Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam wszystkich.
Pytanie początkującego, proszę o wyrozumiałość. Tak więc może od początku, Debian z odpalonym LMS, który robi tylko za bazę klientów oraz fakturowanie spięty z siecią poprzez eth0 (WAN)
Za bramę i nat robi Mikrotik
80.55.xx.xx-------- MT------------ 192.168.88.1 ----------------- LMS 192.168.88.20
W mikrotiku regułka
<chain dstnat dest.address 80.x.x.x acion destnat 192.168.88.20>
chain src.nat src .address 192.168.88.20 action src-nat 80.x.x.x
Proszę o pomoc w przekierowaniu LMS oraz userpanel na zewnętrzne ip.
Pozdrawiam Arek
Offline
Nie bawiłem się mikrotikami na tyle by z pamięci Ci pomóc ani nie mam żadnego pod reką ale próbowałeś zwyczajnego przekierowania portu wg. wiki mirkotika?
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Skoro chcesz mieć dostęp do userpanelu z zewnątrz to potrzebujesz przekierować port 80 lub 443 w wypadku połączeń szyfrowanych. Czy potrzebujesz jeszcze czegoś?
PS. Choć osobiście preferuję mikrotikowego shella to jednak warto czasami użyć Winboxa który pozwala wszystko wyklikać i daje lepsze spojrzenie na całość.
http://download2.mikrotik.com/routeros/winbox/3.0/winbox.exe
PS2. Jak coś to pod WINE nie robił nigdy problemów ;)
Offline
Dziękuję za odpowiedz. Jeśli chodzi o MT to przekierowanie, takie które umieściłem w pytaniu działa na inne komputery w sieci.Problem jest z przekierowaniem Debiana dokładnie LMS.
Offline
A czy byłaby możliwość byś pokazał nam pełną listę reguł zapory jaką masz na mikrotiku? (oczywiście z zasłoniętymi zewnętrznymi adresami IP ;))
Istotna jest kolejność reguł.
Dodatkowo prosiłbym Cię o doprecyzowanie co konkretnie rozumiesz przez przekierowanie Debiana. Maszyna z Debianem na której stoi LMS nie ma wyjścia na świat (tj. nie działa łączność z tej konkretnej maszyny z siecią poza LAN) czy ze świata nie ma dostępu do LMSa na tym debianie (czyli próba wejścia w przeglądarce na http://80.55.xx.xx kończy się fiaskiem).
Ostatnio edytowany przez enether (2015-11-04 21:52:12)
Offline
[admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 1 chain=dstnat action=dst-nat to-addresses=172.16.0.60 dst-address=80.x.x.253 log=no log-prefix="" 2 chain=srcnat action=src-nat to-addresses=80.x.x.253 src-address=172.16.0.60 log=no log-prefix="" 3 ;;; xxxxx priv chain=dstnat action=dst-nat to-addresses=172.16.0.54 dst-address=80.x.x.x log=no log-prefix="" 4 chain=srcnat action=src-nat to-addresses=80.x.x.x src-address=172.16.0.54 log=no log-prefix="" 5 ;;; 80.x.x.x xxxxxx. chain=dstnat action=dst-nat to-addresses=172.16.0.58 dst-address=80.x.x.x log=no log-prefix="" 6 chain=srcnat action=src-nat to-addresses=80.x.x.x src-address=172.16.0.58 log=no log-prefix="" 7 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
Ze świata nie ma dostępu. Tz .Debian (lms) Połączany jest poprzez wan i w sieci lokalnej (pod 172.16.0.60) mam pełen dostęp, logowanie do lms , cacti. Ze świata (80.x.x253) żadnej odpowiedzi.
Ostatnio edytowany przez storm33 (2015-11-04 22:03:01)
Offline
Czyli jeżeli dobrze zrozumiałem posiadasz dwie sieci lokalne zapięte na tym mikrotiku:
192.168.88.x w której znajduje się LMS
172.16.0.x w której masz jakieś komputery
i z 172.16.0.x do 192.168.88.0.x ruch przechodzi bez problemu ale już z zewnątrz 80.x.x.x do 192.168.88.20 nie?
swoją drogą nie widzę w podrzuconych przez ciebie regułkach niczego co miałoby jakiś związek z 192.168.88.20
Próbowałeś dorzucić regułkę z wiki możliwie gdzieś na początku?
/ip firewall nat add chain=dstnat dst-address=80.x.x.x protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.88.20 to-ports=80
No i pytanie jeszcze czy nie masz czegoś obciętego na głównym łańcuchu firewalla
/ip firewall filter print
Ostatnio edytowany przez enether (2015-11-04 22:17:04)
Offline
teraz próbowałem pod adresacją 172..... lecz niczego nie zmienia . Z linuksem miałem jedyny kontakt na Ubuntu i to jako desktop klikany ;) Być może problem tkwi w firewall -u Debiana i blokuje?
