 192.168.2.2;
}
host TEL_KRYSTIAN { # IP-2
hardware ethernet 98:0D:2E:AF:33:11;
fixed-address 192.168.2.3;
}
}
subnet 10.10.0.0 netmask 255.255.255.0 { # Lan-2 na eth1: nieautoryzowani
default-lease-time 86400;
max-lease-time 86400;
range 10.10.0.2 10.10.0.254;
option subnet-mask 255.255.255.0;
option routers 10.10.0.1;
option domain-name-servers 10.0.0.1;
}
}

Oczywiście pozmieniaj IP i powinieneś podnieś wirtualke na eth1 dla adresji bez dostepu do neta, np ja po robie takim wpisem w net.conf
Cytuj:
eth11="eth1:1 10.10.0.1 netmask 255.255.255.0 broadcast 10.10.0.255 up"

Jeszcze jedna moja uwaga która może ci się przydać na przyszłość
w NND i CDN ifconfig eth0 wyświetla :
Cytuj:
# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 08:00:27:EA:A8:AA
inet addr:192.168.2.53 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:303 errors:0 dropped:0 overruns:0 frame:0
TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25048 (24.4 Kb) TX bytes:8171 (7.9 Kb)
Base address:0xd010 Memory:f0000000-f0020000

A w CDN2 ifconfig eth0
Cytuj:
# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 metric 1
inet 192.168.100.174 netmask 255.255.255.252 broadcast 192.168.100.175
inet6 fe80::202:a5ff:fe5c:703b prefixlen 64 scopeid 0x20<link>
ether 00:02:a5:5c:70:3b txqueuelen 1000 (Ethernet)
RX packets 52377989 bytes 2009905315 (1.8 GiB)
RX errors 7 dropped 0 overruns 0 frame 7
TX packets 30802345 bytes 3115323707 (2.9 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Jak pewnie zauważysz jest mała różnica w wyświetlaniu IP i dlatego ja musiałem troszkę zmodyfikować to co używałem w iptablesach w NND i CDN do odczytu IP np coś takiego :
Cytuj:
ifconfig eth0 |grep 'inet addr'|awk '{print $2}'|cut -c 6-18

A żeby to samo zrobić pod CDN2 powinno być coś takiego :
Cytuj:
ifconfig eth0 | grep "inet " | awk '{print $2}' | cut -d ":" -f 2

To narazie tyle co mi się przypomniało.


Ostatnio zmieniony wtorek, 8 lipca 2014, 20:26 przez rikardo7, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
Post: wtorek, 8 lipca 2014, 19:26 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
No i właśnie to mnie zbiło z tropu :
: [/] [] ()
authoritative;
# Sieć WLAN na eth0
shared-network WLAN-eth0 {
subnet 192.168.100.168 netmask 255.255.255.248 { # WLAN: WAN na eth0
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.248;
option routers 192.168.100.173;
option domain-name-servers 8.8.8.8, 8.8.4.4;

}
}
}

Jak Ci to może działać poprawnie skoro są dwa otwarcia klamrowe a trzy zamknięcia ?
Ten config który przedtsawiłem w ostatnim moim poście był właśnie z NND
skopiowany do CDN2 i działa. Nie czytałeś dokładnie, albo nie wszystko ...


Na górę
 Wyświetl profil  
 
Post: wtorek, 8 lipca 2014, 20:26 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
CyberDuck pisze:
No i właśnie to mnie zbiło z tropu :
: [/] [] ()
authoritative;
# Sieć WLAN na eth0
shared-network WLAN-eth0 {
subnet 192.168.100.168 netmask 255.255.255.248 { # WLAN: WAN na eth0
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.248;
option routers 192.168.100.173;
option domain-name-servers 8.8.8.8, 8.8.4.4;

}
}
}

Jak Ci to może działać poprawnie skoro są dwa otwarcia klamrowe a trzy zamknięcia ?
Ten config który przedtsawiłem w ostatnim moim poście był właśnie z NND
skopiowany do CDN2 i działa. Nie czytałeś dokładnie, albo nie wszystko ...

