Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
mam pewien problem, ale zanim do niego dojdę wyjaśnie wam piktograficznie o co mi chodzi.
mam tak:
WAN
|
V
################
# ROUTER #
# TPLINK #
# TL-WR740Nv.4 #
################
| |
wifi lan
~~~ | | | |
| [i]eth0[/i]
V
#########
# PC_deb#
#########
chcę zrobić tak:
WAN
| [i]eth0[/i]
V
#########
# PC_deb#
#########
| [i]eth1[/i]
V
################
# ROUTER #
# TPLINK #
# TL-WR740Nv.4 #
################
| |
wifi lan
~~~ | | | |
po co?
chcę żeby [i]PC_deb[/i] był firewallem lub proxy lub tym i tym w zależności od tego co mi strzeli do głowy.
problem pojawia się zaraz na początku...
podpinam WAN > [i]PC_deb[/i]
konfiguruję kartę sieciową.
wyskakuje mi komunikat "ustanowiono połączenie"
jednak:
a) przy ładowaniu stron wyskakuje "Server not found",
b) polecenie ping cokolwiek.pl wypluwa mi po czasie 'unknownhost".
Zażenowany zadzwoniłem do dostawcy mojego magicznego internetu z pytaniem, czy widzą moje urządzenie. Odpowiedzieli że widzą. Spytałem czy MAC się zgadza. Odpowiedzieli że się zgadza.
Nie otwierałbym tego tematu gdybym chociaż miał koncepcję na podejście do problemu. Ale nie mam zielonego pojęcia od czego zacząć.
Ps.
Dzieją się też takie krzaczki że jak przepne się WAN > [i]PC_deb[/i] to potrafi mi przez chwile ładować strony. po czasie jest znów server not found...
Ostatnio edytowany przez cryptofreak (2015-10-01 21:05:17)
Offline
Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.
Radzę się zaprzyjaźnić np z [b]tcpdump[/b]em i [b]wireshark[/b]iem.
Często dostawcy stosują jako zabezpieczenie przed nielegalnym udostępnianiem np TTL 1 albo TTL 2, i potem pakiet tcp skończy żywot na Pc_deb lub tplinku.
Poza tym host not found wskazuje, ze nie masz ustawionych DNSów.
Na Pc_deb musisz włączyć przekazywanie pakietów, DHCP i maskaradę.
https://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/
Offline
Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.[/quote]
problem w tym że połączenie pojawia się albo na parę minut albo wcale. więc na PC_deb nie mam netaPoza tym host not found wskazuje, ze nie masz ustawionych DNSów.[/quote]
DNSy skonfigurowałem poprawnie.
będę dłubał w moim firewallu. bo to wygląda tak jakbym rozsyłał jakieś nieporządane wg. mojego dostawcy pakiety i dostawał bloka od niego. albo jakby firewall robił czasowego bloka. jak coś wydlubię to zdam raport
wireshark zawsze mnie przerażał :D
ale w końcu będę musiał się wziąć za niegoOffline
Pokazanie obecnej konfiguracji zapory nie byłoby złym pomysłem.
Teraz to tylko wróżyć można, a z tym różnie bywa.
Offline
Problem z odrzucaniem połączenia leżał po stronie walla (oby tylko) Po przypięciu drugiej sieciówki zmieniła mi się nazwa eth0 na rename3. niuanse... i w sumie dziwna sprawa bo wyczyszczenie łańcuchów IPTABLES i ustawienie wszytkiego na ACCEPT było pierwszą rzeczą którą zrobiłem przy wystąpieniu problemów z połączeniem. no ale już...
jeśli przez 24h nie bedzie problemow to uznam sprawę za załatwioną.
Dziękuję Jacekalex po raz kolejny za wypasiony poradnik o maskaradzie.
ok zapodaje 'walla'. może komuś się przyda. może ktoś znajdzie jakiś błąd lub lukę.
