Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2015-10-01 21:02:12
cryptofreak - Użytkownik
- cryptofreak
- Użytkownik
- Zarejestrowany: 2015-09-30
wina dostawcy czy konfiguracji
Witam.
mam pewien problem, ale zanim do niego dojdę wyjaśnie wam piktograficznie o co mi chodzi.
mam tak:
WAN
|
V
################
# ROUTER #
# TPLINK #
# TL-WR740Nv.4 #
################
| |
wifi lan
~~~ | | | |
| eth0
V
#########
# PC_deb#
#########
chcę zrobić tak:
WAN
| eth0
V
#########
# PC_deb#
#########
| eth1
V
################
# ROUTER #
# TPLINK #
# TL-WR740Nv.4 #
################
| |
wifi lan
~~~ | | | |
po co?
chcę żeby PC_deb był firewallem lub proxy lub tym i tym w zależności od tego co mi strzeli do głowy.
problem pojawia się zaraz na początku...
podpinam WAN > PC_deb
konfiguruję kartę sieciową.
wyskakuje mi komunikat "ustanowiono połączenie"
jednak:
a) przy ładowaniu stron wyskakuje "Server not found",
b) polecenie ping cokolwiek.pl wypluwa mi po czasie 'unknownhost".
Zażenowany zadzwoniłem do dostawcy mojego magicznego internetu z pytaniem, czy widzą moje urządzenie. Odpowiedzieli że widzą. Spytałem czy MAC się zgadza. Odpowiedzieli że się zgadza.
Nie otwierałbym tego tematu gdybym chociaż miał koncepcję na podejście do problemu. Ale nie mam zielonego pojęcia od czego zacząć.
Ps.
Dzieją się też takie krzaczki że jak przepne się WAN > PC_deb to potrafi mi przez chwile ładować strony. po czasie jest znów server not found...
Ostatnio edytowany przez cryptofreak (2015-10-01 21:05:17)
Offline
#2 2015-10-01 21:09:11
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: wina dostawcy czy konfiguracji
Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.
Radzę się zaprzyjaźnić np z tcpdumpem i wiresharkiem.
Często dostawcy stosują jako zabezpieczenie przed nielegalnym udostępnianiem np TTL 1 albo TTL 2, i potem pakiet tcp skończy żywot na Pc_deb lub tplinku.
Poza tym host not found wskazuje, ze nie masz ustawionych DNSów.
Na Pc_deb musisz włączyć przekazywanie pakietów, DHCP i maskaradę.
https://dug.net.pl/drukuj/31/udostepnienie_polaczen … o_%28masq%29/
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2015-10-01 21:41:38
cryptofreak - Użytkownik
- cryptofreak
- Użytkownik
- Zarejestrowany: 2015-09-30
Re: wina dostawcy czy konfiguracji
Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.
problem w tym że połączenie pojawia się albo na parę minut albo wcale. więc na PC_deb nie mam neta
Poza tym host not found wskazuje, ze nie masz ustawionych DNSów.
DNSy skonfigurowałem poprawnie.
będę dłubał w moim firewallu. bo to wygląda tak jakbym rozsyłał jakieś nieporządane wg. mojego dostawcy pakiety i dostawał bloka od niego. albo jakby firewall robił czasowego bloka. jak coś wydlubię to zdam raport
wireshark zawsze mnie przerażał :D
ale w końcu będę musiał się wziąć za niego
Offline
#4 2015-10-01 21:54:47
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: wina dostawcy czy konfiguracji
Pokazanie obecnej konfiguracji zapory nie byłoby złym pomysłem.
Teraz to tylko wróżyć można, a z tym różnie bywa.
Offline
#5 2015-10-01 22:25:02
cryptofreak - Użytkownik
- cryptofreak
- Użytkownik
- Zarejestrowany: 2015-09-30
Re: wina dostawcy czy konfiguracji
Problem z odrzucaniem połączenia leżał po stronie walla (oby tylko) Po przypięciu drugiej sieciówki zmieniła mi się nazwa eth0 na rename3. niuanse... i w sumie dziwna sprawa bo wyczyszczenie łańcuchów IPTABLES i ustawienie wszytkiego na ACCEPT było pierwszą rzeczą którą zrobiłem przy wystąpieniu problemów z połączeniem. no ale już...
jeśli przez 24h nie bedzie problemow to uznam sprawę za załatwioną.
Dziękuję Jacekalex po raz kolejny za wypasiony poradnik o maskaradzie.
ok zapodaje 'walla'. może komuś się przyda. może ktoś znajdzie jakiś błąd lub lukę.