Offline
OK, sprawdźmy i to, choć standardowo Debian nie ma włączonych żadnych reguł zapory.
Pokaż zatem wyniki poleceń:
iptables -S
oraz
netstat -luntp
Offline
root@lms:~# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N SPAM -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -p icmp -f -j DROP -A INPUT -p icmp -m pkttype --pkt-type broadcast -j DROP -A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 28:4096 -j ACCEPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 192.168.100.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 10.0.0.0/24 -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT -A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT -A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 202 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 67 -m state --state NEW -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 67 -m state --state NEW -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 68 -m state --state NEW -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 68 -m state --state NEW -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT -A INPUT -j DROP -A FORWARD -m state --state INVALID -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT -A FORWARD -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -p tcp -m tcp --dport 135:139 -j DROP -A FORWARD -p tcp -m tcp --dport 135:139 -j DROP -A FORWARD -p udp -m udp --sport 135:139 -j DROP -A FORWARD -p udp -m udp --sport 135:139 -j DROP -A FORWARD -p tcp -m tcp --dport 445 -j DROP -A FORWARD -p tcp -m tcp --dport 445 -j DROP -A FORWARD -p udp -m udp --sport 445 -j DROP -A FORWARD -p udp -m udp --sport 445 -j DROP -A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 1024:65535 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset -A FORWARD -s 192.168.102.0/24 -p tcp -m tcp --dport 1024:65535 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j REJECT --reject-with tcp-reset -A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -j SPAM -A FORWARD -s 192.168.102.0/24 -p tcp -m tcp --dport 25 -m state --state NEW -j SPAM -A FORWARD -d 192.168.100.0/24 -j ACCEPT -A FORWARD -d 192.168.102.0/24 -j ACCEPT -A FORWARD -s 192.168.101.0/24 -j ACCEPT -A FORWARD -d 192.168.101.0/24 -j ACCEPT -A FORWARD -s 172.16.0.55/32 -m mac --mac-source DC:9F:D4:50:BF:7F -j ACCEPT -A FORWARD -s 172.16.0.55/32 -i ppp+ -j ACCEPT -A FORWARD -s 172.16.0.56/32 -m mac --mac-source DC:9F:DB:98:2D:3C -j ACCEPT -A FORWARD -s 172.16.0.56/32 -i ppp+ -j ACCEPT -A FORWARD -s 172.16.0.59/32 -m mac --mac-source 00:0D:56:F5:09:E2 -j ACCEPT -A FORWARD -s 172.16.0.59/32 -i ppp+ -j ACCEPT -A FORWARD -s 172.16.0.71/32 -m mac --mac-source DC:9F:DB:99:2B:71 -j ACCEPT -A FORWARD -s 172.16.0.71/32 -i ppp+ -j ACCEPT -A FORWARD -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT -A OUTPUT -j DROP -A SPAM -m recent --update --seconds 3 --name smtp --rsource -j DROP -A SPAM -m recent --set --name smtp --rsource -j ACCEPT
root@lms:~# netstat -luntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 2811/mysqld tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2392/portmap tcp 0 0 172.16.0.60:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 10.0.0.254:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 192.168.102.254:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 192.168.101.254:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 192.168.100.254:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3421/named tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3528/sshd tcp 0 0 0.0.0.0:56823 0.0.0.0:* LISTEN 2404/rpc.statd tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 3421/named tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2950/master tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 2968/pptpd tcp6 0 0 :::200 :::* LISTEN 2598/apache2 tcp6 0 0 :::201 :::* LISTEN 2598/apache2 tcp6 0 0 :::202 :::* LISTEN 2598/apache2 tcp6 0 0 :::80 :::* LISTEN 2598/apache2 tcp6 0 0 :::53 :::* LISTEN 3421/named tcp6 0 0 :::22 :::* LISTEN 3528/sshd tcp6 0 0 ::1:953 :::* LISTEN 3421/named udp 0 0 172.16.0.60:53 0.0.0.0:* 3421/named udp 0 0 10.0.0.254:53 0.0.0.0:* 3421/named udp 0 0 192.168.102.254:53 0.0.0.0:* 3421/named udp 0 0 192.168.101.254:53 0.0.0.0:* 3421/named udp 0 0 192.168.100.254:53 0.0.0.0:* 3421/named udp 0 0 127.0.0.1:53 0.0.0.0:* 3421/named udp 0 0 0.0.0.0:50231 0.0.0.0:* 2404/rpc.statd udp 0 0 0.0.0.0:68 0.0.0.0:* 3493/dhclient udp 0 0 0.0.0.0:111 0.0.0.0:* 2392/portmap udp 0 0 0.0.0.0:884 0.0.0.0:* 2404/rpc.statd udp6 0 0 :::53 :::* 3421/named
@enether Dziękuję za szybkie odpowiedzi .
