Strona 2 z 2
: 24 lipca 2010, 13:41
autor: grzesiek
PioDer pisze: Kiedy próbuję dostać się na 192.168.0.2 ruch idzie dość nietypowo - przez eth0 do eth1. Wygląda to tak, jakby serwer ,,robił'' za przełącznik. Jak zablokować pod Debianem tak ruch, abym mógł bezpośrednio się łączyć ze 192.168.0.2, bez użycia eth0?
Pozdrawiam
Dostać na 192.168.02 skąd? Dla eth2 jaka jest bramka - 192.168.0.1? Z tego co wiem, do dwóch kart z tej samej sieci nie powinno się robić:
http://support.microsoft.com/kb/175767/pl - można ale trzeba ręcznie zdbac o routing, słowem nie warto.
Tak się jeszcze zastanawiam co to znaczy:
Kod: Zaznacz cały
iptables -t nat -A POSTROUTING -s 192.168.0.3 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.4 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEP
Mógłbyś pokazać jak jest konfiguracja sieci - ifconfig i traceroute dla większości przypadków.
A na koniec zadam jedn skromne pytanie
Kod: Zaznacz cały
#zamkniecie luki w iptables
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
#zamkniecie luki w iptables
iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 0/0 --dport 631 -j DROP
co to za luka?
: 28 lipca 2010, 22:44
autor: PioDer
Witam,
W takim razie odłączyłem drugą sieciówkę, zastąpiłem ją aliasem dla eth0. Problemem było to, że przez użycie niceshapera mimo ustawienia mu regułek na pełne pasmo dla ruchu lokalnego to i tak transfer pomiędzy 192.168.0.1 był ograniczany do 1Mb/s. Rozwiązałem to tworząc wirtualny interfejs z adresem 192.168.0.2 i konfigurując sambę na ten wirtualny interfejs.
Jeżeli chodzi o wpisy z mac'ami w firewallu - udostępniam sieć po adresach MAC i IP
Co do tych luk - zamknięcie luk (miało być "za pomocą") iptables - chodzi o blokadę CUPS'a od zewnątrz oraz o niedopuszczenie do ICMP Attack
Pozdrawiam
: 10 sierpnia 2010, 09:37
autor: devu
Dzień dobry.
Tak jak
grzesiek wspomniał nie powinno się tak robić.
Dobrze kombinowałeś jednak zabrakło informacji czym jest tak naprawdę maska podsieci.
Używając adresu klasy C (192.168.0.0) w routingu bezklasowym:
[INDENT]192.168.0.1/24
192.168.0.2/24[/INDENT]
pokazujesz, że oba adresy, chodź na różnych interfejsach ethernetowych, leżą w tej samej sieci - o czym informuje prefix /24 - czyli 255.255.255.255.0
[INDENT]część przeznaczona na sieć to: 192.168.0
część przeznaczona na hosty to: .0 - ostatni oktet[/INDENT]
Jeśli spróbowałbyś takich ustawień na urządzeniu Cisco
zobaczyłbyś następujący komunikat:
Kod: Zaznacz cały
% 192.168.0.0 overlaps with FastEthernet0/0
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip address 192.168.0.2 255.255.255.0
[B]% 192.168.0.0 overlaps with FastEthernet0/0[/B]
Polecam:
http://www.cisco.com/en/US/tech/tk365/t ... 67f5.shtml