Здравейте, искам да попитам някой дали е пускал GRE over Ipsec под Linux с Openswan? Искам да свържа един Линукс с Cisco 2800.

Да, но в този случай как бих могъл да направя правата за достъп до отделните мрежи. Имам предвид, че сега съм указал във всеки един от конфиг файловете към кои мрежи да има достъп.
Апропо, понеже виждам, че си се занимавал по обстойно, можеш ли да ми помогнеш със самите сертификати.
Имам следния проблем. Връзват са потребителите посредством сертификата, но не ми иска парола, имам предвид парола за самият сертификат. Когато генерирам сертификат ми се появяват три файла:
*.crt
*.key
*.csr
Тях ги добавям в conf директорията на клиента и в client conf файла, но там ползвам ca.crt за всички потребители.

Къде според тебе ми е грешката за да не ми иска парола за сертификата.

Да точно така направих. Сметнах, че ще бъде най-добре. Благодаря все пак.

За тези които четат темата:
1.Направих 4 копия на основният конф.файл server.conf, с различни имена.
2.Рестартирах процеса и ми се появиха общо 4 tun interfaces. 

Здравей,
За да не те объркам допълнително ще ти го обясня в стъпки.
1. Генерираш си сертификата.

2. Когато се логнеш отиди във файла:ipp.txt и виж цялото име.

3.В директорият която си създал "ccd" трябва иметo на файла да е абсолютно същото както във файла ipp.txt. Примерно ако във файла ipp.txt пише  test1.vpn.server.com 10.9.0.2 , то трябва да създадеш в директориятя ccd файл с име "test1.vpn.server.com"

4.В server.config-->
client-config-dir ccd
route 10.9.0.0 255.255.255.252-Откоментирай и забележи каква е маската.

5.Във файла "test1.vpn.server.com"------>ifconfig-push 10.9.0.1 10.9.0.2

IP-тата както се досещаш са примерни.

Това мисля, че ще е достатъчно.

Здравейте,
Имам проблем с конфигурацията на ОpenVPN. Като цяло VPN-а работи, но искам да го накарам да работи с повече от една мрежа(4) и само 4 сертификата. Примерно:
Имам една мрежа 10.10.150.0/24 да я разбия на 4 подмрежи 10.10.150.0/192 и когато user със сертификат-1 се закачи той да взема адрес само от диапазона  10.10.150.1-62. Тоест получава се:

Сертификат1-10.10.150.1-62
Сертификат2-10.10.150.65-126
Сертификат3-10.10.150.129-190
Сертификат4-10.10.150.193-254

Цялата тази схема я правя за да мога впоследствие с помоща на IPTABLES да регламентирам достъпа до отделни мрежи зад VPN сървъра. Разбрах как се раздават конкретни IP-та, но това изисква n-на брой сертификати(според броя на потребителите).

Hаркос, мисля, че открих грешката която правя. При хостинг провайдера се казва, че за да ми отговарят всичките записи, които бях публикувал трябва да сложа dns servers на hosting provider.

Заложих ги както трябва
redirns1.bgdns.net
redirns2.bgdns.net //Това е host.bg

да наистина нямам и-нет, защото ми е спрял най-вероятно тока. След 1ч. ще се прибера и ще проверя, макар, че промените ще се отразят след около 10ч най-малко.


Наркос, много ти благодаря както винаги си много отзивчив.

[Цитат]

