Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-11-03 01:54:11
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Problem ze skonfigurowaniem eth1
Witam
Komputer na którym chce postawic serwer(192.168.1.15 - eth0) na razie podpiety jest jako jeden z wielu komputerow do routera Asmax (192.168.1.1). Wszyscy kompy otrzymuja IP dynamicznie. Do serwerka podpiety jest komp z winxp. Serwer posiada 3 karty sieciowe.
Interfaces
Kod:
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0
auto eth2
iface eth2 inet static
address 192.168.3.1
netmask 255.255.255.0
Na serwerku dziala net. W /etc/default/dhcp jest
Kod:
INTERFACES="eth1"
plik /etc/dhcpd.conf
Kod:
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.5 192.168.2.224;
default-lease-time 600;
option domain-name "debiandom";
option domain-name-servers 192.168.2.1;
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.255;
}
/etc/init.d/firewall wygląda tak
Kod:
# wlaczenie w kernel'u forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # zezwolenie nna loczenie sie z naszym zewnetrznym ip po ssh iptables -A INPUT -s 0/0 -d 192.168.1.15 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 192.168.1.15 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.1.15 -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 192.168.1.15 -p udp --dport 22 -j ACCEPT # polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej # dla kompa nr 1 iptables -t nat -A POSTROUTING -s 192.168.2.5 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:11:D8:9C:52:B0 -j ACCEPT iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.2.5:80 # dla kompa nr 2 iptables -t nat -A POSTROUTING -s 192.168.2.6 -j MASQUERADE iptables -A FORWARD -m mac --mac-source 00:30:4F:26:EC:D8 -j ACCEPT
Wszystko zrobilem tak jak pisze w artykułach ale mimo tego na kompie podlaczonym do Debilna net nie dziala. Jedynie laczy się z gg ale po dlugim oczekiwaniu i o dziwo chodzi azureus.
Ponadto próbowałem wpisu statycznego na eth0, net jest na Debilnie ale na kompie podlaczonym do niego wystepuje ten sam w/w problem.
Sprawdzalem rozne konfiguracje wylaczylem nawet interfejs eth2.
z gory dzieki za odp
pozdrawiam
sert
Offline
#2 2005-11-03 10:35:16
korbol - 
Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Problem ze skonfigurowaniem eth1
W /etc/dhcpd.conf to:
Kod:
option domain-name-servers 192.168.2.1;
zmien na:
Kod:
option domain-name-servers 194.204.152.34, 194.204.159.1;
Pozdrawiam
Offline
#3 2005-11-03 19:51:38
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Re: Problem ze skonfigurowaniem eth1
Zmienilem ale dalej to samo
Offline
#4 2005-11-04 10:34:43
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Problem ze skonfigurowaniem eth1
W /etc/dhcp pozostaw to co napisalem a swojego firewalla na próbe zastąp czyms takim:
Kod:
#! /bin/sh case "$1" in start) echo "Firewall START" # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F echo 1 > /proc/sys/net/ipv4/ip_forward iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ;; stop) echo "Firewall STOP" # czyszczenie starych regul iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT ;; restart) echo "Firewall RESTART" $0 stop $0 start ;; esac
i daj znac co sie stalo:)
Pozdrawiam
Offline
#5 2005-11-04 17:32:38
pum - Użytkownik
- pum
- Użytkownik
- Zarejestrowany: 2005-09-30
Re: Problem ze skonfigurowaniem eth1
pomin na firewallu lancuch OUTPUT przeciez ustawiles tam polityke na ACCEPT!!
A skad Ty Korbol wzioles te adresy DNS??? Skad wiesz jakich on uzywa DNS'ow
Ustaw w DHCP takie same DNS'y jakie przydziela twoj router asmax pozostalym klientom
AHA i sprawdz tablice routingu "route" i nie zapomnij tam dodac drogi dla pakietow na swiat moze to byc droga domyslna!!
Pozdrawiam!!!
Offline
#6 2005-11-04 23:01:32
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Re: Problem ze skonfigurowaniem eth1
po zamianie firewalla wywala to:
Kod:
/etc/init.d/firewall: line 16: syntax error near unexpected token `;' /etc/init.d/firewall: line 16: `; '
problem rozwiazny po usunieciu
Kod:
#iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.2.5:80
wszystko dziala
Dopiero zaczynam studiowac pdf'a "Bezpieczenstwo sieci w oparciu o model Open Source" ale z tego co wyczytalem na necie to ta regulka odpowiada za przepuszczanie ruchu na porcie 80 a nie za blokowanie ponadto zmienilem port na np. 81 i znowu nie mialem neta, zmienilem nawet ip na inny i bylo to samo wiec sorry ale nie rozumie dlaczego blokuje ona caly ruch http pomimo zmiany portu i ip. Po kazdej zmianie robilem restart firewalla wiec dzialal w oparciu o nowe reguly. Wiec tak jak pisalem wyzej dopiero po calkowitym usunieciu w/w reguly wszystko dziala jak nalezy.
pomin na firewallu lancuch OUTPUT przeciez ustawiles tam polityke na ACCEPT!!
