Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-10-01 21:02:12

  cryptofreak - Użytkownik

cryptofreak
Użytkownik
Zarejestrowany: 2015-09-30

wina dostawcy czy konfiguracji

Witam.
mam pewien problem, ale zanim do niego dojdę wyjaśnie wam piktograficznie o co mi chodzi.


mam tak:
                 WAN
                     |
                    V
      ################
      #     ROUTER        #
      #      TPLINK          #
      # TL-WR740Nv.4  #
      ################
         |                    |
       wifi                lan
       ~~~               | | | |
                                  | [i]eth0[/i]
                                 V
                          #########
                          # PC_deb#
                          #########

chcę zrobić tak:

                 WAN
                     | [i]eth0[/i]
                    V
             #########
             # PC_deb#
             #########
                      | [i]eth1[/i]
                     V
       ################
       #     ROUTER        #
       #      TPLINK          #
       # TL-WR740Nv.4  #
       ################
           |                    |
         wifi                lan
         ~~~               | | | |

po co?
chcę żeby [i]PC_deb[/i] był firewallem lub proxy lub tym i tym w zależności od tego co mi strzeli do głowy.

problem pojawia się zaraz na początku...
podpinam WAN > [i]PC_deb[/i]
konfiguruję kartę sieciową.
wyskakuje mi komunikat "ustanowiono połączenie"
jednak:
a) przy ładowaniu stron wyskakuje "Server not found",
b) polecenie ping cokolwiek.pl wypluwa mi po czasie 'unknownhost".

Zażenowany zadzwoniłem do dostawcy mojego magicznego internetu z pytaniem, czy widzą moje urządzenie. Odpowiedzieli że widzą. Spytałem czy MAC się zgadza. Odpowiedzieli że się zgadza.

Nie otwierałbym tego tematu gdybym chociaż miał koncepcję na podejście do problemu. Ale nie mam zielonego pojęcia od czego zacząć.
Ps.
Dzieją się też takie krzaczki że jak przepne się WAN > [i]PC_deb[/i] to potrafi mi przez chwile ładować strony. po czasie jest znów server not found...

Ostatnio edytowany przez cryptofreak (2015-10-01 21:05:17)

Offline

 

#2  2015-10-01 21:09:11

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: wina dostawcy czy konfiguracji

Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.
Radzę się zaprzyjaźnić np z [b]tcpdump[/b]em i [b]wireshark[/b]iem.

Często dostawcy stosują jako zabezpieczenie przed nielegalnym udostępnianiem np TTL 1 albo TTL 2, i potem pakiet tcp skończy żywot na Pc_deb lub tplinku.

Poza tym host not found wskazuje, ze nie masz ustawionych DNSów.
Na Pc_deb musisz włączyć przekazywanie pakietów, DHCP i maskaradę.
https://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2015-10-01 21:41:38

  cryptofreak - Użytkownik

cryptofreak
Użytkownik
Zarejestrowany: 2015-09-30

Re: wina dostawcy czy konfiguracji

Jeżeli na PC_deb masz net, to zobacz, co się dzieje na następnych węzłach sieci.[/quote]
problem w tym że połączenie pojawia się albo na parę minut albo wcale. więc na PC_deb nie mam neta

Poza tym host not found wskazuje, ze nie masz ustawionych DNSów.[/quote]
DNSy skonfigurowałem poprawnie.

będę dłubał w moim firewallu. bo to wygląda tak jakbym rozsyłał jakieś nieporządane wg. mojego dostawcy pakiety i dostawał bloka od niego. albo jakby firewall robił czasowego bloka. jak coś wydlubię to zdam raport

wireshark zawsze mnie przerażał :D
ale w końcu będę musiał się wziąć za niego

Offline

 

#4  2015-10-01 21:54:47

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: wina dostawcy czy konfiguracji

Pokazanie obecnej konfiguracji zapory nie byłoby złym pomysłem.
Teraz to tylko wróżyć można, a z tym różnie bywa.