Offline
Czyli to jednak ma firewall i to całkiem rozbudowany ;D
netstat pokazuje że serwer WWW Apache nasłuchuje na wszystkich interfejsach na portach 80 (standard) oraz 200, 201 i 202 (niestandardowe)
Dalej, patrząc na wyniki z iptables
-A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT -A INPUT -s 192.168.100.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 200 -j ACCEPT -A INPUT -s 192.168.102.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 201 -j ACCEPT -A INPUT -s 10.0.0.0/24 -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 202 -j ACCEPT
[s]widać że nigdzie nie ma regułki zezwalającej komukolwiek na połączenie z portem 80, a jedynie wybranym podsieciom /24 z portami od 200 do 202
Teraz rodzi się pytanie... czy vhost Apache na którym działa LMS nasłuchuje na wszystkich tych portach czy tylko na jednym konkretnym? A może jest tam kilka instancji LMS, każda na innym porcie?
Przy aktualnych regułach zaporty niespecjalnie widzę by można bez ich modyfikacji było się tam dostać ze świata.[/s]
PS. Nie ma za co, jest środa wieczór, i tak nie mam nic lepszego do roboty :P
[EDIT]
Przeoczyłem regułkę
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
wychodzi więc na to, że na port 80 powinien się jednak móc dobić każdy pod warunkiem że port forwarding działa.
No i pod warunkiem że vhost z LMS jest na tym porcie wystawiony.
Ostatnio edytowany przez enether (2015-11-04 22:40:04)
Offline
Jest na 80 i to nie daje mi spokoju od dwóch dni. Kiedy się w lokalnej zgłasza ( wpisując 172.16.0.60 mam wszystko jak na tacy)
Offline
W tym wypadku podejrzewałbym jednak mikrotika.
Wychodzi na to że nie potrafię Ci pomóc, przepraszam.
Jest tu paru speców od sieci więc jeżeli poczekasz powinien się znaleźć ktoś kto będzie w stanie Ci pomóc.
Offline
Dziękuję. Teraz mam motywację by poznać linuksa od podszewki .
Offline
Jeżeli chcesz poznać GNU/Linux od podszewki to polecam pobawić się nieco Debianem
https://www.nixsrv.com/llthw
Bardzo sympatyczne wprowadzenie w podstawy systemu, poradnik oparty na wydaniu 6 Debiana (aktualne stabilne to 8) ale w kwestii podstawowych podstaw nic specjalnego się chyba nie zmieniło. (poza initem).
Dodatkowo polecam też tę książkę
https://debian-handbook.info/
Dostępna za darmo online np. tutaj
https://debian-handbook.info/browse/stable/
albo do pobrania ze strony głównej (przy okazji można rzucić jakiegoś dolca autorom jeżeli uzna się że pozycja jest tego warta)
Offline
Ponawiam
Offline
Jak na "tylko LMS" to ten serwer pracuje w pizdylionie sieci. Z tego co podaje dokumentacja NAT 1:1 (a taki chyba chcesz zastosować - choc nie wiem po co) określa się wraz z interfejsem, np.:
add chain=srcnat out-interface=WAN src-address=<adres wew.> action=src-nat to-address=<adres zew.> add chain=dstnat in-interface=WAN dst-address=<adres zew.> action=dst-nat to-address=<adres wew.>
Offline
Dalej nic. W jakim celu , by udostępnić userpanel na zew. hostingu
Offline
Widzisz różnice pomiędzy 1:1 a przekierowaniem portu? Po pierwsze trzeba włączyć logowanie tych reguł. Po drugie mam nadzieję że sprawdzasz to z zewnątrz, a nie z wewnątrz sieci podając zewnętrzne IP. Po trzecie wiesz o tym że serwer WWW masz w IPv6?
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00095 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.137.190.6' WHERE u.id=1 |
0.00095 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.137.190.6', 1732247458) |
0.00054 | SELECT * FROM punbb_online WHERE logged<1732247158 |
0.00076 | SELECT topic_id FROM punbb_posts WHERE id=292607 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=27865 ORDER BY posted |
0.00050 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27865 AND t.moved_to IS NULL |
0.00004 | SELECT search_for, replace_with FROM punbb_censoring |
0.00203 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27865 ORDER BY p.id LIMIT 0,25 |
0.00090 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27865 |
Total query time: 0.00689 s |