Forum Debian Users Gang

qbsiu · 2008-05-28 23:24:08

Witam!
Dawno nie pisałem :-) Nie trułem Wam dupy....
Mam taki problem.... Jest sobie pracownia, do której dochodzi internet lanem. Moim zadaniem jest postawienie serwera, który będzie dzielił połączenie na +/- 16 komputerów... Z tego co wiem, to ma bym Patch Panel (jeszcze nie wiem kiedy i kto to podłączy... ale :D )
Mam pytanie... Jak skonfigurować całą maskaradę :/ Najlepiej, żeby te 16 komputerów łączyło się przy pomocy DHCP. Znalazłem opisy http://dug.net.pl/texty/masq.php
Czyli reasumując:
- Jak ustawić maskaradę w iptables
- Jak ustawić dhcp do 16 połączeń. (nie chcę przypisywać do mac'ów), gdyż karty sieciowe będą zmieniane... :/
Będę wdzięczny jak nie wiem co.... Co gorsza mam to postawić do końca sierpnia... (leżę).... Do tego nauka... :/
Dziękuję i pozdrawiam serdecznie...
Jeżeli zamieszałem gdzieś, albo źle napisałem, to serdecznie przepraszam...

bercik · 2008-05-29 01:42:21

jezeli pracownia (czyli wewnetrzna czesc jakiejs instytucji) i dojscie jest LANem to jest spora szansa ze nat jest juz gdzies robiony wiec warto sie upewnic czy trzeba go robic na serwerze w pracowni (osobiscie stoje na stanowisku ze NAT stosujemy tylko gdy jest to _absolutnie_ konieczne) - moze wystarczy zwykly routing lub plaska struktura (switch)

co do tematu to w DHCP podajesz zakres 16 adresow (odpowiedni range), aczkolwiek nie wiem za bardzo po co ograniczenie do 16 jezeli nie ograniczamy dla jakich hostow ...

qbsiu · 2008-05-29 07:17:42

Niby masz rację... Ale ze względu na to, że w trzeciej klasie mamy bawić sieciami - muszę postawić.
U nas w kilku pracowniach tak jest zrobione.... Czyli serwer szkolny daje adresy 192.168.0.XXX a te podsieci mają 10.0.0.XX I ja mam tak samo zrobić... Czyli taką symulację jakby serwer bezpośrednio był do neta podłączony.... :/

bercik · 2008-05-29 19:31:27

qbsiu napisał(-a):
Czyli taką symulację jakby serwer bezpośrednio był do neta podłączony.... :/

a czy serwer/router podpiety do neta == NAT ?

w zasadzie nie potrzebujesz maskarady wystarczy SNAT (bo adres z drugiej strony jest staly):

Kod:

iptables -A POSTROUTING -t nat -o eth1 -s 10.0.0.0/24 -d 0.0.0.0/0 -j SNAT --to-source 192.168.0.XX
iptables -A FORWARD -i eth0 -o eth1 -j DROP

eth0 - wewnetrzny, eth1 - zewnetrzny, 192.168.0.XX - "zewnetrzne" ip serwera

przy dhcp zwroc uwage na ktorym eth go odpalasz ...

qbsiu · 2008-06-01 08:34:52

Jeszcze jedno pytanie, jeżeli serwer będę konfigurował, to trzeba wpisywać 2 DNS'y? czy można tylko na jednym jechać?

milyges · 2008-06-01 11:34:33

Można na jednym, ale jak on padnie to masz problem ;)

bobycob · 2008-06-01 14:07:16

bercik napisał(-a):
w zasadzie nie potrzebujesz maskarady wystarczy SNAT (bo adres z drugiej strony jest staly):
Kod:
iptables -A POSTROUTING -t nat -o eth1 -s 10.0.0.0/24 -d 0.0.0.0/0 -j SNAT --to-source 192.168.0.XX
iptables -A FORWARD -i eth0 -o eth1 -j DROP
...