Offline

 

#5  2015-10-01 22:25:02

  cryptofreak - Użytkownik

cryptofreak
Użytkownik
Zarejestrowany: 2015-09-30

Re: wina dostawcy czy konfiguracji

Problem z odrzucaniem połączenia leżał po stronie walla (oby tylko) Po przypięciu drugiej sieciówki zmieniła mi się nazwa eth0 na rename3. niuanse... i w sumie dziwna sprawa bo wyczyszczenie łańcuchów IPTABLES i ustawienie wszytkiego na ACCEPT było pierwszą rzeczą którą zrobiłem przy wystąpieniu problemów z połączeniem. no ale już...
jeśli przez 24h nie bedzie problemow to uznam sprawę za załatwioną.
Dziękuję Jacekalex po raz kolejny za wypasiony poradnik o maskaradzie.
ok zapodaje 'walla'. może komuś się przyda. może ktoś znajdzie jakiś błąd lub lukę.

Kod:

#!/bin/sh

welcome () {
echo " "
echo "#####FIREWALL#################### by <ry[]Dt0fr3@k #####################"
echo "#########################################LAST UPDATE: 01-10-2015.22:10##"
}

## LSB TAGS #########################################################
  ### BEGIN INIT INFO
# Provides:        FIREWALL
# Required-Start:    $local_fs
# Required-Stop:    $local_fs
# Default-Start:    S
# Default-Stop:        0 6
# X-Start-Before:    $network
# X-Stop-After:        $network
# Short-Description:    Zapora
# Description:        Zapora z proxy dla http
  ### END INIT INFO

PATH=/bin:/sbin:/usr/bin:/usr/sbin

    if ! [ -x /sbin/iptables ]; then
                echo " NO IPTABLES!"
        exit 0
    fi

fw_clear () {
        echo " * Czyszczenie regul"
        ## czyszczenie reguł ################################################
        iptables -F
        iptables -X
        iptables -t nat -F
        iptables -t nat -X
}

fw_stop () {
    echo " * Odrzucanie polaczen"
    ## odrzucanie połączeń INPUT i FORWARD ##############################
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP
}

fw_start () {
    ## sledzenie ########################################################
    modprobe ip_conntrack
    modprobe iptable_nat

    ## zmienne ##########################################################
    _INTRA="1.2.5.36"
    _INTERFACE_1="rename3"

    echo " * Reguly dla INPUT..."
    ##  reguly INPUT  ###################################################
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED

    iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT DROP INVALID " --log-ip-options --log-tcp-options
    iptables -A INPUT -m state --state INVALID -j DROP

    ############ stateful filtering #####################################
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    ############ anti-spoofing ##########################################
    iptables -A INPUT -i $_INTERFACE_1 -j LOG --log-prefix "INPUT SPOOFED PKT "
    iptables -A INPUT -i $_INTERFACE_1 -j DROP

    ############ ACCEPT #################################################
    iptables -A INPUT -i $_INTERFACE_1 -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
    iptables -A INPUT -i $_INTERFACE_1 -p udp --dport 80 -m state --state NEW -j ACCEPT

    iptables -A INPUT -j LOG --log-ip-options
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    ############ LOG I DROP #############################################
    iptables -A INPUT -i !lo -j LOG --log-prefix "INPUT DROP " --log-ip-options --log-tcp-options

    echo " * Reguly dla OUTPUT..."
    ## OUTPUT ###########################################################
    iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "OUTPUT DROP INVALID " --log-ip-options --log-tcp-options
    iptables -A OUTPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    ############ ACCEPT #################################################
    iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m state --state NEW -j ACCEPT
    iptables -A OUTPUT -p udp --dport 80 -m state --state NEW -j ACCEPT
    iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

    ############ LOG I DROP #############################################
    iptables -A OUTPUT -o !lo -j LOG --log-prefix " OUTPUT DROP " --log-ip-options --log-tcp-options

##    echo " * Reguly dla FORWARD..."
##    ## FORWARD ##########################################################
##    iptables -A FORWARD -m state --state INVALID -j LOG --log-prefix "FORWARD DROP INVALID " --log-ip-options --log-tcp-options
##    iptables -A FORWARD -m state --state INVALID -j DROP
##    iptables -A FORWARD -i $_INTERFACE_1 -j LOG --log-prefix "FORWARD SPOOFED PKT "
##    iptables -A FORWARD -i $_INTERFACE_1 -j DROP
##
##    ############ ACCEPT #################################################
##    iptables -A FORWARD -p tcp --dport 443 -m state --state NEW -j ACCEPT
##$$$$$    iptables -A FORWARD -p tcp --dport 25 -m state --state NEW -j ACCEPT
##    iptables -A FORWARD -p tcp --dport 80 -m state --state NEW -j ACCEPT
##    iptables -A FORWARD -p udp --dport 80 -m state --state NEW -j ACCEPT
##    iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
##    iptables -A FORWARD -i !lo -j LOG --log-prefix "FORWARD DROP " --log-ip-options --log-tcp-options