#!/bin/sh welcome () { echo " " echo "#####FIREWALL#################### by <ry[]Dt0fr3@k #####################" echo "#########################################LAST UPDATE: 01-10-2015.22:10##" } ## LSB TAGS ######################################################### ### BEGIN INIT INFO # Provides: FIREWALL # Required-Start: $local_fs # Required-Stop: $local_fs # Default-Start: S # Default-Stop: 0 6 # X-Start-Before: $network # X-Stop-After: $network # Short-Description: Zapora # Description: Zapora z proxy dla http ### END INIT INFO PATH=/bin:/sbin:/usr/bin:/usr/sbin if ! [ -x /sbin/iptables ]; then echo " NO IPTABLES!" exit 0 fi fw_clear () { echo " * Czyszczenie regul" ## czyszczenie reguł ################################################ iptables -F iptables -X iptables -t nat -F iptables -t nat -X } fw_stop () { echo " * Odrzucanie polaczen" ## odrzucanie połączeń INPUT i FORWARD ############################## iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP } fw_start () { ## sledzenie ######################################################## modprobe ip_conntrack modprobe iptable_nat ## zmienne ########################################################## _INTRA="1.2.5.36" _INTERFACE_1="rename3" echo " * Reguly dla INPUT..." ## reguly INPUT ################################################### iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT DROP INVALID " --log-ip-options --log-tcp-options iptables -A INPUT -m state --state INVALID -j DROP ############ stateful filtering ##################################### iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ############ anti-spoofing ########################################## iptables -A INPUT -i $_INTERFACE_1 -j LOG --log-prefix "INPUT SPOOFED PKT " iptables -A INPUT -i $_INTERFACE_1 -j DROP ############ ACCEPT ################################################# iptables -A INPUT -i $_INTERFACE_1 -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT iptables -A INPUT -i $_INTERFACE_1 -p udp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG --log-ip-options iptables -A INPUT -p icmp --icmp-type echo-request -j DROP ############ LOG I DROP ############################################# iptables -A INPUT -i !lo -j LOG --log-prefix "INPUT DROP " --log-ip-options --log-tcp-options echo " * Reguly dla OUTPUT..." ## OUTPUT ########################################################### iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "OUTPUT DROP INVALID " --log-ip-options --log-tcp-options iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT ############ ACCEPT ################################################# iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p udp --dport 80 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT ############ LOG I DROP ############################################# iptables -A OUTPUT -o !lo -j LOG --log-prefix " OUTPUT DROP " --log-ip-options --log-tcp-options ## echo " * Reguly dla FORWARD..." ## ## FORWARD ########################################################## ## iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "FORWARD DROP INVALID " --log-ip-options --log-tcp-options ## iptables -A FORWARD -m state --state INVALID -j DROP ## iptables -A FORWARD -i $_INTERFACE_1 -j LOG --log-prefix "FORWARD SPOOFED PKT " ## iptables -A FORWARD -i $_INTERFACE_1 -j DROP ## ## ############ ACCEPT ################################################# ## iptables -A FORWARD -p tcp --dport 443 -m state --state NEW -j ACCEPT ##$$$$$ iptables -A FORWARD -p tcp --dport 25 -m state --state NEW -j ACCEPT ## iptables -A FORWARD -p tcp --dport 80 -m state --state NEW -j ACCEPT ## iptables -A FORWARD -p udp --dport 80 -m state --state NEW -j ACCEPT ## iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT ## iptables -A FORWARD -i !lo -j LOG --log-prefix "FORWARD DROP " --log-ip-options --log-tcp-options ############ NAT #################################################### iptables -t nat -A POSTROUTING -s $_INTRA -o $_INTERFACE_1 -j MASQUERADE echo " * IP forward enable" echo 1 > /proc/sys/net/ipv4/ip_forward } case "$1" in start) welcome echo " " echo "Starting firewall.." echo " " fw_start echo "done." echo " " echo " " ;; restart) echo " " echo "Restarting firewall..." echo " " welcome fw_clear fw_stop fw_start echo "done." echo " " echo " " ;; stop) echo " " echo "Stopping firewall.." echo " " fw_stop echo " " echo "Firewall stopped!" echo " " ;; clear) echo " " echo "Clearing firewall rules.." echo " " fw_clear echo "done." echo "#######################################" echo "# Watch out! You seems to be exposed! #" echo "# use firewall.sh stop to DROP it all #" echo "#######################################" echo " " echo " " ;; *) echo "Usage: $0 {start|stop|restart|clear}" exit 1 ;; esac exit 0
reguły dla FORWARD ustawiłem na DROP a reszta zahashowana bo do tej pory nie potrzebowałem tej opcji.
Ostatnio edytowany przez cryptofreak (2015-10-01 23:00:33)
Offline
Ok. sieć na eth0 (wcześniej 'rename3') działa po przekonfigurowaniu firewalla. wszystko pięknie. dziekuję :)
ale.... :(
Co do poradnika podesłanego przez Jacekalex.