Drobna uwaga: co chcesz snatować, jeżeli wszystkie pakiety wcześniej zabijasz w FORWARD?

bercik · 2008-06-01 14:30:17

oczywiscie mialo byc accept a nie drop ... blad przy kopiowaniu :-( ... przepraszam ...

kayo · 2008-06-01 14:33:59

qbsiu napisał(-a):
Jeszcze jedno pytanie, jeżeli serwer będę konfigurował, to trzeba wpisywać 2 DNS'y? czy można tylko na jednym jechać?

A nie lepiej swój postawić?

qbsiu · 2008-06-03 23:52:03

Dobrałem się do sypiącego się grata (czyt. serwera szkolnego)... Nie zapisałem w sumie całych tablic iptables... Widziałem tylko pliki takie jak:

Kod:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 0/0 -j MASQUERADE
modprobe ip_nat_ftp

Kod:

IPT=/usr/local/iptables/sbin/iptables
il=100

#User002
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.2 -m connlimit --connlimit-above $il -j DROP
#User003
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.3 -m connlimit --connlimit-above $il -j DROP
#User004
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.4 -m connlimit --connlimit-above $il -j DROP
#User005
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.5 -m connlimit --connlimit-above $il -j DROP
#User006
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.6 -m connlimit --connlimit-above $il -j DROP
#User007
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.7 -m connlimit --connlimit-above $il -j DROP
#User008
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.8 -m connlimit --connlimit-above $il -j DROP
#User009
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.9 -m connlimit --connlimit-above $il -j DROP
#User010
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.10 -m connlimit --connlimit-above $il -j DROP
#User011
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.11 -m connlimit --connlimit-above $il -j DROP
#User012
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.12 -m connlimit --connlimit-above $il -j DROP
#User013
$IPT -t filter -I FORWARD -p tcp -s 192.168.0.13 -m connlimit --connlimit-above $il -j DROP

.... I tak aż do 253 :-)
Nie wiem czy jest sens... :|
Jeszcze fajny skrypcik sobie zrobił ten ktoś....

Kod:

#!/bin/bash
a=1
for a in `seq 1 254`; do
b=`cat /proc/net/ip_conntrack|grep 192.168.0.$a|wc -l`
echo 192.168.0.$a : $b
echo "192.168.0.$a : $b" >> polaczenia.log
done

i plik polaczenia.log :-) http://wklej.ciasny.net/515/
Chyba to wszystko co udało mi się odnaleźć na tym komputerze... Jeszcze pogrzebię jutro może (jeśli odpali)... Co powiecie na temat TEJ konfiguracji :|
Pozdrawiam...

Ostatnio edytowany przez qbsiu (2008-06-03 23:53:07)

qbsiu · 2008-06-07 08:05:20

Okej! Serwer już stoi, wszystko pięknie i ładnie działa xD Były mały zgrzyt..... Rano podłączyłem się do switcha - wszystko pięknie i ładnie działa... Za jakiś czas dostaję z dhcp adresy z puli 10.XXXXXXX :| Szczena mi opadała... Pół dnia się męczyłem... Aż w końcu doszedłem... Jedna pracownia, zamiast dzielić sobie łącze na pracownie, dzieliła na szkołe :-) Dlatego dyrektor twierdził, że serwer jest popsuty, etc... :] Problem rozwiązany...
Dalej... Siedziałem sobie na podsłuchu - patrzyłem kto gdzie łazi... i 90% ruchu w sieci to były jakieś gry online, fotki.... xD 10% to jakieś poczty i google :-)Będę bardzo niedobrym adminem i poblokuje to wszystko przez iptables... Może ma ktoś już jakąś ciekawą bazę ze stronkami, które warto poblokować i by się ze mną podzielił :-) Będę wdzięczny!
Mam jeszcze jedno pytanie - chciałem zrobić skrypt startowy - taki żeby miał start() stop()... Może ktoś podpowiedzieć jak takie coś zrobić w debianie? Do gentoo znalazłem opis.... http://www.gentoo.org/doc/pl/handbook/handbook-x86. … p=4#doc_chap4
Z góry dziękuję!

