Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Serwer - Router Debian - konfiguracja - instalacja
#1 2008-11-25 17:18:39
tmq - Użytkownik
- tmq
- Użytkownik
- Zarejestrowany: 2008-11-25
Serwer - Router Debian - konfiguracja - instalacja
Witam, mam zainstalowanego Debian 40r5 i przekompilowanego kernel zgodnie z postem:
[url]http://forum.dug.net.pl/viewtopic.php?id=9452[/url]
tj.
linux-2.6.26.6:
- imq, esfq, wrr, rtsp, chaostables, layer7, zph, routes, TARPIT, ACCOUNT, IPMARK, IPV4OPTSSTRIP, ROUTE, condition, geoip, ipp2p, account, ipv4options, set, weburl
iptables-1.4.1.1:
- imq, chaostables, layer7, TARPIT, ACCOUNT, IPMARK, IPV4OPTSSTRIP, ROUTE, condition, geoip, ipp2p, account, ipv4options, set, weburl
iproute2-2.6.26:
-esfq, wrr, srr
Wszystko identycznie zrobiłem jak na stronie:
[url]http://ellebian.pl/opis.html[/url]
dodałem jeszcze WEBIMNa itp.
Mam teraz takie pytanie, co mam robić dalej aby mój router-serwer poprawnie dzielił pasmo, blokował p2p itd.
Mój serwer ma eth0 - interfejs zewnętrzny (WAN) eth1 - interfejs wewnętrzny (LAN). "skonfigórowałem" firewalla (powiedzmy) czyli mam neta już na eth1.
I teraz mam takie pytanko, co dalej bo już naprawdę niem pojęcia, mógł by mi ktoś pomóc. co dalej mam instalować lub konfigurować.
HTB? HFSC? dopiero zaczynam zabawę z Linuxem.
Proszę o wyrozumienie, googlowałem nie dzień nie dwa, ale niestety dalej nie wiem co mam robić tzn co instalować? co konfigurować?
Z góry dziękuję za pomoc,
PS. nie oczekuję odpowiedz typu google, czy szyderczych, po to moim zdaniem jest forum aby pytać. NIKT nie był od razu mega Administratorem :)
Więc proszę o wyrozumienie i pomoc.
Ostatnio edytowany przez tmq (2008-11-25 17:43:16)
Offline
#2 2008-11-25 19:25:15
stepien86 - 
Członek DUG
- stepien86
- Członek DUG
- Skąd: Łódź
- Zarejestrowany: 2006-03-26
Re: Serwer - Router Debian - konfiguracja - instalacja
http://dug.net.pl/texty/htb.pdf - dzielenie pasma
blokowanie p2p : iptables -I FORWARD -m layer7 --l7proto gnutella -j DROP np takie polecenie, generalnie poczytaj o layer7
Ostatnio edytowany przez stepien86 (2008-11-25 19:33:19)
manual ponad wszysytko....konsola ponad manual
Debian GNU Linux
Offline
#3 2008-11-26 20:38:23
czarny30 - Użytkownik
Re: Serwer - Router Debian - konfiguracja - instalacja
Ja mam taki skrypcik i smiga mi niesamowicie. Jest tam i dzielenie predkosci i blokowanie stron mozna tez dodac wiele wiele innych rzeczy
Kod:
#!/bin/sh
# interfejsy
LO_IFACE="lo"
WAN_IFACE="eth1"
LAN_IFACE="eth0"
WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
#adresy IP
LO_IP="127.0.0.1"
# ścieşka do iptables
IPTABLES="/usr/sbin/iptables"
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Limitowanie sesji tcp
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "20" > /proc/sys/net/ipv4/ipfrag_time
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog
# TCP timestamps protection
echo "1" > /proc/sys/net/ipv4/tcp_timestamps
# Ignore redirected packets
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects
# uruchomienie przekazywania pakietow IP miedzy interfejsami
echo "1" > /proc/sys/net/ipv4/ip_forward
# uniemoĹźliwia udostepnianie netu dalej
echo "1" > /proc/sys/net/ipv4/ip_default_ttl
#$IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1
# czyszczenie regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# ustawienie polityk na DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i ${LO_IFACE} -j ACCEPT
iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT
# Polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#TTL Ukrycie naszej maskarady
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64
iptables -t mangle -A FORWARD -j TTL --ttl-set 64
iptables -t mangle -A PREROUTING -j TTL --ttl-set 64
# Squid przekierowanie
#iptables -t nat -I PREROUTING -s ${LAN_IP_RANGE} -p tcp --dport 80 -j REDIRECT --to-port 8080
# zezwolenie na pingowanie
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 6/minute -j ACCEPT
#Zabezpieczenie skanowania routera
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix 'SCAN: '
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#zezwolenie na polaczenie dla ip
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 700 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 700 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 773 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 773 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 10000 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 10000 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 8767 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 8767 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d $LAN_IP -p tcp --dport 14534 -j ACCEPT
iptables -A OUTPUT -s 192.168.0.11 -d $LAN_IP -p udp --dport 14534 -j ACCEPT
