Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#26 2013-04-25 09:53:00
Luc3k - 
Użytkownik
Re: Prawidłowe polecenie w Cronie
sieć o adresie 10.0.0.0 to sieć dla pracowników,
sieć o adresie 10.0.1.0 to bezprzewodowy dostęp dla osób z zewnątrz - tutaj jest określona pula adresów otrzymywanych dynamicznie z dhcp
Ostatnio edytowany przez Luc3k (2013-04-25 10:01:03)
Offline
#27 2013-04-25 10:09:39
ba10 - Członek DUG
Re: Prawidłowe polecenie w Cronie
Nie o to pytałem, ale nieważne. Daj /8 wtedy wszystkie adresy z puli 10.0.0.0 będą przepuszczane, nie jest to optymalne rozwiązanie, ale najłatwiejsze.
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)
Offline
#28 2013-04-25 10:29:44
Luc3k - Użytkownik
Re: Prawidłowe polecenie w Cronie
W zasadzie 256 adresów jest w zupełności wystarczająca, ale nie o to chodzi. Celem utworzenia 10.0.1.0 było wrzucenie wszystkich osób spoza firmy do jednej kontrolowanej/bezpieczniejszej puli.
Na takim etapie jest obecnie zapora: http://79.189.44.186/~kzgrzeblak/firewall_new
Niestety ta reguła:
Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186
nie udostępnia internetu na żadnym z komputerów w sieci.
Jak wykonam skrypt z zaporą z tymi wpisami:
Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT
internet hula w całej sieci.
Ostatnio edytowany przez Luc3k (2013-04-25 10:30:54)
Offline
#29 2013-04-25 14:16:07
Luc3k - Użytkownik
Re: Prawidłowe polecenie w Cronie
W tym momencie utknąłem: http://79.189.44.186/~kzgrzeblak/firewall_new
[quote=andreq]Na początku czyścisz reguły, potem ustawiasz domyślną politykę INPUT i FORWARD na DROP, a OUTPUT na ACCEPT, potem puszczasz interfejs loopback i zezwalasz na połączenia nawiązane w łańcuchu INPUT (...)[/quote]
Czy mógłbyś mi pomóc w dalszej części?
[quote=andreq](...) a dopiero potem zezwalaj na połączenia przy pomocy modułu time i puść maskaradę.[/quote]
Brakuje udostępnienia internetu dla komputerów w sieci i tego nieszczęśnego modułu time.
Formułę dostępu do internetu dla całej sieci wrzucam zaraz po "# udostepnianie uslug"
Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE iptables -A FORWARD -s 10.0.0.0/16 -j ACCEPT
W którym miejscu i w jaki sposób dorzucić time, żeby działało?
Ostatnio edytowany przez Luc3k (2013-04-25 14:16:44)
Offline
#30 2013-04-25 21:01:20
andreq - Członek DUG
- andreq
- Członek DUG
- Skąd: Nisko
- Zarejestrowany: 2005-01-11
Re: Prawidłowe polecenie w Cronie
Jak cię tu naprowadzić? chmmmm zobacz rysunek 11.3 w http://www.drzewo-wiedzy.pl/?page=artykul&id=175, widzisz jak przepływają pakiety?
[img]http://www.drzewo-wiedzy.pl/files/obrazek/175-rys2.jpg[/img]
Teraz zacytuję tłumaczenie Łukasza Bromirskiego
Łańcuch to lista reguł. Każda reguła mówi 'jeśli nagłówek pakietu wygląda tak, to zrobimy z tym pakietem następującą
rzecz'. Jeśli reguła nie pasuje do pakietu, sprawdzana jest następna. Na koniec, jeśli nie ma więcej reguł, kernel sprawdza
politykę (ang. policy) danego łańcucha. W systemie w którym dba się o bezpieczeństwo, polityka mówi zwykle
kernelowi by odrzucić (DROP) pakiet.
1. Kiedy pakiet dociera do maszyny (powiedzmy, przez kartę Ethernetową), kernel sprawdza najpierw adres
przeznaczenia pakietu: nazywa się to routingiem.
2. Jeśli pakiet przeznaczony jest do tego kompuera, pakiet zostaje przepuszczony do łańcucha INPUT
(wejściowego). Jeśli przejdzie go, otrzymuje go proces do którego był adresowany.
3. W innym przypadku, jeśli kernel nie ma włączonego przekazywania (ang. forwarding), lub nie wie jak
przekazać pakiet, jest on odrzucany. [b]Jeśli przekazywanie jest włączone i pakiet jest przeznaczony do innego
interfejsu sieciowego (jeśli w ogóle masz jeszcze jeden), pakiet przechodzi w prawo na naszym diagramie do
łańcucha FORWARD (przekazującego). Jeśli zostaje zaakceptowany (ACCEPT), zostanie wysłany dalej.[/b]
4. Na koniec, program pracujący na tym komputerze może również wysyłać własne pakiety. Przejdą one od razu do
łańcucha OUTPUT (wyjściowego): jeśli stwierdzi on że zaakceptuje pakiet (ACCEPT), pakiet przechodzi do
właściwego interfejsu sieciowego.[/quote]
Widzisz gdzie następuje translacja adresów a gdzie działa moduł time?
PS. Powinieneś poczytać o adresacji np. http://projektyefs.wwsi.edu.pl/upload/list/wszechnicait/Podstawy%20adresowania%20host%C3%B3w%20w%20sieciach%20komputerowych_.pdf zobacz też to http://42.pl/ipcalc/
Dodam jeszcze:
[quote=Luc3k]Niestety ta reguła:Kod:
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0.0.0.0/0 -j SNAT --to-source 79.189.44.186nie udostępnia internetu na żadnym z komputerów w sieci.[/quote]
Zamiast s 10.0.0.0/8 masz wskazać adres konkretnego komputera
zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.Kod:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186Ostatnio edytowany przez andreq (2013-04-25 21:09:41)
Offline
#31 2013-04-29 11:48:31
Luc3k - Użytkownik
Re: Prawidłowe polecenie w Cronie
[quote=andreq]zresztą jest lepszy sposób gdzie zamiast IP wskazuje się interfejs np.
Kod:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT -to-source 79.189.44.186
[/quote]
Czy w przypadku tej reguły eth0 jest interfejsem sieci lokalnej czy wanu?
U mnie eth0 jest interfejsem, który podłączony jest bezpośrednio do modemu.
eth1 z kolei to interfejs sieci 10.0.0.0/16
Offline
#32 2013-04-29 12:35:53
andreq - Członek DUG
- andreq
- Członek DUG
- Skąd: Nisko
- Zarejestrowany: 2005-01-11
Re: Prawidłowe polecenie w Cronie
Oczywiście eth0
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00144 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.141.202' WHERE u.id=1 |
| 0.00085 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.141.202', 1714676248) |
| 0.00057 | SELECT * FROM punbb_online WHERE logged<1714675948 |
| 0.00105 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23195 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00468 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23195 ORDER BY p.id LIMIT 25,25 |
| 0.00109 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23195 |
| Total query time: 0.00992 s | |