https://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/
aptitude install dhcp3-server
nie ma takiego numeru
lista po wykonaniu [i]aptitude search dhcp[/i]
p autodns-dhcp - Automatic DNS updates for DHCP v dhcp-client - p dhcp-helper - A DHCP relay agent p dhcp-probe - network DHCP or BootP server discover p dhcpcd-dbus - DBus bindings for dhcpcd p dhcpcd-gtk - GTK+ frontend for dhcpcd and wpa_supplicant p dhcpcd5 - DHCPv4, IPv6RA and DHCPv6 client with IPv4LL support v dhcpd - p dhcpdump - Parse DHCP packets from tcpdump p dhcping - DHCP Daemon Ping Program p dhcpy6d - MAC address aware DHCPv6 server written in Python p fusiondirectory-plugin-dhcp - dhcp plugin for FusionDirectory p fusiondirectory-plugin-dhcp-schema - LDAP schema for FusionDirectory dhcp plugin p gosa-plugin-dhcp - dhcp plugin for GOsa² p gosa-plugin-dhcp-schema - LDAP schema for GOsa² dhcp plugin i isc-dhcp-client - Klient DHCP do automatycznego uzyskiwania adresów IP p isc-dhcp-client-dbg - ISC DHCP server for automatic IP address assignment (client debug) i isc-dhcp-common - Wspólne pliki używane przez wszystkie pakiety isc-dhcp p isc-dhcp-dbg - ISC DHCP server for automatic IP address assignment (debuging symbols) p isc-dhcp-dev - API for accessing and modifying the DHCP server and client state p isc-dhcp-relay - ISC DHCP relay daemon p isc-dhcp-relay-dbg - ISC DHCP server for automatic IP address assignment (relay debug) pi isc-dhcp-server - Serwer DHCP z ISC, pozwalający na automatyczne przypisywanie adresów IP p isc-dhcp-server-dbg - ISC DHCP server for automatic IP address assignment (server debug) p isc-dhcp-server-ldap - Serwer DHCP używający protokołu LDAP jako swojego backendu p libnet-dhcp-perl - Perl interface for handling DHCP packets p libnet-dhcpv6-duid-parser-perl - OO interface to parse DHCPv6 Unique Identifiers p libtext-dhcpleases-perl - Perl module to parse DHCP leases file from ISC dhcpd p neutron-dhcp-agent - OpenStack virtual network service - DHCP agent p python-pydhcplib - Python DHCP client/server library v python2.6-pydhcplib - v python2.7-pydhcplib - p quantum-dhcp-agent - transitional dummy package for upgrading quantum-dhcp-agent p udhcpc - Provides the busybox DHCP client implementation p udhcpd - Provides the busybox DHCP server implementation p wide-dhcpv6-client - DHCPv6 client for automatic IPv6 hosts configuration p wide-dhcpv6-relay - DHCPv6 relay for automatic IPv6 hosts configuration p wide-dhcpv6-server - DHCPv6 server for automatic IPv6 hosts configuration
no to skozystałem ze starszej wersji. [i]isc-dhcp-server[/i]
skonfigurowałem jak należy, kożystając ze ścieżek [i]/etc/dhcp/dhcpd.conf[/i] i [i]/etc/default/isc-dhcp-server[/i]. wprowadziłem ustawienia dla mojej przyszłej sieci.
tyle że przy restarcie usługi [i]isc-dhcp-server.service[/i] dostaje [i]Active:failed[/i] a [i]systemctl status[/i] mówi mi [i]'ddns-update-style ad_hoc no longer supported'[/i].
kto ma jakiś patent?
~
$_EDIT
Zestawiłem połączenia (eth1) i (TPLINK) z palca
(eth1):10.30.130.1/24 <---> (TPLINK):10.30.130.2/24 gateway:10.30.130.1
wszystko hula według założenia!
jednak. co byście zrobili gdyby nie było innego wyjścia i trzeba byłoby oprzeć się o server dhcp?
Ostatnio edytowany przez cryptofreak (2015-10-02 18:44:16)
Offline
Bo ten poradnik powstał pierwotnie chyba eony temu i powinien byc przepisany bo obecnie posiada błędy i to w sumie kardynalne.
ISC nie jest starsze, tylko jest to troche co innego. I pytanie czy skonfigurowałeś ISC wg. poradnika dla innego serwera DHCP? Jeśli tak to jest błąd co też świadczy komunikat podany że używasz czegoś co jest niewspierane już w konfiguracji. Bo po jaką cholerę tam jest aktualizacja ddns'a to ja nie wiem (tzn. wiem byl wzorowany na innym "poradnikowym").
Odnosnie ddns'a i dlaczego ad-hoc zostal wywalony
https://deepthought.isc.org/article/AA-01091/0/ISC-DHCP-support-for-Standard-DDNS.html
W twoim przypadku ddns jest zbedny i mozesz pominac lub dac none.
Offline
Time (s) | Query |
---|---|
0.00023 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00189 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.37.219' WHERE u.id=1 |
0.00103 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.37.219', 1733011723) |
0.00020 | SELECT * FROM punbb_online WHERE logged<1733011423 |
0.00074 | SELECT topic_id FROM punbb_posts WHERE id=291258 |
0.00106 | SELECT id FROM punbb_posts WHERE topic_id=27770 ORDER BY posted |
0.00079 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27770 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00092 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27770 ORDER BY p.id LIMIT 0,25 |
0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27770 |
Total query time: 0.00779 s |