настройка шлюза

Автор kima, 26 Мая 2009, 14:17

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Vicpo

[quote name=\'Vicpo\' post=\'5114\' date=\'5.6.2009, 22:11\']В мандриве используется shorewall в качестве firewall, он и управляет правилами iptables[/quote]

Для кого писал?

shiko

Здравствуйте! Почитал про Shorewall, тема большая честно говоря не думал что сталкнусь с таким геморроем, но рано или поздно это произошло бы! http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blush.gif\' class=\'bbc_emoticon\' alt=\':blush:\' />  Скажите, а вот в документации там есть пример конфигурирования sharewall с двумя сет.интерфейсами у меня это все лежит здесь /usr/shaer/doc/shorewall-common/sampls/two-interfaces, где в наличии имеются файлы примеров. Мне можно их тупо скопировать (конечно с учетом своих подключений) в основные файлы shorewall, будет ли после этого работать shorewall как мне нужно? И еще вопрос в директории /etc/shorewall где размещены основные файлы фаервола есть makefile, для чего он нужен. Честно говоря не вник полностью, но мне что придется после внесения извинений в конфиги запускать его для компиляции shorewall -a или как?

Vicpo

ничего не надо пересобирать просто необходимо будет рестартануть службу shorewall и все

shiko

07 Июня 2009, 00:34 #23 Последнее редактирование: 07 Июня 2009, 00:52 от shiko
Все запустил шлюз! http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/laugh.gif\' class=\'bbc_emoticon\' alt=\':lol:\' />  Благодарю за помощь!!!
Для тех кто наступит на эти грабли коротко расскажу, как я победил эту проблему. Все конфиги shorewall-a лежат здесь: /etc/shorewall. Идем в раздел где лежат в качестве примера уже сконфигурированные файлы для shorewall-а, у меня они лежат здесь: /usr/share/doc/shorewall-common/samples/two-interfaces. Далее перебиваем файлы в /etc/shorewall в точности как показано в образцах, только не забудьте внести поправки на сет.адаптеры lan & nat у вас выход в локалку и в инет может быть другим. Даем команду # shorewall rеtstart и идем прописывать ip-адреса.
Если что смотрите доп.инфу в прикрепленном файле.

Vicpo подскажите пожалуйста, дело в том что после запуска шлюза с учетом внесенных изменений у меня линукс в инет не может попасть, я конечно понимаю, что самому сетевому экрану это вроде бы нафик не нужно (противоречит безопасности), но все таки можно как нибудь открыть доступ?

Vicpo

конечно можно, просто правило добавить, что с локалхоста можно ходит везде и все

shiko

07 Июня 2009, 21:33 #25 Последнее редактирование: 07 Июня 2009, 21:50 от shiko
Да вот в том то и дело, что вреде читал когда делал и все вроде бы понятно, а вот вчера и сегодня сижу и не как не могу угадать с этими параметрами, чтоб открыть шлюз для инета! Вроде все испробовал, все пингуется инет на винду идет без проблем, а вот на шлюзе нет, хоть ты лопни!
в файле policy исправил строку на:
Цитироватьnet        all            ACCEPT
результат был отрицательный.
Может с файлом rules попробовать, тока я не пойму, что там на что менять, подскажите пожалуйста!
Там в правилах к примеру на разрешения пинга в локалке есть такая строка:
ЦитироватьPing/ACCEPT                  loc              $FW
т.е таможня дает дабро на пинг внутри локальной сети, а как мне составить правило чтобы шлюз мог ходить в инет не пойму, что то???

Vicpo

в файле policy первое правило fw  net ACCEPT

shiko

07 Июня 2009, 23:04 #27 Последнее редактирование: 07 Июня 2009, 23:07 от shiko
Все инет пошел СПАСИБО!!! http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/laugh.gif\' class=\'bbc_emoticon\' alt=\':lol:\' /> И вообще на мой взгляд с shorewall оказывается работать намного проще чем напрямую с iptables.

shiko

09 Июня 2009, 18:31 #28 Последнее редактирование: 09 Июня 2009, 20:07 от shiko
Здравствуйте! Как продолжение разговора по данной теме хочу спросить. Вот у меня возникла такая ситуация я на линуксе на котором настраивал shorewall запустил samba для организации взаимодействия между виндой, я делал уже это и все работало, а тут не пойму в чем дело. Виндос видет в сети линукс, а линукс win машину нет. Хотя должно быть на оборот. До настройки shorewall я проверял сеть и линукс видел винду и расшареные на ней ресурс, а сейчас несмотря что я все сделал (завел пользователя, открыл и расшарил ресурс на линуксе) все равно я не вижу виндойс машину а с венды не могу зайти на линукс. Скажите это может быть причиной настройки shorewall или нет.
При попытке зайти с линукса через ресурсы самба на  винду выдает следующее сообщение об ошибке: НЕ УДАЕТСЯ НАЙТИ РАБОЧИЕ ГРУППЫ В ВАШЕЙ ЛОКАЛЬНОЙ СЕТИ. ВОЗМОЖНО ЭТОМУ ПРЕПЯТСТВУЕТ БРАНДМАУЭР.

Vicpo

fw net ACCEPTзамени на fw all ACCEPT в policy  и попробуй если увидит линь винду то останется открыть порты 139 и 445 для внутренней сети

shiko

09 Июня 2009, 22:11 #30 Последнее редактирование: 09 Июня 2009, 22:24 от shiko
Да спасибо я честно говоря допер помаленьку и поставил fw   loc   ACCEPT и все стало на свои места с линукса захожу на винду, а вот только с винды зайти на линукс не получается (говорит у вас нет прав на использование этого сетевого ресурса), что может быть как вы думаете? пользователя я завел и пароль дал. Если это порты то я честно говоря не совсем въехал как их открыть http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blink.gif\' class=\'bbc_emoticon\' alt=\':blink:\' />

Vicpo


shiko

10 Июня 2009, 00:40 #32 Последнее редактирование: 10 Июня 2009, 00:49 от shiko
В shorewall правлю файл /etc/shorewall/rules , где указываю какие порты открыть во внутренней сети, вот содержимое файла:
##############
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE
 USER/   MARK
# PORT PORT(S) DEST LIMIT GROUP
DNS/ACCEPT $FW net
SSH/ACCEPT loc $FW
Ping/ACCEPT  loc $FW
Ping/REJECT  net $FW
CCEPT   loc  $FW tcp  139
CCEPT   loc  $FW tcp  445
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
#SECTION ESTABLISHED
#SECTION RELATED
#INCLUDE rules.drakx
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
у меня вопрос почему когда я пытаюсь рестаретовать shorewall у меня выдает ошибку, как только комментирую эти строки с портами 139 и 445 ошибка пропадает, что вызывает ошибку не пойму я все вроде правильно сделал. Я приотачил файл с содержимым файла rules т.к происходит некоректное отображение строк

shiko

ФУХ! Все сделал! НЕ долго мучился плюнул и сделал через drakconf-Безопасность-Настройка фаервола поставил галочку на smb и все заработало как часики. А изменение в конфигах shorewall  произошли вот в этом файле /etc/shorewall/rules.drakx сейчас у меня он выглядит так:
ЦитироватьACCEPT   net   fw   udp   137,138,139   -
ACCEPT   net   fw   tcp   80,443,22,20,21 -
Vicpo спасибо за помощь!!! http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/biggrin.gif\' class=\'bbc_emoticon\' alt=\':D\' />

shiko

11 Июня 2009, 19:17 #34 Последнее редактирование: 11 Июня 2009, 19:19 от shiko
Здравствуйте! Скажите пожалуйста можно как нибудь избавиться от постоянных уведомлений от фаервола в треи (каждый раз  когда происходит подключение службы netbios-dgm), раздражает немного!  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/wacko.gif\' class=\'bbc_emoticon\' alt=\':wacko:\' />

hedgeven

09 Сентября 2011, 13:09 #35 Последнее редактирование: 09 Сентября 2011, 13:14 от hedgeven
помогите люди настроить маршрутизацию в бубунте, чтобы при старте системы правильно писались маршруты.
вот должна быть такая таблица
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 192.168.20.1 255.255.0.0 UG 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth2

прописал в /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
 address 10.10.10.1
 netmask 255.255.255.0
auto eth1
iface eth1 inet dhcp
up route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.20.1 eth1 metric 200
auto eth2
iface eth2 inet static
 address 192.168.1.2
 netmask 255.255.255.0
 gateway 192.168.1.1

а вот что получается при перезагрузке
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.20.1 0.0.0.0 UG 100 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth2
Jah will give us everything...

Vicpo

Не будет работать - два шлюза по умолчанию.
Читай синтаксис файл /etc/sysconfig/network

hedgeven

09 Сентября 2011, 16:27 #37 Последнее редактирование: 09 Сентября 2011, 16:27 от hedgeven
я вижу что не работает, точнее работает, хоть с десятью шлюзами по-умолчанию, но ходит в тот, что первый в таблице. так-то.
почему появляется два дефолтных маршрута, если в конфиге указан только один - gateway 192.168.1.1. видимо второй прилетает по dhcp. хммм, пошел перечитывать man
Jah will give us everything...

Vicpo

Если из DHCP тогда надо выполнять команду на удаления этого шлюза.

hedgeven

09 Сентября 2011, 17:20 #39 Последнее редактирование: 09 Сентября 2011, 17:21 от hedgeven
спасибо, помогло:

cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 10.10.10.1
  netmask 255.255.255.0
auto eth1
iface eth1 inet dhcp
up route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.20.1 eth1
up route del default
auto eth2
iface eth2 inet static
  address 192.168.1.2
  netmask 255.255.255.0
  gateway 192.168.1.1
Jah will give us everything...