Masz racje, usunąłem część dotyczącą mojej BRAMY, a nie usunąłem klamry, moja wina. w orginale troche wyżej było tak :
Cytuj:
shared-network WAN {
subnet 192.168.100.168 netmask 255.255.255.248 { # Network: wlan (ID:4)
default-lease-time 86400;
max-lease-time 86400;
option subnet-mask 255.255.255.248;
option routers 192.168.100.173;
option domain-name-servers 8.8.8.8, 8.8.4.4;

host BRAMA_NET { # ID: 75
hardware ethernet F4:3E:61:97:C5:07;
fixed-address 192.168.100.173;
}
}
}

Brama w twoim przypadku może nie być potrzebna, dopisałem i pozmieniałem tylko trochę opisy dla większej czytelności, Czytałem, i wiem że Ci działa config (u mnie też działał) z NND ale ja odpowiedziałem Ci po części na dwa pytania odnośnie mojego configu dhcp, i dlaczego IP z range ma neta i niedziałających Twoich przekierowań i blokad, ja podałem Ci Jak mam zrobione dwie sieci: jedna z netem (192.168.2.0/24) i druga, bez neta (10.10.0.0/24) A twoje pytania to :
Cytuj:
Np jak testowałem konfiga z NND to Ci na podstawie MAC maja internet, ale Ci z puli
range, którzy nie powinni mieć netu też go mają 8O

i nastepne :
Cytuj:
Pytałem o cały Twoj konfig bo wydawał mi się okrojony. Inaczej skopiowałem go do siebie
na próbę i wtedy mi dhcp nie chciał wystartować.
konfig dhcp który wkleiłem ci w pierwszym poście tej strony jest calutki z mojego serva, bez podanych IP<>MAC (2 na wzór zostawiłem), bo po co ci moje macki i zahaszowałem sieci które u mnie jeszcze działają ale tobie nie będą do niczego potrzebne (a niezahasowane robiły by bład) i dlatego tylko je zahaszowałem a nie usunąłem ich, zostawiłem na wzór jak zrobić inne sieci, i napisałem Ci jak zablokować IP z range, i napisałem o problemach z iptables z którymi ja się spotkałem, no ale widocznie nie o To Ci chodziło.
EDIT
post wyżej poprawiłem :-)


Na górę
 Wyświetl profil  
 
Post: wtorek, 15 lipca 2014, 01:21 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Niby wszystko już działa :
: [/] [] ()
# dhcpd.conf
#

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
#log-facility local7;

# option definitions common to all supported networks...
ddns-update-style=ad-hoc;
option domain-name "bluelan.eu";
option domain-name-servers 8.8.8.8, 194.204.152.3;
#option subnet-mask 255.255.255.0;
authoritative;

# Sieć LAN1 na eth1
#shared-network LAN {
#subnet 10.10.0.0 netmask 255.255.255.0 {
#default-lease-time 3600;
#max-lease-time 7200;
#option subnet-mask 255.255.255.0;
#option routers 10.10.0.1;
#option domain-name-servers 8.8.8.8, 8.8.4.4;

#}
#}

#
# Sieć LAN na eth1
#

shared-network LAN {
subnet 10.10.10.0 netmask 255.255.255.0 { # Uzytkownicy Autoryzowani
default-lease-time 3600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option routers 10.10.10.1;
option domain-name-servers 10.10.10.1, 8.8.8.8;
option domain-name "INTERSIEC";
option netbios-name-servers 10.10.10.1;

#
# Uzytkownicy w sieci dostajacy IP na podstawie MAC
#

host CYBERLAP {
hardware ethernet 00:1E:37:D6:CC:AE;
fixed-address 10.10.10.20;
}

}

subnet 10.10.11.0 netmask 255.255.255.0 { # nieautoryzowani
default-lease-time 3600;
max-lease-time 7200;
range 10.10.11.2 10.10.11.254;
option subnet-mask 255.255.255.0;
option routers 10.10.11.1;
option domain-name-servers 10.10.11.1;
option netbios-name-servers 10.10.11.1;

}
}


tylko jest jeden zgryz. Jeśli podłączy się ktoś nieautoryzowany to dostaje w tym wypadku adres
z puli 10.10.11.2 10.10.11.254 . Wszystko ładnie, tylko nie widać serwera wtedy i nie mogę
w żaden sposób wyświetlić komunikatu typu :
"Twój adres MAC to XX:XX:XX:XX:XX:XX, proszę się skontaktować z admini.... bla bla"
Chciałem utworzyć alias na eth1 i dopisałem do netconf :
: [/] [] ()
eth1="eth1:0 10.10.11.1 netmask 255.255.255.0 broadcast 10.10.11.255"

ale wtedy Ci nieautoryzowani też mają dostęp do neta.