    ############ NAT ####################################################
    iptables -t nat -A POSTROUTING -s $_INTRA -o $_INTERFACE_1 -j MASQUERADE

    echo " * IP forward enable"

    echo 1 > /proc/sys/net/ipv4/ip_forward
}

case "$1" in
    start)
        welcome
    echo " "
        echo "Starting firewall.."
    echo " "
        fw_start
        echo "done."
    echo " "
    echo " "
        ;;
    restart)
    echo " "
        echo "Restarting firewall..."
    echo " "
        welcome
        fw_clear
        fw_stop
        fw_start
        echo "done."
    echo " "
    echo " "
        ;;
    stop)
    echo " "
        echo "Stopping firewall.."
    echo " "
        fw_stop
    echo " "
        echo "Firewall stopped!"
    echo " "
        ;;
    clear)
    echo " "
        echo "Clearing firewall rules.."
    echo " "
        fw_clear
        echo "done."
        echo "#######################################"
        echo "# Watch out! You seems to be exposed! #"
        echo "# use firewall.sh stop to DROP it all #"
        echo "#######################################"
    echo " "
    echo " "
        ;;
    *)
        echo "Usage: $0 {start|stop|restart|clear}"
        exit 1
        ;;
    esac
exit 0

reguły dla FORWARD ustawiłem na DROP a reszta zahashowana bo do tej pory nie potrzebowałem tej opcji.

Ostatnio edytowany przez cryptofreak (2015-10-01 23:00:33)

Offline

 

#6  2015-10-02 15:41:20

  cryptofreak - Użytkownik

cryptofreak
Użytkownik
Zarejestrowany: 2015-09-30

Re: wina dostawcy czy konfiguracji

Ok. sieć na eth0 (wcześniej 'rename3') działa po przekonfigurowaniu firewalla. wszystko pięknie. dziekuję :)

ale.... :(
Co do poradnika podesłanego przez Jacekalex.

Kod:

https://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/

Kod:

aptitude install dhcp3-server

nie ma takiego numeru
lista po wykonaniu [i]aptitude search dhcp[/i]

Kod:

p   autodns-dhcp                                                  - Automatic DNS updates for DHCP                                          
v   dhcp-client                                                   -                                                                         
p   dhcp-helper                                                   - A DHCP relay agent                                                      
p   dhcp-probe                                                    - network DHCP or BootP server discover                                   
p   dhcpcd-dbus                                                   - DBus bindings for dhcpcd                                                
p   dhcpcd-gtk                                                    - GTK+ frontend for dhcpcd and wpa_supplicant                             
p   dhcpcd5                                                       - DHCPv4, IPv6RA and DHCPv6 client with IPv4LL support                    
v   dhcpd                                                         -                                                                         
p   dhcpdump                                                      - Parse DHCP packets from tcpdump                                         
p   dhcping                                                       - DHCP Daemon Ping Program                                                
p   dhcpy6d                                                       - MAC address aware DHCPv6 server written in Python                       
p   fusiondirectory-plugin-dhcp                                   - dhcp plugin for FusionDirectory                                         
p   fusiondirectory-plugin-dhcp-schema                            - LDAP schema for FusionDirectory dhcp plugin                             
p   gosa-plugin-dhcp                                              - dhcp plugin for GOsa²                                                   
p   gosa-plugin-dhcp-schema                                       - LDAP schema for GOsa² dhcp plugin                                       
i   isc-dhcp-client                                               - Klient DHCP do automatycznego uzyskiwania adresów IP                    
p   isc-dhcp-client-dbg                                           - ISC DHCP server for automatic IP address assignment (client debug)      
i   isc-dhcp-common                                               - Wspólne pliki używane przez wszystkie pakiety isc-dhcp                  
p   isc-dhcp-dbg                                                  - ISC DHCP server for automatic IP address assignment (debuging symbols)  
p   isc-dhcp-dev                                                  - API for accessing and modifying the DHCP server and client state        
p   isc-dhcp-relay                                                - ISC DHCP relay daemon                                                   
p   isc-dhcp-relay-dbg                                            - ISC DHCP server for automatic IP address assignment (relay debug)       
pi  isc-dhcp-server                                               - Serwer DHCP z ISC, pozwalający na automatyczne przypisywanie adresów IP 
p   isc-dhcp-server-dbg                                           - ISC DHCP server for automatic IP address assignment (server debug)      
p   isc-dhcp-server-ldap                                          - Serwer DHCP używający protokołu LDAP jako swojego backendu              
p   libnet-dhcp-perl                                              - Perl interface for handling DHCP packets                                
p   libnet-dhcpv6-duid-parser-perl                                - OO interface to parse DHCPv6 Unique Identifiers                         
p   libtext-dhcpleases-perl                                       - Perl module to parse DHCP leases file from ISC dhcpd                    
p   neutron-dhcp-agent                                            - OpenStack virtual network service - DHCP agent                          
p   python-pydhcplib                                              - Python DHCP client/server library                                       
v   python2.6-pydhcplib                                           -                                                                         
v   python2.7-pydhcplib                                           -                                                                         
p   quantum-dhcp-agent                                            - transitional dummy package for upgrading quantum-dhcp-agent             
p   udhcpc                                                        - Provides the busybox DHCP client implementation                         
p   udhcpd                                                        - Provides the busybox DHCP server implementation                         
p   wide-dhcpv6-client                                            - DHCPv6 client for automatic IPv6 hosts configuration                    
p   wide-dhcpv6-relay                                             - DHCPv6 relay for automatic IPv6 hosts configuration                     
p   wide-dhcpv6-server                                            - DHCPv6 server for automatic IPv6 hosts configuration