Lancuch OUTPUT wpisalem tak jak jest napisane w artykule
A skad Ty Korbol wzioles te adresy DNS??? Skad wiesz jakich on uzywa DNS'ow
Ustaw w DHCP takie same DNS'y jakie przydziela twoj router asmax pozostalym klientom
Te DNS tez mi sie wydawaly dziwne ale dla pewnosci sprawdzilem. Dla sieci wewnetrznej serverem DNS jest router Asmax 192.168.1.1 dla Debiana rowniez wiec taki adres pozostawilem. W przypadku zmiany w resolv.conf z 192.168.1.1 na inny wowczas nie bylo neta na serverze neta. W dhcpd.conf obojetne jest czy wpisze option domain-name-server 192.168.2.1.czy to ip DNS dialogu (bo takie lacze posiadam), tak i tak chodzi net.
dzieki za odp.
Pozdrawiam
Offline
#7 2005-11-05 00:03:24
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Problem ze skonfigurowaniem eth1
/etc/init.d/firewall: line 16: syntax error near unexpected token `;'
/etc/init.d/firewall: line 16: `; '
takie cos ci wyskakuje bo zamiast 2 srednikow dalem przypadkiem 1:) w jednym miejscu(juz poprawilem)sory:)
A co do dnsół to są dnsy tepsy i tez powinno dzialać
Pozdrawiam
Offline
#8 2005-11-05 01:02:10
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Re: Problem ze skonfigurowaniem eth1
Teraz dziala :)
Offline
#9 2005-11-05 09:57:16
pum - Użytkownik
- pum
- Użytkownik
- Zarejestrowany: 2005-09-30
Re: Problem ze skonfigurowaniem eth1
problem rozwiazny po usunieciuKod:
#iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.2.5:80wszystko dziala
Pozdrawiam
ta linijka bylaby Ci potrzebna jesli mialbys w lanie jakis serwer WWW (tak jak podales bylby to komp o adresie 192.168.2.5) wtedy takie przekierowanie jest potrzebne zeby user z poza lanu widzial serwer. Zasadniczo nie musisz narazie operowac na lancuchu PREROUTING.
Tylko POSTROUTING dla maskarady na odpowiednim interfejsie.
A DNS'y klientom musisz podac te same co na asmax, chba ze na debianie zrobisz serwer DNS i wtedy mozesz podac jego IP.
A to nie jest obojetne jakie DNS podasz jak mowi Korbol!!
Pozdrawiam!!!
Offline
#10 2005-11-05 10:20:55
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Problem ze skonfigurowaniem eth1
A to nie jest obojetne jakie DNS podasz jak mowi Korbol!!
Dlaczego?
Ja jak ustawie na swoim kompie dns ktory podaje mi moj dostawca netu tzn adres routera net oczywiscie jest a jak zmienie go na ten tepsy 194.204.159.1 net tez jest ale ten 194.204.152.34 cosik nie dziala.
Pozdrawiam
Offline
#11 2005-11-05 16:26:58
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Re: Problem ze skonfigurowaniem eth1
ta linijka bylaby Ci potrzebna jesli mialbys w lanie jakis serwer WWW (tak jak podales bylby to komp o adresie 192.168.2.5) wtedy takie przekierowanie jest potrzebne zeby user z poza lanu widzial serwer. Zasadniczo nie musisz narazie operowac na lancuchu PREROUTING.
Tylko POSTROUTING dla maskarady na odpowiednim interfejsie.
OK juz bede wiedzial ale czy ta regulka odblokowujac ruch przychodzacy na porcie 80 rownoczesnie blokuje ruch wychodzacy bo tak wynika z mojego przypadku.
A DNS'y klientom musisz podac te same co na asmax, chba ze na debianie zrobisz serwer DNS i wtedy mozesz podac jego IP.
A to nie jest obojetne jakie DNS podasz jak mowi Korbol!!
U mnie w resolv.conf i dhcpd.conf moze byc dns dialogu i lokalny 192.168.1.1, na tych dwoch wszystko smiga.
Klientom w sieci lokalnej nie musze podawac tych samych co ma Asmax bo dla nich dns'em jest Asmax 192.168.1.1 i dla debiana rowniez.
Dlaczego?
Ja jak ustawie na swoim kompie dns ktory podaje mi moj dostawca netu tzn adres routera net oczywiscie jest a jak zmienie go na ten tepsy 194.204.159.1 net tez jest ale ten 194.204.152.34 cosik nie dziala.
Ten DNS 194.204.152.34, 194.204.159.1 (wpis w resolv.conf) na serverze tez mi nie chodzi ale jak wpisze w dhcpd.conf to mam neta na kompie podpietym do debiana. Tak wiec bede uzywal albo lokalnego albo dialogu.
Pozdrawiam
Offline
#12 2005-11-05 20:07:25
pum - Użytkownik
- pum
- Użytkownik
- Zarejestrowany: 2005-09-30
Re: Problem ze skonfigurowaniem eth1
sert przedewszystkim tak jak mowilem zostaw w spokoju lancuch PREROUTING on nie jest Ci potrzebny zeby udostepnic neta komputerom wpietym do debiana.