Co do iptables w /rc.d/firewall znałazłem ty;lko taki jeden wpis, który należało podmienić.
Będę miał jednak to na uwadze w przyszłości.


Na górę
 Wyświetl profil  
 
Post: wtorek, 15 lipca 2014, 04:27 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
U mnie nieautoryzowani nie maja neta, ale u mnie w dhcp nie daje DNS-ów dla wszystkich sieci, tylko każda sieć ma swoje DNS-y.
Oto część twojego dhcp :
Cytuj:
# dhcpd.conf
#

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
#log-facility local7;

# option definitions common to all supported networks...
ddns-update-style=ad-hoc;
option domain-name "bluelan.eu";
option domain-name-servers 8.8.8.8, 194.204.152.3; <--- to raczej nie jest ci potrzebne, a może sie mylę :-)
#option subnet-mask 255.255.255.0;
authoritative;

# Sieć LAN1 na eth1

EDIT
a przekierowanie na server z info to chyba nie powinno być trudne


Na górę
 Wyświetl profil  
 
Post: wtorek, 15 lipca 2014, 10:39 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Tak Masz racje. Później jeszcze siedziałem i to sobie odznaczyłem.
Nie chce aby wszystkie podsieci miały DNS.


Na górę
 Wyświetl profil  
 
Post: czwartek, 17 lipca 2014, 09:35 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Zrobiłem tak, że dodałem do eth1 alias, ale już poza net.conf bo nie wiem jak dodać
eth1 alias eth1:1 więc w rc.local dodałem wpis :
ifconfig eth1:1 10.10.11.1 netmask 255.255.255.0 broadcast 10.10.11.255
i dzięki temu mam dostęp z obu klas do wszystkich usług lokalnych.
Przy czym faktycznie przejrzałem dokładnie konfig dhcpd.conf i wyciąłem przede wszystkim
DNS dla wszystkich i podsieci nieautoryzowanych. Autoryzowani dostają wszystko.
: [/] [] ()
# option definitions common to all supported networks...
ddns-update-style=ad-hoc;
option domain-name "bluelan.eu";
authoritative;

: [/] [] ()
 Nieautoryzowani
subnet 10.10.11.0 netmask 255.255.255.0 {
default-lease-time 3600;
max-lease-time 7200;
range 10.10.11.2 10.10.11.254;
option subnet-mask 255.255.255.0;
option routers 10.10.11.1;
#option domain-name-servers 10.10.11.1;
#option netbios-name-servers 10.10.11.1;

Problem tylko w tym, że po nic nie widać po domenach bo nie ma DNS, ale widać po
adresie IP, ale mam nadzieje, że to starczy. Dalej już system informacyjny w przeglądarkach
to już pryszcz.
Udało mi się nawet zainstalować serwer Medal of Honor i działa bez zarzutu :mrgreen:

Teraz jeszcze jakiś mrtg , antywirus i serwer poczty. Co polecacie ?
Znalazłem kilka postów, ale zdaje się, że jeśli chodzi o exim to ponoć pod CDN2 nie działa.
Chciałbym mieć sql'ową wersję podobnie jak pod NND.

I jeszcze jedno pytanko.
1. skopiowałem pliki rchtb z NND.
2. skonfigurowałem
Przy odpaleniu statndardowo dostaje taki komunikat :
: [/] [] ()
[root@cdn2 ~]# /etc/rchtb/rchtb restart
:: Zatrzymywanie kolejkowania htb 0.25-imq-08.07.20                                             [DONE]
:: Uruchamianie kolejkowania htb 0.25-imq-08.07.20                                                [BUSY] iptables v1.4.12.2: unknown option "--ipp2p"
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `MARK'
Try `iptables -h' or 'iptables --help' for more information.
                                                                                                                      [DONE]

Rusza, ale z błędem. Czym zastąpić MARK ? albo może ... zreszta jeśli wytne obcinanie p2p to chyba nic sie nie stanie nie ?
Przecież jeśli przydziele komuś pasmo to jego sprawa w ilu procentach będzie go wykorzystywać dla p2p.