no to skozystałem ze starszej wersji. [i]isc-dhcp-server[/i]
skonfigurowałem jak należy, kożystając ze ścieżek [i]/etc/dhcp/dhcpd.conf[/i] i [i]/etc/default/isc-dhcp-server[/i]. wprowadziłem ustawienia dla mojej przyszłej sieci.
tyle że przy restarcie usługi [i]isc-dhcp-server.service[/i] dostaje [i]Active:failed[/i] a [i]systemctl status[/i] mówi mi [i]'ddns-update-style ad_hoc no longer supported'[/i].
kto ma jakiś patent?
~


$_EDIT

Zestawiłem połączenia (eth1) i (TPLINK) z palca
(eth1):10.30.130.1/24 <---> (TPLINK):10.30.130.2/24 gateway:10.30.130.1
wszystko hula według założenia!
jednak. co byście zrobili gdyby nie było innego wyjścia i trzeba byłoby oprzeć się o server dhcp?

Ostatnio edytowany przez cryptofreak (2015-10-02 18:44:16)

Offline

 

#7  2015-10-08 23:53:17

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: wina dostawcy czy konfiguracji

Bo ten poradnik powstał pierwotnie chyba eony temu i powinien byc przepisany bo obecnie posiada błędy i to w sumie kardynalne.
ISC nie jest starsze, tylko jest to troche co innego. I pytanie czy skonfigurowałeś ISC wg. poradnika dla innego serwera DHCP? Jeśli tak to jest błąd co też świadczy komunikat podany że używasz czegoś co jest niewspierane już w konfiguracji. Bo po jaką cholerę tam jest aktualizacja ddns'a to ja nie wiem (tzn. wiem byl wzorowany na innym "poradnikowym").

Odnosnie ddns'a i dlaczego ad-hoc zostal wywalony

Kod:

https://deepthought.isc.org/article/AA-01091/0/ISC-DHCP-support-for-Standard-DDNS.html

W twoim przypadku ddns jest zbedny i mozesz pominac lub dac none.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.010 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00023 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00189 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.37.219' WHERE u.id=1
0.00103 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.37.219', 1733011723)
0.00020 SELECT * FROM punbb_online WHERE logged<1733011423
0.00074 SELECT topic_id FROM punbb_posts WHERE id=291258
0.00106 SELECT id FROM punbb_posts WHERE topic_id=27770 ORDER BY posted
0.00079 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27770 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00092 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27770 ORDER BY p.id LIMIT 0,25
0.00084 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27770
Total query time: 0.00779 s