Цитат

Правилата за iptables изглеждат наред, макар че не ги прегледах 100%, а и има малко излишни според мен, но не би трябвало там да е проблема. Това, което ми прави впечатление веднага е, че няма A запис за mail.fakepc.net: Примерен код   $ dig -t mx fakepc.net # <-- това е ок ; <<>> DiG 9.3.2 <<>> -t mx fakepc.net ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8612 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;fakepc.net.                    IN      MX ;; ANSWER SECTION: fakepc.net.             172624  IN      MX      10 mail.fakepc.net. ;; AUTHORITY SECTION: fakepc.net.             172611  IN      NS      ns.fakepc.net. ;; ADDITIONAL SECTION: ns.fakepc.net.          172624  IN      A       83.228.113.50 ;; Query time: 1 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Thu Oct 12 15:57:11 2006 ;; MSG SIZE  rcvd: 82 $ dig mail.fakepc.net. @ns.fakepc.net # <-- това липсва ; <<>> DiG 9.3.2 <<>> mail.fakepc.net. @ns.fakepc.net ; (1 server found) ;; global options:  printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 29593 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;mail.fakepc.net.               IN      A ;; AUTHORITY SECTION: fakepc.net.             86400   IN      SOA     ns.fakepc.net. root.ns.fakepc.net. 2006101101 43200 7200 604800 86400 ;; Query time: 31 msec ;; SERVER: 83.228.113.50#53(83.228.113.50) ;; WHEN: Thu Oct 12 15:57:31 2006 ;; MSG SIZE  rcvd: 77   Без A запис за mail.fakepc.net няма как да се разбере към кой хост трябва да се осъществи връзка по SMTP. Общо взето при тази ситуация мисля, че трябва да можеш да пращаш поща, но не и да получаваш.

След направените промени в записите при Хостинг провайдера по препоръка на Наркос:
************************************
  fakepc.net  A  83.228.113.50
    
  fakepc.net  MX  10 mail.fakepc.net.
    
  *.fakepc.net  A  83.228.113.50
    
  *.fakepc.net  MX  10 mail.fakepc.net.
    
  ns.fakepc.net.  A  83.228.113.50

************************************
SOA record на DNS server

************************************
 ; zone file for domain.net
$TTL 2d ; zone TTL default = 2 days or 17280 seconds
domain.net.     IN   SOA   ns.domain.net.   root.ns.domain.net(
                                  2006101101   ; serial number
                                  43200           ; refresh = 12 hours
                                 7200            ; update retry = 2 hour
                                  604800         ; expiry = 1 week
                                  86400           ; minimum = 1 day
                                  )
                                  IN       NS      ns.domain.net.
                                  IN       MX    10 mail.domain.net.

                ns               IN       A       реалното IP
            domain.net.       IN       A        реалното IP
localhost.domain.net.      IN       A       127.0.0.1
mail.fakepc.net.              IN        A       реалното IP

За пояснение:
DNS=OS--> Slackware 10; BIND 9
MailServer=OS-->FreeBSD 6.1; Postfix; Courier; MySQL

[Цитат]

Цитат

Дай си правилата от iptables, ако не те притеснява. Кажи какъв пощенски сървър си инсталирал.

#!/bin/sh
#RULES FOR FIREWALL & NAT

ifconfig eth0 up 83.228.113.50
ifconfig eth0 netmask 255.255.252.0
ifconfig eth1 up 192.168.110.1
ifconfig eth1 netmask 255.255.255.0

#NQKOLKO PROMENLIVI ZA PO-GOLQMA QSNOTA

IPT="/usr/sbin/iptables"
IFACE_EXT=eth0
IFACE_INT=eth1
IP_EXT=83.228.113.50
IP_INT=192.168.110.1
NET_INT=192.168.110.0/24
SRV_ADR=192.168.110.2

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

#**************************************************************#

#START

echo -n "Loading FIREWALL !!!"

#ZAREJDAME MODULITE NA QDROTO

#IZHVURLQME STARITE PRAVILA, STARITE TEBLICI

$IPT --flush
$IPT --delete-chain
$IPT --flush -t nat
$IPT --delete-chain -t nat

#ZADAVAME "DROP" KATO STANDARTNO POVEDENIE NA TRITE VGRADENI VERIGI

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

#DAVAME SVOBODA NA I-FACE ZA OBRATNA VRUZKA

$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -I OUTPUT 1 -o lo -j ACCEPT

#****************************************************************************************#