Na górę
 Wyświetl profil  
 
Post: czwartek, 17 lipca 2014, 12:51 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
Co do poczty to Ci nic nie doradzę, bo nie używam, a co do rchtb, to masz podniesione IMQ? bo chyba rchtb chodzi na IMQ, jak wrócę z pracy po 22-ej, to przejże pliki z rchtb moze cos wypatrze.


Na górę
 Wyświetl profil  
 
Post: czwartek, 17 lipca 2014, 14:22 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
IMQ nie mam podniesione. A powinienem ?


Na górę
 Wyświetl profil  
 
Post: czwartek, 17 lipca 2014, 23:18 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
CyberDuck pisze:
IMQ nie mam podniesione. A powinienem ?

Jaja se robisz? bo jeżeli tak to nie będę się więcej wysilał. No skoro odpalasz rchtb z IMQ to chyba normalne że powinno być, niby jest w skrypcie podnoszenie IMQ, ale czy się podnosi?, bo jak skrypt rchtb przekieruje ruch na IMQ skoro go nie ma, inna sprawa to przejrzenie tych skryptów, czy aby na pewno wszystko zadziała i sprawdzić co działa a co nie.
Co do podnoszenie wirtualnych interfejsów w net.conf, to jak byś dokładnie czytał moje odpowiedzi i podpowiedzi, to byś zobaczył że w moim przykładzie net.conf jest podnoszenie wirtualki na eth1, jeszcze raz ci to wrzuce z opisem :
Cytuj:
#Static IP example
eth0="eth0 192.168.100.174 netmask 255.255.255.252 broadcast 192.168.100.175 up"
eth1="eth1 192.168.2.1 netmask 255.255.255.0 broadcast 192.168.2.255 up"
#eth1="eth1 192.168.5.1 netmask 255.255.255.0 broadcast 192.168.5.255 up"
eth11="eth1:1 10.10.0.1 netmask 255.255.255.0 broadcast 10.10.0.255 up" # <- to jest podnoszenie wirtualki na eth1
eth2="eth2 95.51.17.174 netmask 255.255.255.252 broadcast 95.51.17.175 up"
#eth0="dhcp"
INTERFACES=(eth0 eth1 eth11 eth2)

A "ifconfig" pokazuje takie coś :
Cytuj:
eth1:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 metric 1
inet 10.10.0.1 netmask 255.255.255.0 broadcast 10.10.0.255
ether 00:13:21:f0:e1:b7 txqueuelen 1000 (Ethernet)
device interrupt 17


Bedzie dla potomności :-)
Mam pytanie bo nie rozumie tego :
Cytuj:
Problem tylko w tym, że po nic nie widać po domenach bo nie ma DNS, ale widać po
adresie IP, ale mam nadzieje, że to starczy.
możesz to rozwinąć o co Ci chodzi?
A przypomniałem sobie jeszcze, jak byś przegladal pliki konfiguracyjne lub inne i zobaczysz cos takiego :
Cytuj:
. /etc/rc.conf
. /etc/rc.d/functions
to dopisz jeszcze :
Cytuj:
. /etc/net.conf
bo nie ma całej konfiguracji sieci w "rc.conf", cześć jest jeszcze w net.conf


Na górę
 Wyświetl profil  
 
Post: piątek, 18 lipca 2014, 00:11 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Jej no troszkę uśmiechu. Ja na prawdę doceniam Twoje wysiłki i porady.
Sam widzisz, że żadnych nie lekceważę. Napisałem przecież wcześniej, że RCHTB działa
tylko, że jest problem właśnie z markowaniem pakietów i jaki mi komunikat zwróciło.

Co do net.conf teraz zrozumiałem. Za bardzo kojarzę te pliki konfiguracyjne z poleceniami
linux w terminalu i może w tym problem. Chciałem przez to napisać to, że trzeba wiedzieć co i jak
w nie wpisać. Ten przykład :
: [/] [] ()
eth11="eth1:1 10.10.0.1 netmask 255.255.255.0 broadcast 10.10.0.255 up" # <- to jest podnoszenie wirtualki na eth1

potraktowałem za interface jedenaście a nie jako 1:1.
Cytuj:
Cytuj:
Problem tylko w tym, że po nic nie widać po domenach bo nie ma DNS, ale widać po
adresie IP, ale mam nadzieje, że to starczy.
możesz to rozwinąć o co Ci chodzi?