Chodzi o to ze dokladnie ta nieszczesna linijka:
iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.2.5:80
przekierowuje caly ruch przychodzacy na debiana na porcie 80 do komputera 192.168.2.5 na ten sam port, czyli cokolwiek pojawi sie na debianie na tym porcie bedzie lecialo na kompa 192.168.2.5 (bo kernel zanim zadecyduje gdzie przesalac pakiet zamieni jego adres docelowy DNAT na IP tego podanego kompa - a zrobi to perzed routingiem PREROUTING i bedzie tak na kazdym interfejsie bo tego nie sprecyzowales) a mysle ze nie o to Ci chodzi.
router asmax dziala jako serwer DHCP (tak napisales) wiec kazdemu klientowi w sieci (debianowi tez) ustawia IP, domyslna brame (pewnie siebie), i serwery DNS (bo sam pewnie serwerem dns nie jest)
Wiec na debianowym serwerze ustaw tylko zeby wpietym do niego kompom ustawial oprucz IP jeszcze brame (czyli adres iterfejsu do ktorego jest wpiety komp) i DNS takie jakie innym klientom w sieci ustawia asmax.
do tego tylko na firewall'u zamaskuj wszystko co wychodzi z debiana na interfejsie eth0 bo to bedzie wyjscie na swiat dla wpietych kompow dla wygody przeposc wszystko w lancuchu FORWARD czyli polityka na ACCEPT, albo jak chcesz sie pobawic przepuszczasz juz zestawione i wszystko z wpietych kompow.
Jak nie bedzie CI dzialal DHCP na debianie to zawsze mozesz to poustawiac recznie na klientach.
A co do DNS Korbol to zawsze nalezy ustawic najblizszy dns ten ktory bedzie znal przedewszystkim twoja domene. U Ciebie twoj router moze tez jest dns'em skoro podal CI go operator.
Pozdrawiam!!
Offline
#13 2005-11-05 21:27:35
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Problem ze skonfigurowaniem eth1
A co do DNS Korbol to zawsze nalezy ustawic najblizszy dns ten ktory bedzie znal przedewszystkim twoja domene.
Co nie znaczy ze innymi nie zadziała:)
Pozdrawiam
Offline
#14 2005-11-05 23:13:47
pum - Użytkownik
- pum
- Użytkownik
- Zarejestrowany: 2005-09-30
Re: Problem ze skonfigurowaniem eth1
I tak moze sie zdazyc trzeba miec troche szczescia ;)
Offline
#15 2005-11-06 14:36:40
sert - Użytkownik
- sert
- Użytkownik
- Zarejestrowany: 2005-11-01
Re: Problem ze skonfigurowaniem eth1
sert przedewszystkim tak jak mowilem zostaw w spokoju lancuch PREROUTING on nie jest Ci potrzebny zeby udostepnic neta komputerom wpietym do debiana.
Chodzi o to ze dokladnie ta nieszczesna linijka:iptables -A PREROUTING -t nat -p tcp --dport 80 -j DNAT --to 192.168.2.5:80
przekierowuje caly ruch przychodzacy na debiana na porcie 80 do komputera 192.168.2.5 na ten sam port, czyli cokolwiek pojawi sie na debianie na tym porcie bedzie lecialo na kompa 192.168.2.5 (bo kernel zanim zadecyduje gdzie przesalac pakiet zamieni jego adres docelowy DNAT na IP tego podanego kompa - a zrobi to perzed routingiem PREROUTING i bedzie tak na kazdym interfejsie bo tego nie sprecyzowales) a mysle ze nie o to Ci chodzi.
Spoko spoko wykasowalem to ale datego pytalem bo nie lubie nie wyjasnionych rzeczy :)
router asmax dziala jako serwer DHCP (tak napisales) wiec kazdemu klientowi w sieci (debianowi tez) ustawia IP, domyslna brame (pewnie siebie), i serwery DNS (bo sam pewnie serwerem dns nie jest)
Wiec na debianowym serwerze ustaw tylko zeby wpietym do niego kompom ustawial oprucz IP jeszcze brame (czyli adres iterfejsu do ktorego jest wpiety komp) i DNS takie jakie innym klientom w sieci ustawia asmax.
Dokladnie juz tak mam DNS 192.168.1.1 a brama 192.168.2.1 czyli eth1
do tego tylko na firewall'u zamaskuj wszystko co wychodzi z debiana na interfejsie eth0 bo to bedzie wyjscie na swiat dla wpietych kompow dla wygody przeposc wszystko w lancuchu FORWARD czyli polityka na ACCEPT, albo jak chcesz sie pobawic przepuszczasz juz zestawione i wszystko z wpietych kompow.
no na razie mam tego podstawowego ale jak wszystko doczytam na temat itables to tak zrobie
Jak nie bedzie CI dzialal DHCP na debianie to zawsze mozesz to poustawiac recznie na klientach.
Juz ustawilem statyczne i komp podlaczony do Debiana otrzymuje wszystko tak jak powinno byc.
Offline