Forum Debian Users Gang

natomiast · 2009-05-27 12:31:34

Witam,
Mam problem ze skonfigurowaniem iptables. Oto schemat mojej sieci:
INTERNET
|
SBS 2003<--10.0.0.0/8-->Debian(lenny)<--172.16.0.0/16-->Klienci
Debian pełni funkcję routera. Jest też na nim zapasowy(slave) DNS dla strefy AD z SBS-a, który forwarduję zapytania, których sam nie może rozwiązać do DNS-ów TPSA. Chciałbym aby klienci z obu podsieci byli członkami domeny AD z SBS-a. Niestety mam problem które porty pootwierać :-(. Jak DROP-ne INPUT i FORWARD to nie mogę np. wpiąć hosta do domeny bo krzyczy, że nie ma takiego rekordu SRV w DNS-ie. Oczywiście nie ma też możliwości przeglądania udziałów sieciowych. Nie chce iść na skróty (chociaż czas goni :-/) ale może ma ktoś i zechce się podzielić taką informacją jakie porty powinny być pootwierane(w INPUT i FORWARD)? Ewentualnie w jaki sposób to zbadać?

Pozdrawiam,

tspoko · 2009-06-10 15:02:19

Nie znam się na AD ale co do szukania portów to myśle że przeglądanie logów powinno pomóc. Jeśli chodzi o szukanie portów, które trzeba otworzyć to może włączyć logowanie: na koncu sekcji INPUT:
/sbin/iptables -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
To samo dla forward - i zabawa z przeglądaniem.
Pozdrawiam

BiExi · 2009-06-10 15:53:57

Z schematu wynika ze sa 3 interfesy w rouerku
wiec rozwiazania jakie mi sie naswaja
to dla jednej z podsieci tej bardziej odalonej od sbs'a zrobic openvpn na serverku i wtedy przydzielac ich do klasy adresowej 10.0.0.0/8 (o tyle bespecccczne e kazdy by sie musial tam zalogowac (tu muisz zezwolic na ruch w obie strony)
Kolejna rozwiazanie to zrobienie bridge na tych 2 lkalnych adresach ale pewnie to cie nie uzadza
Kolejne orzwiazanie to puszczenie calego ruchu do sms'a i w druga strone i kazanie sie mikom logowac do jakies virtualnej podsieci za pomoca powiedzmy pptp ewentualnie inego protokolu (chyba sbs ma servr czegos aiego)

czester · 2009-06-15 14:41:13

Co do portów używanych przez AD, to pomocny będzie ten link:

http://msmvps.com/blogs/rexiology/archive/2006/04/05/89389.aspx

Pzdr

Time (s)	Query
0.00014	SET CHARSET latin2
0.00009	SET NAMES latin2
0.00105	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.139.164' WHERE u.id=1
0.00068	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.139.164', 1732318747)
0.00046	SELECT * FROM punbb_online WHERE logged<1732318447
0.00045	SELECT topic_id FROM punbb_posts WHERE id=120671
0.00006	SELECT id FROM punbb_posts WHERE topic_id=14223 ORDER BY posted
0.00077	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=14223 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00154	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=14223 ORDER BY p.id LIMIT 0,25
0.00083	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=14223
Total query time: 0.00612 s

Forum Debian Users Gang

Ogłoszenie

#1 2009-05-27 12:31:34

natomiast - Użytkownik

iptables i domena Windows

#2 2009-06-10 15:02:19

tspoko - Użytkownik

Re: iptables i domena Windows

#3 2009-06-10 15:53:57

BiExi - matka przelozona

Re: iptables i domena Windows

#4 2009-06-15 14:41:13

czester - Nowy użytkownik

Re: iptables i domena Windows

Stopka forum

Informacje debugowania