Kod:
#!/bin/sh
welcome () {
echo " "
echo "#####FIREWALL#################### by <ry[]Dt0fr3@k #####################"
echo "#########################################LAST UPDATE: 01-10-2015.22:10##"
}
## LSB TAGS #########################################################
### BEGIN INIT INFO
# Provides: FIREWALL
# Required-Start: $local_fs
# Required-Stop: $local_fs
# Default-Start: S
# Default-Stop: 0 6
# X-Start-Before: $network
# X-Stop-After: $network
# Short-Description: Zapora
# Description: Zapora z proxy dla http
### END INIT INFO
PATH=/bin:/sbin:/usr/bin:/usr/sbin
if ! [ -x /sbin/iptables ]; then
echo " NO IPTABLES!"
exit 0
fi
fw_clear () {
echo " * Czyszczenie regul"
## czyszczenie reguł ################################################
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
}
fw_stop () {
echo " * Odrzucanie polaczen"
## odrzucanie połączeń INPUT i FORWARD ##############################
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
}
fw_start () {
## sledzenie ########################################################
modprobe ip_conntrack
modprobe iptable_nat
## zmienne ##########################################################
_INTRA="1.2.5.36"
_INTERFACE_1="rename3"
echo " * Reguly dla INPUT..."
## reguly INPUT ###################################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -m state --state INVALID -j DROP
############ stateful filtering #####################################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
############ anti-spoofing ##########################################
iptables -A INPUT -i $_INTERFACE_1 -j LOG --log-prefix "INPUT SPOOFED PKT "
iptables -A INPUT -i $_INTERFACE_1 -j DROP
############ ACCEPT #################################################
iptables -A INPUT -i $_INTERFACE_1 -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
iptables -A INPUT -i $_INTERFACE_1 -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -j LOG --log-ip-options
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
############ LOG I DROP #############################################
iptables -A INPUT -i !lo -j LOG --log-prefix "INPUT DROP " --log-ip-options --log-tcp-options
echo " * Reguly dla OUTPUT..."
## OUTPUT ###########################################################
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "OUTPUT DROP INVALID " --log-ip-options --log-tcp-options
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
############ ACCEPT #################################################
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
############ LOG I DROP #############################################
iptables -A OUTPUT -o !lo -j LOG --log-prefix " OUTPUT DROP " --log-ip-options --log-tcp-options
## echo " * Reguly dla FORWARD..."
## ## FORWARD ##########################################################
## iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "FORWARD DROP INVALID " --log-ip-options --log-tcp-options
## iptables -A FORWARD -m state --state INVALID -j DROP
## iptables -A FORWARD -i $_INTERFACE_1 -j LOG --log-prefix "FORWARD SPOOFED PKT "
## iptables -A FORWARD -i $_INTERFACE_1 -j DROP
##
## ############ ACCEPT #################################################
## iptables -A FORWARD -p tcp --dport 443 -m state --state NEW -j ACCEPT
##$$$$$ iptables -A FORWARD -p tcp --dport 25 -m state --state NEW -j ACCEPT
## iptables -A FORWARD -p tcp --dport 80 -m state --state NEW -j ACCEPT
## iptables -A FORWARD -p udp --dport 80 -m state --state NEW -j ACCEPT
## iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
## iptables -A FORWARD -i !lo -j LOG --log-prefix "FORWARD DROP " --log-ip-options --log-tcp-options
############ NAT ####################################################
iptables -t nat -A POSTROUTING -s $_INTRA -o $_INTERFACE_1 -j MASQUERADE
echo " * IP forward enable"
echo 1 > /proc/sys/net/ipv4/ip_forward
}
case "$1" in
start)
welcome
echo " "
echo "Starting firewall.."
echo " "
fw_start
echo "done."
echo " "
echo " "
;;
restart)
echo " "
echo "Restarting firewall..."
echo " "
welcome
fw_clear
fw_stop
fw_start
echo "done."
echo " "
echo " "
;;
stop)
echo " "
echo "Stopping firewall.."
echo " "
fw_stop
echo " "
echo "Firewall stopped!"
echo " "
;;
clear)
echo " "
echo "Clearing firewall rules.."
echo " "
fw_clear
echo "done."
echo "#######################################"
echo "# Watch out! You seems to be exposed! #"
echo "# use firewall.sh stop to DROP it all #"
echo "#######################################"
echo " "
echo " "
;;
*)
echo "Usage: $0 {start|stop|restart|clear}"
exit 1
;;
esac
exit 0reguły dla FORWARD ustawiłem na DROP a reszta zahashowana bo do tej pory nie potrzebowałem tej opcji.
Ostatnio edytowany przez cryptofreak (2015-10-01 23:00:33)
Offline
#6 2015-10-02 15:41:20
cryptofreak - Użytkownik
- cryptofreak
- Użytkownik
- Zarejestrowany: 2015-09-30
Re: wina dostawcy czy konfiguracji
Ok. sieć na eth0 (wcześniej 'rename3') działa po przekonfigurowaniu firewalla. wszystko pięknie. dziekuję :)
ale.... :(
Co do poradnika podesłanego przez Jacekalex.