#PRAVILA PROTIV PODPRAVENI IP ADDRESSI VUV "INPUT" VERIGATA

$IPT -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 255.0.0.0/8 -j DROP

$IPT -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 0.0.0.0/8 -j DROP

$IPT -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 127.0.0.0/8 -j DROP

$IPT -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 10.0.0.0/8 -j DROP

$IPT -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 172.16.0.0/12 -j DROP

#Paket sus IP:192.168.0.0/16 idva ot internet  na i-face eth0=83.228.113.50
$IPT -A INPUT -s 192.168.0.0/16 -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 192.168.0.0/16 -i $IFACE_EXT -j DROP
 
#Paket razlichen ot tozi na vutreshnata mreja idva na vutreshen i-face eth1=192.168.110.1
$IPT -A INPUT -s ! $NET_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s ! $NET_INT -i $IFACE_INT -j DROP

#Paket sus IP:192.168.110.1 idva na i-face eth1=192.168.110.1
$IPT -A INPUT -s $IP_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s $IP_INT -i $IFACE_INT -j DROP

#Paket sus IP:83.228.113.50 idva na i-face eth0=83.228.113.50
$IPT -A INPUT -s $IP_EXT -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s $IP_EXT -i $IFACE_EXT -j DROP

#******************************************************************************************
*#

#PRAVILA PROTIV PODPRAVENI IP ADDRESSI VUV "FORWARD" VERIGATA

$IPT -A FORWARD -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 255.0.0.0/8 -j DROP

$IPT -A FORWARD -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 0.0.0.0/8 -j DROP

$IPT -A FORWARD -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 127.0.0.0/8 -j DROP

$IPT -A FORWARD -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 10.0.0.0/8 -j DROP

$IPT -A FORWARD -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 172.16.0.0/12 -j DROP

#Paket sus IP:192.168.0.0/16 idva ot internet  na i-face eth0=83.228.113.50
$IPT -A FORWARD -s 192.168.0.0/16 -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s 192.168.0.0/16 -i $IFACE_EXT -j DROP
 
#Paket razlichen ot tozi na vutreshnata mreja idva na vutreshen i-face eth1=192.168.110.1
$IPT -A FORWARD -s ! $NET_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s ! $NET_INT -i $IFACE_INT -j DROP

#Paket sus IP:192.168.110.1 idva na i-face eth1=192.168.110.1
$IPT -A FORWARD -s $IP_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s $IP_INT -i $IFACE_INT -j DROP

#Paket sus IP:83.228.113.50 idva na i-face eth0=83.228.113.50
$IPT -A FORWARD -s $IP_EXT -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!"
$IPT -A FORWARD -s $IP_EXT -i $IFACE_EXT -j DROP

#******************************************************************************************
***#

#INPUT POLICY

#Priema vhodqshtite paketi, koito sa chast ot veche odobreni sesii
$IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Vsichki sesii po TCP trqbva da zapochvat sus SYN flag
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt!"
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

#Priema SSH sesii ot internet
$IPT -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW

#Priema SSH sesii ot vutreshnata mreja
$IPT -A INPUT -p tcp -s $NET_INT --dport 22 -m state --state NEW -j ACCEPT

#Priema zaqwki po DNS ot internet
$IPT -A INPUT -p udp -j ACCEPT --dport 53 -m state --state NEW,RELATED

#Priema ICMP (ping) paketi ot Internet
$IPT -A INPUT -p icmp -s 0/0 -j ACCEPT

#Priema ICMP (ping) paketi ot vutreshnata mreja
$IPT -A INPUT -p icmp -s $NET_INT -j ACCEPT

#Zapisvame vsichko ostanalo v LOG
$IPT -A INPUT -j LOG --log-prefix "DROPED BY DEFAULT (INPUT)"
$IPT -A INPUT -j DROP

#******************************************************************************************
****#

#OUTPUT POLICY

#Ako paketa e chast ot veche odobrena veriga go puskame navun. !!! Ako e nujno na mchinata koqto
#igrae rolqta na ROUTER da ima INTERNET, togava v tozi red pred: ESTABLISHED,RELATED pishem NEW
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Puskame ICMP ping
$IPT -A OUTPUT -p icmp -j ACCEPT

