Server DHCP i podzia

Masz problemy z siecią bądź internetem? Zapytaj tu
ODPOWIEDZ
mik
Posty: 34
Rejestracja: 07 marca 2008, 10:54
Lokalizacja: Skierniewice

Server DHCP i podział łącza - Debian jako router

Post autor: mik »

W dniu dzisiejszym uruchomilem serwer DHCP z mysla, ze DEBIAN bedzie robil jako router. Na razie dla celow testowych wiec jest podlaczony do routera sprzetowego. Moja siec wyglada tak

internet ---- router linksys ---- debian ----- siec lokalna

Fajnie otrzymuje adres od DEBIANA widze wszystkie zasoby udostepnione po sambie i sshowac sie moge. Lokalnie jest wszystko ok. Niestety dostepu do netu nie mam.

Pozwole sobie zamiescic zawartosc trzech plikow moze ktos mi pomoze.

/etc/dhcp3/dhcp.conf

Kod: Zaznacz cały

ddns-update-style none;
option domain-name "32wrz.com";
option domain-name-servers ns1.32rz.com, ns2.32wrz.com;
default-lease-time 86400;
max-lease-time 604800;
log-facility local7;
subnet 192.168.0.0 netmask 255.255.255.0 {
        ddns-domainname "22wrz.com";
        option subnet-mask 255.255.255.0;
        option routers 192.168.0.1;
        option broadcast-address 192.168.0.255;
        option domain-name-servers 194.168.0.1;
        option domain-name "22wrz.com";
        range 192.168.0.6 192.168.0.10;
}
host toshiba {
        hardware ethernet 00:a0:d1:66:d9:6c;
        update-static-leases on;
        fixed-address 192.168.0.5;
        option host-name "toshiba";
}
/etc/network/interfaces

Kod: Zaznacz cały

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
##broadcast 192.168.0.255
##dns-search 32wrz.com
##dns-domain 32wrz.com
/etc/init.d/firewall

Kod: Zaznacz cały

#!/bin/sh
test -x $FIREWALL || exit 0

. /lib/lsb/init-functions

if [ "$(id -u)" != "0" ]
then
  log_failure_msg "You must be root to start, stop or restart firewall."
  exit 1
fi

start () {
  log_daemon_msg "Starting firewall rules"
#echo "1" > /proc/sys/net/ipv4/ip_forward

# clean table
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# nat
#iptables -F -t nat
#iptables -X -t nat
#iptables -F -t filter
#iptables -X -t filter

# Odrzucenie i brak zezwolenia na forwardowanie pakietow
iptables -t filter -P FORWARD DROP

# Przepuszczanie pakietow z sieci lub przeznaczone dla sieci
#iptables -t filter -A FORWARD -s 10.10.1.0/255.255.255.0 -d 0/0 -j ACCEPT
#iptables -t filter -A FORWARD -s 0/0 -d 10.10.1.0/255.255.255.0 -j ACCEPT

# Udostepanianie Internetu przez Maskarade
iptables -t nat -A POSTROUTING -s 192.168.0.5 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:a0:d1:66:d9:6c -j ACCEPT

# rules (public)
iptables -A INPUT -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT           # bind
iptables -A INPUT -p tcp --dport 25 -j ACCEPT           # postfix
iptables -A INPUT -p tcp --dport 110 -j ACCEPT          # postfix
iptables -A INPUT -p udp --dport 25 -j ACCEPT           # postfix
iptables -A INPUT -p udp --dport 110 -j ACCEPT          # postfix
iptables -A INPUT -p tcp --dport 49160:49300 -j ACCEPT  # torrents
iptables -A INPUT -p udp --dport 49160:49300 -j ACCEPT  # torrents
iptables -A INPUT -p tcp --dport 22 -j ACCEPT           # ssh
iptables -A INPUT -p tcp --dport 445 -j ACCEPT          # samba
iptables -A INPUT -p tcp --dport 137:139 -j ACCEPT      # netbios
iptables -A INPUT -p tcp --dport 80 -j ACCEPT           # http
iptables -A INPUT -p tcp --dport 631 -j ACCEPT          # http cups
iptables -A INPUT -p tcp --dport 9100 -j ACCEPT         # drukarka