# otwarcie portow
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 8767 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 8767 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 20100 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 20100 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 27950:27960 -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 27950:27960 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 80 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LAN_IP -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d $LAN_IP -p udp --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.255 -j REDIRECT --to-port 700
iptables -t nat -A PREROUTING -p udp -s 192.168.0.255 -j REDIRECT --to-port 700
#nobek
iptables -t nat -A POSTROUTING -s 192.168.0.11 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:1b:77:cf:88:fa -j ACCEPT
#nobek kom
iptables -t nat -A POSTROUTING -s 192.168.0.12 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:1c:d6:34:29:a7 -j ACCEPT
#robek laptop
iptables -t nat -A POSTROUTING -s 192.168.0.60 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:21:5c:29:8f:5f -j ACCEPT
#robek komp2
#iptables -t nat -A POSTROUTING -s 192.168.0.61 -j MASQUERADE
#iptables -A FORWARD -m mac --mac-source 00:1f:3c:16:02:e6 -j ACCEPT
#mac zablokowany
iptables -A FORWARD -m mac --mac-source 00:13:5f:07:6a:05 -j DROP
iptables -A FORWARD -m mac --mac-source ff:ff:ff:ff:ff:ff -j DROP
tc qdisc del root dev eth0 2>/dev/null
tc qdisc del root dev eth1 2>/dev/null
iptables -t mangle -D POSTROUTING -o eth1 -j MYSHAPER-OUT 2>/dev/null
iptables -t mangle -F MYSHAPER-OUT 2>/dev/null
iptables -t mangle -X MYSHAPER-OUT 2>/dev/null
#DOWNLOAD
tc qdisc add dev eth0 root handle 1:0 htb
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 9000kbit ceil 9000kbit
tc class add dev eth0 parent 1:1 classid 1:2 htb rate 480kbit ceil 480kbit
tc class add dev eth0 parent 1:1 classid 1:3 htb rate 8500kbit ceil 8500kbit
tc class add dev eth0 parent 1:2 classid 1:4 htb rate 360kbit ceil 480kbit
tc class add dev eth0 parent 1:2 classid 1:5 htb rate 96kbit ceil 128kbit
tc filter add dev eth0 protocol ip preference 1 parent 1:5 u32 match ip \
src 192.168.0.11 flowid 1:1
tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \
dst 192.168.0.12 flowid 1:1
tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \
dst 192.168.0.60 flowid 1:5
tc filter add dev eth0 protocol ip preference 1 parent 1:0 u32 match ip \
dst 192.168.0.61 flowid 1:5
tc qdisc add dev eth0 parent 1:3 handle 3:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:4 handle 4:0 sfq perturb 10
tc qdisc add dev eth0 parent 1:5 handle 5:0 sfq perturb 10
#UPLOAD
tc qdisc add dev eth1 root handle 1:0 htb
tc class add dev eth1 parent 1:0 classid 1:1 htb rate 120kbit ceil 120kbit quantum 16
tc class add dev eth1 parent 1:1 classid 1:2 htb rate 40kbit ceil 96kbit quantum 4
tc class add dev eth1 parent 1:1 classid 1:3 htb rate 40kbit ceil 96kbit quantum 4
tc class add dev eth1 parent 1:1 classid 1:4 htb rate 40kbit ceil 96kbit quantum 4
tc qdisc add dev eth1 parent 1:2 handle 2:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:3 handle 3:0 sfq perturb 10
tc qdisc add dev eth1 parent 1:4 handle 4:0 sfq perturb 10
tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 20 fw flowid 1:2
tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 21 fw flowid 1:3
tc filter add dev eth1 protocol ip preference 1 parent 1:0 handle 22 fw flowid 1:4
iptables -t mangle -N MYSHAPER-OUT
iptables -t mangle -I POSTROUTING -o eth1 -j MYSHAPER-OUT
iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.11 -j MARK --set-mark 22
iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.12 -j MARK --set-mark 22
iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.60 -j MARK --set-mark 20
iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.0.61 -j MARK --set-mark 20
iptables -t mangle -A MYSHAPER-OUT -m mark --mark 0 -j MARK --set-mark 20
#zabronione strony www
iptables -I FORWARD -d 195.122.131.13/24 -j DROP
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc[url=http://mikinet.pl]OPROGRAMOWANIE, KASY FISKALNE, KAMERY PRZEMYSŁOWE[/url]
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Serwer - Router Debian - konfiguracja - instalacja
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00108 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.72.65' WHERE u.id=1 |
| 0.00064 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.147.72.65', 1731732426) |
| 0.00042 | SELECT * FROM punbb_online WHERE logged<1731732126 |
| 0.00091 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=12824 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00178 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=12824 ORDER BY p.id LIMIT 0,25 |
| 0.00083 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=12824 |
| Total query time: 0.00584 s | |