#Pozvolqvame izhodqshti zaqvki po DNS, naprimer za opredelqne imenata na IP-addressi v dnevnicite
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT

#Zapisvame v LOG vsichko ostanalo
$IPT -A OUTPUT -j LOG --log-prefix "DROPED BY DEFAULT (OUTPUT)"
$IPT -A OUTPUT -j DROP

#******************************************************************************************
*****#

#FORWARD POLICY

#Ako paketa e chast ot veche odobrena veriga go puskame  navun
$IPT -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Vsichki sesii po TCP treqbva da zapochvat sus SYN
$IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt!"
$IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#Razreshaveme dostup do WEB-SERVER  
$IPT -A FORWARD -p tcp -d $SRV_ADR --dport 80 -m state --state NEW -j ACCEPT

#Razreshavame dostup do FTP_SERVER
$IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 21 -m state --state NEW,RELATED -j ACCEPT

#Razreshavame izhodqshti zaqvki po DNS
$IPT -A FORWARD -p udp -s $SRV_ADR -m state --state NEW,RELATED --dport 53 -j ACCEPT

#Razreshavame dostup do MAIL-SERVER po SMTP-25
$IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 25 -m state --state NEW,RELATED -j ACCEPT

#Razreshavame dostup do MAIL-SERVER po POP3-110
$IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 110 -m state --state NEW,RELATED -j ACCEPT

#Razreshaveme dostup do MAIL-SERVER po IMAP-143
$IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 143 -m state --state NEW,RELATED -j ACCEPT

#Razreshaveme dostup ot vutreshnata mreja za kum Internet
$IPT -A FORWARD -s $NET_INT -j ACCEPT

#Zapisvame v LOG vsichko ostanalo
$IPT -A FORWARD -j LOG --log-prefix "DROPED BY DEFAULT (FORWARD)"
$IPT -A FORWARD -j DROP

#******************************************************************************************
*****#

#NAT RULES

#***********************************POSTROUTING************************************#

#Prehvurlqne na vsichko ot vutreshnata mreja kum IP_EXT:83.228.113.50
$IPT -t nat -A POSTROUTING -o $IFACE_EXT -j SNAT --to-source $IP_EXT

#************************************PREROUTING************************************#

#Prehvurlqne na vsichki zaqvki na port 21(FTP-SERVER) kum vutreshno IP:192.168.110.2
$IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 21 -j DNAT --to $SRV_ADR:21

#Prehvurlqne na vsichki zaqvki na port 25(SMTP-SERVER)kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 25 -j DNAT --to $SRV_ADR:25

#Prehvurlqne na vsichki zaqvki na port 80(WEB-SERVER)kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 80 -j DNAT --to $SRV_ADR:80

#Prehvurlqne na vsichki zaqvki na port 110(POP3-SERVER)kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 110 -j DNAT --to $SRV_ADR:110

#Prehvurlqne na vsichki zaqvki na port 143(IMAP-SERVER) kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 143 -j DNAT --to $SRV_ADR:143

#******************************************************************************************
*****#

Здравейте, реших да си направя личен майл сървър, но имам следния проблем при конфигурирането му: На една машина  която е с реалено IP съм пуснал рутер и DNS, който е authority за моя домейн. Зад този компютър съм пуснал един майл сървър, който обаче е с частно IP. Предварително искам да кажа, че съм направил пренасочванията на майл портовете към вътрешната машина и пренасочването работи. проблема е, че когато направя обръщение към майл сървъра ми се казва, че не може да бъде намерен същия. От тук си правя заключението, че явно нещо с пренасочването в SOA записа не е наред. За по-голяма яснота прилагам записа от "hosting provider" и SOA record.


