Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2013-04-25 09:53:00

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: Prawidłowe polecenie w Cronie

sieć o adresie 10.0.0.0 to sieć dla pracowników,
sieć o adresie 10.0.1.0 to bezprzewodowy dostęp dla osób z zewnątrz - tutaj jest określona pula adresów otrzymywanych dynamicznie z dhcp

Ostatnio edytowany przez Luc3k (2013-04-25 10:01:03)

Offline

 

#27  2013-04-25 10:09:39

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: Prawidłowe polecenie w Cronie

Nie o to pytałem, ale nieważne. Daj /8 wtedy wszystkie adresy z puli 10.0.0.0 będą przepuszczane, nie jest to optymalne rozwiązanie, ale najłatwiejsze.


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)

Offline

 

#28  2013-04-25 10:29:44

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: Prawidłowe polecenie w Cronie

W zasadzie 256 adresów jest w zupełności wystarczająca, ale nie o to chodzi. Celem utworzenia 10.0.1.0 było wrzucenie wszystkich osób spoza firmy do jednej kontrolowanej/bezpieczniejszej puli.
Na takim etapie jest obecnie zapora: http://79.189.44.186/~kzgrzeblak/firewall_new

Niestety ta reguła:

Kod:

iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186

nie udostępnia internetu na żadnym z komputerów w sieci.

Jak wykonam skrypt z zaporą z tymi wpisami:

Kod:

iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT

internet hula w całej sieci.

Ostatnio edytowany przez Luc3k (2013-04-25 10:30:54)

Offline

 

#29  2013-04-25 14:16:07

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: Prawidłowe polecenie w Cronie

W tym momencie utknąłem: http://79.189.44.186/~kzgrzeblak/firewall_new

andreq napisał(-a):

Na początku czyścisz reguły, potem ustawiasz domyślną politykę INPUT i FORWARD na DROP, a OUTPUT na ACCEPT, potem puszczasz interfejs loopback i zezwalasz na połączenia nawiązane w łańcuchu INPUT (...)

Czy mógłbyś mi pomóc w dalszej części?

andreq napisał(-a):

(...) a dopiero potem zezwalaj na połączenia przy pomocy modułu time i puść maskaradę.

Brakuje udostępnienia internetu dla komputerów w sieci i tego nieszczęśnego modułu time.
Formułę dostępu do internetu dla całej sieci wrzucam zaraz po "# udostepnianie uslug"

Kod:

iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT

W którym miejscu i w jaki sposób dorzucić time, żeby działało?

Ostatnio edytowany przez Luc3k (2013-04-25 14:16:44)

Offline

 

#30  2013-04-25 21:01:20

  andreq - Członek DUG

andreq
Członek DUG
Skąd: Nisko
Zarejestrowany: 2005-01-11

Re: Prawidłowe polecenie w Cronie

Jak cię tu naprowadzić? chmmmm zobacz rysunek 11.3 w http://www.drzewo-wiedzy.pl/?page=artykul&id=175, widzisz jak przepływają pakiety?

http://www.drzewo-wiedzy.pl/files/obrazek/175-rys2.jpg

Teraz zacytuję tłumaczenie Łukasza Bromirskiego

Łańcuch to lista reguł. Każda reguła mówi 'jeśli nagłówek pakietu wygląda tak, to zrobimy z tym pakietem następującą
rzecz'. Jeśli reguła nie pasuje do pakietu, sprawdzana jest następna. Na koniec, jeśli nie ma więcej reguł, kernel sprawdza
politykę (ang. policy) danego łańcucha. W systemie w którym dba się o bezpieczeństwo, polityka mówi zwykle
kernelowi by odrzucić (DROP) pakiet.

1. Kiedy pakiet dociera do maszyny (powiedzmy, przez kartę Ethernetową), kernel sprawdza najpierw adres
przeznaczenia pakietu: nazywa się to routingiem.

2. Jeśli pakiet przeznaczony jest do tego kompuera, pakiet zostaje przepuszczony do łańcucha INPUT
(wejściowego). Jeśli przejdzie go, otrzymuje go proces do którego był adresowany.

3. W innym przypadku, jeśli kernel nie ma włączonego przekazywania (ang. forwarding), lub nie wie jak
przekazać pakiet, jest on odrzucany. Jeśli przekazywanie jest włączone i pakiet jest przeznaczony do innego
interfejsu sieciowego (jeśli w ogóle masz jeszcze jeden), pakiet przechodzi w prawo na naszym diagramie do
łańcucha FORWARD (przekazującego). Jeśli zostaje zaakceptowany (ACCEPT), zostanie wysłany dalej.


4. Na koniec, program pracujący na tym komputerze może również wysyłać własne pakiety. Przejdą one od razu do
łańcucha OUTPUT (wyjściowego): jeśli stwierdzi on że zaakceptuje pakiet (ACCEPT), pakiet przechodzi do
właściwego interfejsu sieciowego.

Widzisz gdzie następuje translacja adresów a gdzie działa moduł time?

PS.  Powinieneś poczytać o adresacji np. http://projektyefs.wwsi.edu.pl/upload/list/wszechni … terowych_.pdf zobacz też to http://42.pl/ipcalc/

Dodam jeszcze:

Luc3k napisał(-a):

Niestety ta reguła:

Kod:

iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186

nie udostępnia internetu na żadnym z komputerów w sieci.

Zamiast s 10.0.0.0/8 masz wskazać adres konkretnego komputera

zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.

Kod:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186

Ostatnio edytowany przez andreq (2013-04-25 21:09:41)

Offline

 

#31  2013-04-29 11:48:31

  Luc3k - Użytkownik

Luc3k
Użytkownik
Zarejestrowany: 2009-10-09
Serwis

Re: Prawidłowe polecenie w Cronie

andreq napisał(-a):

zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.

Kod:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186

Czy w przypadku tej reguły eth0 jest interfejsem sieci lokalnej czy wanu?
U mnie eth0 jest interfejsem, który podłączony jest bezpośrednio do modemu.
eth1 z kolei to interfejs sieci 10.0.0.0/16

Offline

 

#32  2013-04-29 12:35:53

  andreq - Członek DUG

andreq
Członek DUG
Skąd: Nisko
Zarejestrowany: 2005-01-11

Re: Prawidłowe polecenie w Cronie

Oczywiście eth0

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)