Oczywiście, że mogę. Chodziło mi o to, że jeśli zrobię podsieć dla nieautoryzowanych użytkowników
to owszem nie będą mieć internetu i nie będą też widzieć serwera apache na którym będzie stronka
z komunikatem dla tej części użytkowników. Tak jak zrobiłem widać serwer apache i mogę generować dla nich
komunikat w przeglądarce. Nie widać stron po domenach, ale widać wszystko po adresie IP i po wpisaniu w pasek
adresu np czegoś takiego :
: [/] [] ()
http://212.77.100.101

otworzy się normalnie strona. Ale tego oczywiście nie muszę tłumaczyć bo to jest zrozumiałe
jeśli nie mają dostępu do DNS. Zależy mi na tym aby dla klasy 10;10.11.0 nie było netu, ale sieć
i wszystkie usługi na serwerze były widoczne.
Cytuj:
A przypomniałem sobie jeszcze, jak byś przegladal pliki konfiguracyjne lub inne i zobaczysz cos takiego

OK
Aż się boję już o coś zapytać, ale co mi tam ...
A co jakich błędów mogę się spodziewać jeśli tego nie dopiszę lub co może nie działać ?
Pytam bo nie lubię robić czegoś bez zrozumienia. W końcu będę się tym serwerem opiekować
nieco dłużej i nie chce za każdym razem marnowac czyjegoś czasu.


Na górę
 Wyświetl profil  
 
Post: piątek, 18 lipca 2014, 00:41 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1202
Lokalizacja: Bieruń
Cytuj:
OK
Aż się boję już o coś zapytać, ale co mi tam ...
A co jakich błędów mogę się spodziewać jeśli tego nie dopiszę lub co może nie działać ?

Nie wiem, nie jestem aż tak daleko w temacie ale standardowo w rc.conf są informacje o interfejsach, w momencie użycie
net.conf zmienia miejsce podnoszenia interfejsów i trzeba informacje o interfejsach zahaszować w rc.local, bo programiści ARCHA chyba coś skopali i można podnieś tylko 1 interfejsu w rc.local, przekazuje tylko to co mnie kiedyś SATURAS.
A co do nieautoryzowanych, to przecież możesz dać im DNS-y z ich adresacji,
Cytuj:
subnet 10.10.0.0 netmask 255.255.255.0 { # Network: nieautoryzowani (ID:3)
default-lease-time 3600;
max-lease-time 7200;
range 10.10.0.2 10.10.0.254;
option subnet-mask 255.255.255.0;
option routers 10.10.0.1;
option domain-name-servers 10.0.0.1; # <--to przeciez DNS

zaraz sprawdzę u mnie czy działa www po domenie na nie znanych ip.


Na górę
 Wyświetl profil  
 
Post: piątek, 18 lipca 2014, 11:11 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
Wrócę do tych interface. Nie wiem jak jest u Ciebie, ale u mnie w podany
przez ciebie sposób podczas uruchamiania się systemu wywala błąd, ze
"nie znaleziono urządzenia/no such defice". Mimo to ifconfig zwraca, że interface
jest podniesiony na eth1:1. W net.conf mam tak :
: [/] [] ()
eth0="eth0 192.168.0.192 netmask 255.255.255.0 broadcast 192.168.0.255"
eth1="eth1 10.10.10.1 netmask 255.255.255.0 broadcast 10.10.10.255"
eth11="eth1:1 10.10.11.1 netmask 255.255.255.0 broadcast 10.10.11.255"
#eth0="dhcp"
INTERFACES=(eth0 eth1 eth11)


A i jeszcze coś. To że nie było polecenia whois to pryszcz. Dało się doinstalować.
Ale, że nie ma host ? :
: [/] [] ()
[root@cdn2 ~]# host 91.238.57.74
-bash: host: nie znaleziono polecenia


Ostatnio zmieniony piątek, 18 lipca 2014, 11:35 przez CyberDuck, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 126 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5, 6, 7  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl