Forum Debian Users Gang

eRd · 2005-09-18 01:23:40

Witam to moj pierwszy post tutaj i jak wiadomo jestem lamerem bo zaraz zapytam o rzecz pewnie dla Was oczywista, mam Debiana i internet na serwerze jest, jednak dalej w mojej sieci nie dziala :/ moze wkleje kody jakie mam wpisane w plikach i bedzie Wam latwiej mi pomoc (jesli oczywiscie zechcecie :)

dhcpd plik

Kod:

subnet 192.168.1.0 netmask 255.255.255.0 
{
range 192.168.1.2 192.168.1.224;
default-lease-time 600;
option domain-name "naszadomena.pl";
option domain-name-servers 194.204.152.34, 194.204.159.1;
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;

 host komp1 { # komputer nr 1
      hardware ethernet 00:E0:4C:00:6B:B1;
      fixed-address 192.168.1.2;
  }
  
  host komp2 {# kompure nr 2
  hardware ethernet 00:30:4F:2B:E0:DD;
  fixed-address 192.168.1.3;
  }

    host komp3  {#komputer nr 3
    hardware ethernet 00:30:4F:2B:16:13;
    fixed-address 192.168.1.4;
    }

host komp4 
{#komputer nr4 
hardware ethernet 00:0B:6A:31:D5:41;
fixed-address    192.168.1.5;
}

host komp5{#komputer nr 5
hardware ethernet 00:OB:6A:27:E0:8B;
fixed-address 192.168.1.6;
}
host komp6{#komputer nr 6
hardware ethernet 00:0C:6E:6A:53:3B;
fixed-address 192.168.1.7;
}
host komp7 {#komputer nr 7
hardware ethernet 00:08:54:02:EA:4B;
fixed-address 192.168.1.8;
}
host komp8 {#komputer nr 8
hardware ethernet 00:0B:6A:14:ED:7F;
fixed-address 192.168.1.9;
}

host komp9 { # komputer nr 9
      hardware ethernet 00:0B:6A:1F:3D:79;
      fixed-address 192.168.1.10;
  }
  
  host komp10 { # komputer nr 10
      hardware ethernet 00:E0:4C:01:83:08;
      fixed-address 192.168.1.11;
  }
  
  host komp11 { # komputer nr 11
      hardware ethernet 00:0A:E6:77:60:18;
      fixed-address 192.168.1.12;
  }
  host komp12 { # komputer nr 12
      hardware ethernet 00:08:54:02:EA:A7;
      fixed-address 192.168.1.13;
  }
  host komp13 { # komputer nr 13
      hardware ethernet 00:08:54:03:C0:86;
      fixed-address 192.168.1.14;
  }
  host komp14 { # komputer nr 14
      hardware ethernet 00:E0:4C:01:0F:FE;
      fixed-address 192.168.1.15;
  }
  
  host komp15 { # komputer nr 15
      hardware ethernet 00:0B:6A:31:A7:05;
      fixed-address 192.168.1.16;
  }
  
  host komp16 { # komputer nr 16
      hardware ethernet 00:30:4F:2B:0B:93;
      fixed-address 192.168.1.17;
  }
  host komp17 { # komputer nr 17
      hardware ethernet 00:40:F4:79:9D:90;
      fixed-address 192.168.1.18;
  }
  host komp18 { # komputer nr 18
      hardware ethernet 00:0B:6A:59:92:A3;
      fixed-address 192.168.1.19;
  }
}

przepraszam jezeli bedzie tego za duzo ale inaczej nie moglem pokazac chyba o co mi chodzi

plik firewall

Kod:

# wlaczenie w kernel'u forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# zezwolenie nna loczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -s 0/0 -d 83.16.22.18 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 83.16.22.18 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.16.22.18 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 83.16.22.18 -p udp --dport 22 -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepniaie internetu w sieci lokalnej

# dla kompa nr 1
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:E0:4C:00:6B:B1 -j ACCEPT

# dla kompa nr 3
iptables -t nat -A POSTROUTING -s 192.168.1.4 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:30:4F:2B:16:13 -j ACCEPT

# dla kompa nr 4
iptables -t nat -A POSTROUTING -s 192.168.1.5 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:31:D5:41 -j ACCEPT

# dla kompa nr 5
iptables -t nat -A POSTROUTING -s 192.168.1.6 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:27:E0:8B -j ACCEPT

# dla kompa nr 6
iptables -t nat -A POSTROUTING -s 192.168.1.7 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0C:6E:6A:53:3B -j ACCEPT

# dla kompa nr 7
iptables -t nat -A POSTROUTING -s 192.168.1.8 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:08:54:02:EA:4B -j ACCEPT

# dla kompa nr 8
iptables -t nat -A POSTROUTING -s 192.168.1.9 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:14:ED:7F -j ACCEPT


# dla kompa nr 9
iptables -t nat -A POSTROUTING -s 192.168.1.10 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:1F:3D:79 -j ACCEPT
# dla kompa nr 10
iptables -t nat -A POSTROUTING -s 192.168.1.11 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:E0:4C:01:83:08 -j ACCEPT

# dla kompa nr 11
iptables -t nat -A POSTROUTING -s 192.168.1.12 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0A:E6:77:60:18 -j ACCEPT

# dla kompa nr 12
iptables -t nat -A POSTROUTING -s 192.168.1.13 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:08:54:02:EA:A7 -j ACCEPT

# dla kompa nr 13
iptables -t nat -A POSTROUTING -s 192.168.1.14 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:08:54:03:C0:86 -j ACCEPT

# dla kompa nr 14
iptables -t nat -A POSTROUTING -s 192.168.1.15 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:E0:4C:01:0F:FE -j ACCEPT

# dla kompa nr 15
iptables -t nat -A POSTROUTING -s 192.168.1.16 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:31:A7:05 -j ACCEPT

# dla kompa nr 16
iptables -t nat -A POSTROUTING -s 192.168.1.17 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:30:4F:2B:0B:93 -j ACCEPT

# dla kompa nr 17
iptables -t nat -A POSTROUTING -s 192.168.1.18 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:40:F4:79:9D:90 -j ACCEPT

# dla kompa nr 18
iptables -t nat -A POSTROUTING -s 192.168.1.19 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:0B:6A:59:92:A3 -j ACCEPT

plik interfaces

Kod:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo      
iface lo inet loopback    

# The primary network interface
auto eth0
iface eth0 inet dhcp
#iface eth0 inet static
#address 83.16.22.18
#netmask 255.255.255.248
#network 83.16.22.16
#broadcast 83.16.22.23
#gateway 83.16.22.17


auto eth1
iface eth1 inet static
address 192.168.1.1
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255

#iface dsl-provider inet ppp
#     provider dsl-provider
# please do not modify the following line
#     pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf

jak juz mowilem przepraszam za wielkosc posta ale to dla mnie bardzo wazne bo utknalem na jakiejs chyba prostej rzeczy i nie wiem co dalej, dlaczego kompy z mojej sieci nie dzialaja(na serwerze jest net), a moze mi powiecie czy problem moze tkwic w tym ze w sieci znajduje sie d-link di-604 ktory ma wlaczony dhcp(zapomnialem wylaczyc jak probowalem z tym serwerem)? ma to jakis wplyw na kompy w sieci?(jezeli wszystko jest na gorze dobrze,o ile jest)
nie wiem co zrobic pomocy
aha moje lacze to dsl 2000 z tp

rychu · 2005-09-18 01:39:41

... i jak wiadomo jestem lamerem bo zaraz zapytam o rzecz pewnie dla Was oczywista

głupie gadanie :P CZŁOWIEKU, A MYŚLISZ ŻE PO CO JEST TO FORUM? że my tu **** wąchamy kwiatki czy jak? ;)

aha no widze że chcesz podzielić łącze telepsa na 18 kompów. ale czy nie lepiej przydzielić userom stałe ip, tylko bawić się w dhcp? to łatwiejsze

eRd · 2005-09-18 11:39:53

głupie gadanie :P CZŁOWIEKU, A MYŚLISZ ŻE PO CO JEST TO FORUM? że my tu **** wąchamy kwiatki czy jak? ;)

aha no widze że chcesz podzielić łącze telepsa na 18 kompów. ale czy nie lepiej przydzielić userom stałe ip, tylko bawić się w dhcp? to łatwiejsze

dobry tekst :) racja chcialbym przydzielic kazdemu ip na stale po MAC'ach tylko tak zeby im samo przydzielalo,a nie zeby musieli recznie wpisywac, bo nie wszyscy pewnie umieja
aha i tam gdzie sa te adresy to jest odhashowane nie to co potrzeba, nie dhcp tylko static, tylko tak probowalismy z kolega i zly plik chyba wkleilem, i wlasnie jak to eth0 jest na static przy tych ustawieniach to na serwerze jest net i dziala tylko dalej na siec nie idzie

BiExi · 2005-09-18 13:44:29

a wiec tak miskow masz na eth1 czyli DHCP muisz przestawic aby nasluchiwalo na eth1 w tym celu luknij do pliku /etc/default/dhcp
i spraw aby wpis dotyczacy nasluchu dehacepa wygladal tak.

Kod:

INTERFACES="eth1"

przeladuj dehacepa

/etc/init/dhcp restart

pozatym wylacz DHCP na tym routerku dlinka

sprawdz w sieci czy poprawnieprzydziela Ci adresyy pod dhcp i powinno wszystko dzialac ok

TuRKiN88 · 2005-09-19 00:02:48

Witam.
tak jak mówi BiExi wyłacz dhcp na dlinku.powinno działać.ja stosuje ten sam skrypcik i jest oki.userom i tak wklepuje statyczne adresy(bo przeważnie sam ich instaluje) ale dhcp mam i tak zrobione żeby wrzie jak sobie user cos bedzie chciał pokombinować zeby nie dzownił do mnie ze mu net nie działa(z powodów adresów).
P.S.a moje pytanko do tego skryptu firewall:zainstalowałem ten skrypcik i wszystko ok.tylko np. przy reboot'cie systemu ajk sobie zapodam to mi sie zatrzymuje na nomed.tak samo gdybym chciał przładowac binda /etc/init.d/bind9 reload ---tez zwiach.nawet po zmianie tego update-rc.d firewall defaults 20 na inną cyferke to samo.
Pozdrawiam

guzzi · 2005-09-19 12:36:31

#!/bin/bash -

if [ "$1" = "start" ]; then
echo " Stratuje Firewall"

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 83.16.22.18

#wlaczam forwarding pakietow
echo 1 > /proc/sys/net/ipv4/ip_forward
#wyloczam ECN
echo 0 > /proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT DROP
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -i ! eth0 -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# tu jakieś tam co wolno a co nie
#
#
...

elif [ "$1" = "stop" ]; then
echo "Zatrzymanie Firewalla"
iptables -F INPUT
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "Firewall wylaczony !!!"

fi
----------------------------------------------------------------------------------
dalej coś w tym pliku /etc/network/interfaces ma być:

auto eth0
iface eth0 inet static
address 83.16.22.18
netmask 255.255.255.248
network 83.16.22.16
broadcast 83.16.22.23
gateway 83.16.22.17

auto eth1
iface eth1 inet static
address 192.168.1.1
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
----------------------------------------------------------------------------------
To jest na statyczne ale i w windach trzeba teraz bramy powpisywać - jak już net zadziała dalej bierz sięza udostępnianie odpowiednim kompom o danych mac-ach i konstrukcjęwewnętrzną firewalla

korbol · 2005-09-19 13:17:30

Guzzi nie zwykłem przyczepiać się do nikogo ale czy nie przesadzasz?Wątek robi sie niefajnie nieczytelny :|

guzzi · 2005-09-19 13:28:44

sorry - chciałem tylko pomóc, już mnie nie ma

Bodzio · 2005-09-19 13:55:54

Guzzi, nie chodzi o to żebyś się obrażał, ale faktycznie walnąłeś 3 posty po kolei, jeden po drugim w odstępie kilku minut.
Na każdym forum zwracamy uwagę, aby edytować posty, jeżeli jest ciąg dalszy tego samego tematu.
Somasowałem Ci to w jeden cały.
Korbol - mięsem możesz rzucać od 800 postów :D - żartuję - trochę się wyhamujcie bo forum będzie tylko po łacinie

korbol · 2005-09-19 15:44:59

Korbol - mięsem możesz rzucać od 800 postów :D

Heh od Was sie nauczyłem:D

A co do Guzziego to nie mialo Go to wcale obrazić:)miało być krotko zwięźle i wymownie :D Wiec bez FOCHÓW ;)

BiExi · 2005-09-19 17:19:01

do TuRKiN88

Kod:

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

ewentualnie ne wiem czy nie trzeba bedzie otworzyc portu 53 po udp

guzzi · 2005-09-19 20:32:26

Ale ja się wcale nie obraziłem - jak ktoś zwrócił mi uwagę a miał rację - to dlaczego mam się obrażać. A co do tej ilości postów - to może i miałbym ich więcej jakbym nie zapomniał swojej dawnej ksywy na tym forum :) ale czy to ważne ?

TuRKiN88 · 2005-09-20 08:36:54

BiExi:
cholercia jak to sie stało że tego:
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
nie mam .53 po udp mam otwarty.wsumie te porty które sobie dodałem do tego skryptu to one są po tcp i udp.trochę dziwne bo niektóre przeciez po udp nie są otwierane.
Pozdrawiam

korbol · 2005-09-20 14:56:09

A czy napewno iptables -A FORWARD -o lo -j ACCEPT to jest coś normalnego?Lo ponoc sluzy do porozumiewania sei maszyny z samoą sobą.
ja u siebie zapodalem tylko lo w INPUT i OUTPUT i nie mam zadnych zwiasów.

TuRKiN88 · 2005-09-21 10:30:58

Witam.
Rzeczywiscie to pomogło.jakim cudem nie dopisałem tej linijki to nie wiem.jak przegladałem pliki conf. to czegos mi brakowało ale nie zajażyłem czego.dałem tylko INPUT i OUTPUT bo też uwazam ze forward w tym miejscu to raczej nie ma nic do roboty.
A mam takie pytanko:BiExi do twojego skryptu HTB:on działa bezproblemowo z tym skryptem firewall'a?z tego co patrzyłem to chyba on jest na 1024 kbit(chyba że xle patrzyłem)?gdzie wrazie czego mam cos w skrypcie zmienic zeby kożystać z 1M lub ewentualnie z 2M.aha.wystarczy raz go tylko uruchomic i ok czy trzeba pisać cos żeby sie uruchamiał przy starcie systemu?
Wielkie FENX.
Pozdrawiam

korbol · 2005-09-21 13:52:11

To jeszcze Ci powiem ze w OuTPUT "lo" mozes sobie odpuscić jezeli masz polityke na ACCEPT w output :)

Forum Debian Users Gang

Ogłoszenie

#1 2005-09-18 01:23:40

eRd - Nowy użytkownik

Na serwerze net jest a dalej nie :/

Kod:

Kod:

Kod:

#2 2005-09-18 01:39:41

rychu - elektryk dyżurny

Re: Na serwerze net jest a dalej nie :/

#3 2005-09-18 11:39:53

eRd - Nowy użytkownik

Re: Na serwerze net jest a dalej nie :/

#4 2005-09-18 13:44:29

BiExi - matka przelozona

Re: Na serwerze net jest a dalej nie :/

Kod:

#5 2005-09-19 00:02:48

TuRKiN88 - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#6 2005-09-19 12:36:31

guzzi - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#7 2005-09-19 13:17:30

korbol - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#8 2005-09-19 13:28:44

guzzi - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#9 2005-09-19 13:55:54

Bodzio - Ojciec Założyciel

Re: Na serwerze net jest a dalej nie :/

#10 2005-09-19 15:44:59

korbol - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#11 2005-09-19 17:19:01

BiExi - matka przelozona

Re: Na serwerze net jest a dalej nie :/

Kod:

#12 2005-09-19 20:32:26

guzzi - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#13 2005-09-20 08:36:54

TuRKiN88 - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#14 2005-09-20 14:56:09

korbol - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#15 2005-09-21 10:30:58

TuRKiN88 - Członek DUG

Re: Na serwerze net jest a dalej nie :/

#16 2005-09-21 13:52:11

korbol - Członek DUG

Re: Na serwerze net jest a dalej nie :/

Stopka forum