 log_end_msg $?
  return $?
}

stop () {
  log_daemon_msg "Brutal stop of firewall rules !!!"
# clean table
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# drop all ;)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# rules
#iptables -A INPUT -p tcp -s 10.10.1.10/255.255.255.0 --dport 22 -j ACCEPT
#iptables -A OUTPUT -p tcp -d 10.10.1.10/255.255.255.0 --sport 22 -j ACCEPT
  log_end_msg $?
  return $?
}

status () {
iptables -L
  return $?
}

case "$1" in
  start)
     start || exit 1
     ;;
  stop)
     stop || exit 1
     ;;
  restart)
     start || exit 1
     ;;
  status)
     status || exit 1
     ;;
  *)
     echo "Usage: /etc/init.d/firewall {start|stop|restart|status}"
     exit 1
esac

exit 0
Nie mam zielonego pojecia czemu nie ma neciku, ale na pewno czego nie zrobilem albo zrobilem zle. Prosze dobrych ludzi o pomoc.
Na górę
Awatar użytkownika
Yampress
Administrator
Posty: 6422
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

1. skoro polityke INPUT masz ACCEPT to chyba wszystko akceptujesz co wchodzi ... i w takim przypadku po co reszte tych reguł na konkretne porty akceptowalnych?
polityka INPUT ma byc DROP i dopiero areszte akceptujesz co sie podoba
po za tym łańcuch na INPUT akceptujący pakiety new w jakim celu to? dziura w firewalu..
2. do /etc/network/interfaces dodajesz auto eht0
3.#echo "1" > /proc/sys/net/ipv4/ip_forward to ma byc odhaszowane
4. dodaj

Kod: Zaznacz cały

iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Na górę
mik
Posty: 34
Rejestracja: 07 marca 2008, 10:54
Lokalizacja: Skierniewice

Post autor: mik »

Czasami Yampress wydaje mi sie, ze tylko Ty odpowiadasz na posty.

Niestety nie pomoglo mi to w uruchomieniu netu na innych kompach, ale za to uporzadkowalem sobie firewall, a takze moja niewielka wiedze na ten temat.

Efekt koncowy sie nie zmienil, a mianowicie IP dostaje, komputery widza sie z serwerem ale niestety nie ma wyjscia na zewnatrz. Co moge jeszcze zrobic? Jeden koles powiedzial, ze mam uruchomic maskarade ... hmmm czy on mnie czasami nie obrazil :-)
Na górę
Awatar użytkownika
Yampress
Administrator
Posty: 6422
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Post autor: Yampress »

sorry literówka. ma być auto eth1

http://www.baseciq.org/2002/01/01/maskarada-ip#more-110
Na górę
mik
Posty: 34
Rejestracja: 07 marca 2008, 10:54
Lokalizacja: Skierniewice

Post autor: mik »

Dzieki Yampress, bede studiowal to co wyslales. Co do literowki to zauwazylem ja :-P. Wielkie dzieki za pomoc.
Na górę
stepek
Beginner
Posty: 314
Rejestracja: 19 kwietnia 2007, 07:18
Lokalizacja: Bia³ystok

Post autor: stepek »

Mysle ze masz zle ustaiona maskarade, udostepniasz net tylko komputerowi z numerem IP i mackiem
iptables -t nat -A POSTROUTING -s 192.168.0.5 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source 00:a0:d1:66:d9:6c -j ACCEPT
moim zdaniem powinno byc mniej wiecej tak (w sekcji maskarady):

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
Na górę
sappa
Beginner
Posty: 148
Rejestracja: 08 sierpnia 2006, 15:09

Post autor: sappa »

Albo ja slepy jestem albo nigdzie nie pozwalasz na forward kompow z sieci.

Kod: Zaznacz cały

iptables -A FORWARD -s ip.ip.ip.ip/maska -j ACCEPT
iptables -A FORWARD -d ip.ip.ip.ip/maska -j ACCEPT
gdzie ip.ip.ip.ip/maska to adres twojej sieci np 192.168.0.0/24,
a do dzialania netu wystarcza w sumie 2 powyzsze linijki i

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s ip.ip.ip.ip/maska -j MASQUERADE
Jesli dalej nie bedzie dzialac sprawdz czy dzialaja ci dns'y (ping 212.77.100.101)

Pozdro
Na górę
ODPOWIEDZ

Wróć do „Sieci”