Ostatnio edytowany przez qbsiu (2008-06-07 08:06:49)

bercik · 2008-06-07 12:23:49

/etc/init.d/skeleton >> szablon pliku skryptu startowego ... w wersji minimalistycznej wystarczy reagowac na $1 ktory moze miec wartosc "start" "stop" ...

/dev/null >> lista stron ktore blokuje (ale to moj subiektywny poglad)

qbsiu · 2008-06-08 09:50:00

Muszę zrobić 2 virtualne sieci (eth1:1 eth1:2) Ponieważ są 2 serwery, które pracują na windowsie i mają taką samą nazwę w sieci - to podobno się gryzie ze sobą... Nie wiem nie jestem pewny... Jeszcze w piątek jedną virtualną sieć udało mi się zrobić - działa okej! całość wygląda tak:
eth1 - 192.168.0.XX
eth1:1 - 192.168.1.XX
z eth1:1 jest potrzebny tylko jeden adres, który przeznaczę na jeden serwer - reszta adresów nie jest mi potrzeba.... O co mi teraz chodzi.
Całe eth1 mam ograniczone connlimitem do 35 pakietów, jeżeli ktoś będzie cwany ręcznie wpisze sobie adres z mojej wirtualnej sieci i nie będzie miał limitów... :/ Jak zablokować całe eth1:1 pozwalając tylko JEDNEMU użytkownikowi podłączyć się do sieci?
Dhcp dzieli tylko adresy z puli 192.168.0.XX...

Edit...
Ajajajajaja :] Znalazłem...

Kod:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.XX -j MASQUERADE
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX -j ACCEPT

Człowiek się całe życie uczy

Ostatnio edytowany przez qbsiu (2008-06-08 10:06:52)

bercik · 2008-06-08 12:54:56

wirtualne sieci w tym o czym piszezsz to vlany czy tez zwykle aliasy do ip (z oznaczen interfejsow wyglada na to drugie)

to pierwsze z switchem obslugujacym ten mechanizm rozwiazlo by problem ... zamiast tego drugiego elegantrzym rozwiazaniem jest nadawanie kilku adresow podstawowemu interfejsowi przy pomocy ip addr add

qbsiu · 2008-06-08 13:18:02

Da się tak? Jak możesz to zapodaj przykład.

bercik · 2008-06-08 23:46:03

nie wiem ktorej czesci dotyczylo pytanie wiec napisze o obu

Kod:

ip add add 192.168.0.1/24 dev eth0

doda do karty eth0 adres 192.168.0.1 z prefixem /24

vlany ustawiasz przy pomocy vconfig (nie ma specjalnych wymogow co do karty) i odpowiednio konfigurujesz porty w switchu (musi byc zarzadzalny z wsparciem vlanow)

Forum Debian Users Gang

Ogłoszenie

#1 2008-05-28 23:24:08

qbsiu - Członek DUG

Udostępnianie połączenia.... :/

#2 2008-05-29 01:42:21

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

#3 2008-05-29 07:17:42

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

#4 2008-05-29 19:31:27

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

qbsiu napisał(-a):

Kod:

#5 2008-06-01 08:34:52

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

#6 2008-06-01 11:34:33

milyges - inż.

Re: Udostępnianie połączenia.... :/

#7 2008-06-01 14:07:16

bobycob - Członek z Ramienia

Re: Udostępnianie połączenia.... :/

bercik napisał(-a):

Kod:

#8 2008-06-01 14:30:17

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

#9 2008-06-01 14:33:59

kayo - Członek DUG

Re: Udostępnianie połączenia.... :/

qbsiu napisał(-a):

#10 2008-06-03 23:52:03

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

Kod:

Kod:

Kod:

#11 2008-06-07 08:05:20

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

#12 2008-06-07 12:23:49

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

#13 2008-06-08 09:50:00

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

Kod:

#14 2008-06-08 12:54:56

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

#15 2008-06-08 13:18:02

qbsiu - Członek DUG

Re: Udostępnianie połączenia.... :/

#16 2008-06-08 23:46:03

bercik - Moderator Mamut

Re: Udostępnianie połączenia.... :/

Kod:

Stopka forum