Kod:
https://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/
Kod:
aptitude install dhcp3-server
nie ma takiego numeru
lista po wykonaniu aptitude search dhcp
Kod:
p autodns-dhcp - Automatic DNS updates for DHCP v dhcp-client - p dhcp-helper - A DHCP relay agent p dhcp-probe - network DHCP or BootP server discover p dhcpcd-dbus - DBus bindings for dhcpcd p dhcpcd-gtk - GTK+ frontend for dhcpcd and wpa_supplicant p dhcpcd5 - DHCPv4, IPv6RA and DHCPv6 client with IPv4LL support v dhcpd - p dhcpdump - Parse DHCP packets from tcpdump p dhcping - DHCP Daemon Ping Program p dhcpy6d - MAC address aware DHCPv6 server written in Python p fusiondirectory-plugin-dhcp - dhcp plugin for FusionDirectory p fusiondirectory-plugin-dhcp-schema - LDAP schema for FusionDirectory dhcp plugin p gosa-plugin-dhcp - dhcp plugin for GOsa² p gosa-plugin-dhcp-schema - LDAP schema for GOsa² dhcp plugin i isc-dhcp-client - Klient DHCP do automatycznego uzyskiwania adresów IP p isc-dhcp-client-dbg - ISC DHCP server for automatic IP address assignment (client debug) i isc-dhcp-common - Wspólne pliki używane przez wszystkie pakiety isc-dhcp p isc-dhcp-dbg - ISC DHCP server for automatic IP address assignment (debuging symbols) p isc-dhcp-dev - API for accessing and modifying the DHCP server and client state p isc-dhcp-relay - ISC DHCP relay daemon p isc-dhcp-relay-dbg - ISC DHCP server for automatic IP address assignment (relay debug) pi isc-dhcp-server - Serwer DHCP z ISC, pozwalający na automatyczne przypisywanie adresów IP p isc-dhcp-server-dbg - ISC DHCP server for automatic IP address assignment (server debug) p isc-dhcp-server-ldap - Serwer DHCP używający protokołu LDAP jako swojego backendu p libnet-dhcp-perl - Perl interface for handling DHCP packets p libnet-dhcpv6-duid-parser-perl - OO interface to parse DHCPv6 Unique Identifiers p libtext-dhcpleases-perl - Perl module to parse DHCP leases file from ISC dhcpd p neutron-dhcp-agent - OpenStack virtual network service - DHCP agent p python-pydhcplib - Python DHCP client/server library v python2.6-pydhcplib - v python2.7-pydhcplib - p quantum-dhcp-agent - transitional dummy package for upgrading quantum-dhcp-agent p udhcpc - Provides the busybox DHCP client implementation p udhcpd - Provides the busybox DHCP server implementation p wide-dhcpv6-client - DHCPv6 client for automatic IPv6 hosts configuration p wide-dhcpv6-relay - DHCPv6 relay for automatic IPv6 hosts configuration p wide-dhcpv6-server - DHCPv6 server for automatic IPv6 hosts configuration
no to skozystałem ze starszej wersji. isc-dhcp-server
skonfigurowałem jak należy, kożystając ze ścieżek /etc/dhcp/dhcpd.conf i /etc/default/isc-dhcp-server. wprowadziłem ustawienia dla mojej przyszłej sieci.
tyle że przy restarcie usługi isc-dhcp-server.service dostaje Active:failed a systemctl status mówi mi 'ddns-update-style ad_hoc no longer supported'.
kto ma jakiś patent?
~
$_EDIT
Zestawiłem połączenia (eth1) i (TPLINK) z palca
(eth1):10.30.130.1/24 <---> (TPLINK):10.30.130.2/24 gateway:10.30.130.1
wszystko hula według założenia!
jednak. co byście zrobili gdyby nie było innego wyjścia i trzeba byłoby oprzeć się o server dhcp?
Ostatnio edytowany przez cryptofreak (2015-10-02 18:44:16)
Offline
#7 2015-10-08 23:53:17
qluk - Pan inż. Cyc
- qluk
- Pan inż. Cyc
- Skąd: Katowice
- Zarejestrowany: 2006-05-22
Re: wina dostawcy czy konfiguracji
Bo ten poradnik powstał pierwotnie chyba eony temu i powinien byc przepisany bo obecnie posiada błędy i to w sumie kardynalne.
ISC nie jest starsze, tylko jest to troche co innego. I pytanie czy skonfigurowałeś ISC wg. poradnika dla innego serwera DHCP? Jeśli tak to jest błąd co też świadczy komunikat podany że używasz czegoś co jest niewspierane już w konfiguracji. Bo po jaką cholerę tam jest aktualizacja ddns'a to ja nie wiem (tzn. wiem byl wzorowany na innym "poradnikowym").
Odnosnie ddns'a i dlaczego ad-hoc zostal wywalony
Kod:
https://deepthought.isc.org/article/AA-01091/0/ISC-DHCP-support-for-Standard-DDNS.html
W twoim przypadku ddns jest zbedny i mozesz pominac lub dac none.
Offline