При hosting provider:

Адрес                  Тип на запис             Стойност
****************************************
domain.net                 А                       реалното IP
domain.net                MX                      10 mail.domain.net.
*.domain.net              A                       реалното IP
*.domain.net             MX                      10 mail.domain.net.


SOA record на моя DNS server

; zone file for domain.net
$TTL 2d ; zone TTL default = 2 days or 17280 seconds
domain.net.     IN   SOA   ns.domain.net.   root.ns.domain.net(
                                   2006101101   ; serial number
                                   43200           ; refresh = 12 hours
                                  7200            ; update retry = 2 hour
                                   604800         ; expiry = 1 week
                                   86400           ; minimum = 1 day
                                   )
                                   IN       NS      ns.domain.net.
                                   IN       MX    10 mail.domain.net.

                 ns               IN       A       реалното IP
             domain.net.       IN       A        реалното IP
 localhost.domain.net.      IN       A       127.0.0.1
                mail              IN        A       реалното IP



В допълнение искам да кажа, че съм разрешил DNS server  да бъде достъпен отвън за всеки(това го направих по препоръка на един познат, който ми каза, че така трябвало да бъде).
Ами общо взето това е. Ако някой смята, че може да помогне, но все пак се нуждае от реалния домайн или пък от някоя друга конфигурация може да ми изпрати ЛС.


Благодаря предварително

НАРКОС, човече много, много ти благодаря. Всичко тръгна и е тип топ. 10х от мен

Искам да помоля ако някой знае как мога да огранича DNS Server да се ползва за recursive(cache) server от външни users, освен за потребителите от вътрешната мрежа, да го сподели. Проблема е, че същия сървър се ползва и за Authority  за моята зона. За по-голяма яснота изпращам записа от named.conf :

controls {
        inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; };
};

key "rndckey" {
        algorithm       "hmac-md5";
        secret          "xxxxxxxxxxxxxxxxxxxxxxxxxx";
};


acl "trusted" {
192.168.110.0/24;  //LAN mreja
localhost;
};

acl "bogon" {
    0.0.0.0/8;
    1.0.0.0/8;
    2.0.0.0/8;
    5.0.0.0/8;
    7.0.0.0/8;
    10.0.0.0/8;
    23.0.0.0/8;
    27.0.0.0/8;
    31.0.0.0/8;
    36.0.0.0/8;
    37.0.0.0/8;
    39.0.0.0/8;
    42.0.0.0/8;
    49.0.0.0/8;
    50.0.0.0/8;
    77.0.0.0/8;
    78.0.0.0/8;
    79.0.0.0/8;
    92.0.0.0/8;
    93.0.0.0/8;
    94.0.0.0/8;
    95.0.0.0/8;
    96.0.0.0/8;
    97.0.0.0/8;
    98.0.0.0/8;
    99.0.0.0/8;
    100.0.0.0/8;
    101.0.0.0/8;
    102.0.0.0/8;
    103.0.0.0/8;
    104.0.0.0/8;
    105.0.0.0/8;
    106.0.0.0/8;
    107.0.0.0/8;
    108.0.0.0/8;
    109.0.0.0/8;
    110.0.0.0/8;
    111.0.0.0/8;
    112.0.0.0/8;
    113.0.0.0/8;
    114.0.0.0/8;
    115.0.0.0/8;
    116.0.0.0/8;
    117.0.0.0/8;
    118.0.0.0/8;
    119.0.0.0/8;
    120.0.0.0/8;
    169.254.0.0/16;
    172.16.0.0/12;
    173.0.0.0/8;
    174.0.0.0/8;
    175.0.0.0/8;
    176.0.0.0/8;
    177.0.0.0/8;
    178.0.0.0/8;
    179.0.0.0/8;
    180.0.0.0/8;
    181.0.0.0/8;
    182.0.0.0/8;
    183.0.0.0/8;
    184.0.0.0/8;
    185.0.0.0/8;
    186.0.0.0/8;
    187.0.0.0/8;
    192.0.2.0/24;
    192.168.0.0/16;
    197.0.0.0/8;
    223.0.0.0/8;
    224.0.0.0/3;
};

options {
        directory "/conf";
        pid-file "/var/run/named.pid";
        statistics-file "/var/run/named.stats";
        dump-file "/var/run/named.db";
        version "[secured]";
        query-source address * port 53;
};

