Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
sieć o adresie 10.0.0.0 to sieć dla pracowników,
sieć o adresie 10.0.1.0 to bezprzewodowy dostęp dla osób z zewnątrz - tutaj jest określona pula adresów otrzymywanych dynamicznie z dhcp
Ostatnio edytowany przez Luc3k (2013-04-25 10:01:03)
Offline
Nie o to pytałem, ale nieważne. Daj /8 wtedy wszystkie adresy z puli 10.0.0.0 będą przepuszczane, nie jest to optymalne rozwiązanie, ale najłatwiejsze.
Offline
W zasadzie 256 adresów jest w zupełności wystarczająca, ale nie o to chodzi. Celem utworzenia 10.0.1.0 było wrzucenie wszystkich osób spoza firmy do jednej kontrolowanej/bezpieczniejszej puli.
Na takim etapie jest obecnie zapora: http://79.189.44.186/~kzgrzeblak/firewall_new
Niestety ta reguła:
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186
nie udostępnia internetu na żadnym z komputerów w sieci.
Jak wykonam skrypt z zaporą z tymi wpisami:
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT
internet hula w całej sieci.
Ostatnio edytowany przez Luc3k (2013-04-25 10:30:54)
Offline
W tym momencie utknąłem: http://79.189.44.186/~kzgrzeblak/firewall_new
andreq napisał(-a):
Na początku czyścisz reguły, potem ustawiasz domyślną politykę INPUT i FORWARD na DROP, a OUTPUT na ACCEPT, potem puszczasz interfejs loopback i zezwalasz na połączenia nawiązane w łańcuchu INPUT (...)
Czy mógłbyś mi pomóc w dalszej części?
andreq napisał(-a):
(...) a dopiero potem zezwalaj na połączenia przy pomocy modułu time i puść maskaradę.
Brakuje udostępnienia internetu dla komputerów w sieci i tego nieszczęśnego modułu time.
Formułę dostępu do internetu dla całej sieci wrzucam zaraz po "# udostepnianie uslug"
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT
W którym miejscu i w jaki sposób dorzucić time, żeby działało?
Ostatnio edytowany przez Luc3k (2013-04-25 14:16:44)
Offline
Jak cię tu naprowadzić? chmmmm zobacz rysunek 11.3 w http://www.drzewo-wiedzy.pl/?page=artykul&id=175, widzisz jak przepływają pakiety?
Teraz zacytuję tłumaczenie Łukasza Bromirskiego
Łańcuch to lista reguł. Każda reguła mówi 'jeśli nagłówek pakietu wygląda tak, to zrobimy z tym pakietem następującą
rzecz'. Jeśli reguła nie pasuje do pakietu, sprawdzana jest następna. Na koniec, jeśli nie ma więcej reguł, kernel sprawdza
politykę (ang. policy) danego łańcucha. W systemie w którym dba się o bezpieczeństwo, polityka mówi zwykle
kernelowi by odrzucić (DROP) pakiet.
1. Kiedy pakiet dociera do maszyny (powiedzmy, przez kartę Ethernetową), kernel sprawdza najpierw adres
przeznaczenia pakietu: nazywa się to routingiem.
2. Jeśli pakiet przeznaczony jest do tego kompuera, pakiet zostaje przepuszczony do łańcucha INPUT
(wejściowego). Jeśli przejdzie go, otrzymuje go proces do którego był adresowany.
3. W innym przypadku, jeśli kernel nie ma włączonego przekazywania (ang. forwarding), lub nie wie jak
przekazać pakiet, jest on odrzucany. Jeśli przekazywanie jest włączone i pakiet jest przeznaczony do innego
interfejsu sieciowego (jeśli w ogóle masz jeszcze jeden), pakiet przechodzi w prawo na naszym diagramie do
łańcucha FORWARD (przekazującego). Jeśli zostaje zaakceptowany (ACCEPT), zostanie wysłany dalej.
4. Na koniec, program pracujący na tym komputerze może również wysyłać własne pakiety. Przejdą one od razu do
łańcucha OUTPUT (wyjściowego): jeśli stwierdzi on że zaakceptuje pakiet (ACCEPT), pakiet przechodzi do
właściwego interfejsu sieciowego.
Widzisz gdzie następuje translacja adresów a gdzie działa moduł time?
PS. Powinieneś poczytać o adresacji np. http://projektyefs.wwsi.edu.pl/upload/list/wszechni … terowych_.pdf zobacz też to http://42.pl/ipcalc/
Dodam jeszcze:
Luc3k napisał(-a):
Niestety ta reguła:
Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186nie udostępnia internetu na żadnym z komputerów w sieci.
Zamiast s 10.0.0.0/8 masz wskazać adres konkretnego komputera
zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186
Ostatnio edytowany przez andreq (2013-04-25 21:09:41)
Offline
andreq napisał(-a):
zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.
Kod:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186
Czy w przypadku tej reguły eth0 jest interfejsem sieci lokalnej czy wanu?
U mnie eth0 jest interfejsem, który podłączony jest bezpośrednio do modemu.
eth1 z kolei to interfejs sieci 10.0.0.0/16
Offline
Oczywiście eth0
Offline