// AUTHORITY AND CACHE NAMESERVER

//DNS ROOT SERVERS
zone "." IN {
        type hint;
        file "db.rootcache";
};

//RESOLUTION OF THE NAME "localhost" TO THE "loopback"
zone "localhost" IN {
        type master;
        file "db.localhost";
        notify no;
};

//OBRATEN RESOLVING
zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "db.reversemap";
};

//MY DOMAIN ZONE
zone "MYDOMAIN.COM" IN {
        type master;
        file "db.domain.com";
        notify no;
};

Здравейте, преди два дни си пуснах успешно BIND(в затвор) на рутера в къщи, и тъй като имам собствен домейн го подкарах да работи хам като Аuthority DNS и като Cache DNS. Понеже друг път не съм се занимавал с това искам да задам няколко въпроса, които са с общ характер, но в чиито отговори не съм много сигурен.  

1. Удачно ли е един DNS да работи хем като Аuthority Server хем като Cache server? И ако да как мога да направя restriction друг да не може да го ползва за CACHE и същевременно да изпълнява коректно ролята на Аuthoritive за зоната.

2.Искам да направя отделен log file, който да бъде само за DNS server. Това може би трябва да го вкарама в named.conf, но дали log file трябва да бъде в затвора или е по-добре да е извън него.

Благодаря предварително

Благодаря на всички, които се отзоваха. Щом се прибера днес ще тествам и ще върна инфо.

Здравейте, наскоро се опитах да премодифицирам един скрипт с iptables правила така, че да отговаря на мойте изисквания. Проблема е че нещо не работи, преди да го постна бих искал да дам малко повече инфо. Имам  Slackware 10.2--2.4.31, който го ползвам за рутер и има IP 83.228.X.X(това е за и-нета, а за към LAN 192.168.110.1). Зад него има машина със същите параметри(192.168.110.2), която ще се ползва за Web и FTP . Имам ping от вътрешната машина и към двата и-фейса на рутера, но след това няма никой. Молбата ми е ако на някой му се занимава да го погледне и ако има нещо което да му се струва нередно да го сподели(критиката ще бъде градивна). Благодаря предварително

Та ето го и скрипта:

#!/bin/bash
#RULES FOR FIREWALL & NAT
IPT="/usr/sbin/iptables"

echo "Loading aditional modules ..."
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter

function flush() {
echo "Flushing firewall ..."
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
}

case $1 in

start)
echo "Starting firewall ..."
flush
#Zadavame "othvurlqne" kato standartno povedenie na trite vgradeni verigi

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

#Davame pulna svoboda na interfacite za obratna vruzka

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT


echo "Executing FILTER table ..."

#Nqkolko osnovni pravila protiv podpraveni IP-addressi

$IPT -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 255.0.0.0/8 -j DROP

$IPT -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 0.0.0.0/8 -j DROP

$IPT -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 127.0.0.0/8 -j DROP

$IPT -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 10.0.0.0/8 -j DROP

$IPT -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!"
$IPT -A INPUT -s 172.16.0.0/12 -j DROP

#$IPT -A INPUT -s 192.168.0.0/16 -j LOG --log-prefix "Spoofed source IP!"
#$IPT -A INPUT -s 192.168.0.0/16 -j DROP

$IPT -A INPUT -s 83.228.X.X -j LOG --log-prefix "Spoofed by my own IP!"
$IPT -A INPUT -s 83.228.X.X -j DROP

#Definirame pravilo, s koeto kazvame na "netfilter", che vsichki sessions po TCP,
#zaduljitelno trqbva da zapochvat sus SYN (Vuzmojno scanirane ot strana na nqkoi lubopitko)

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt?"
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP


echo "Processing INPUT chain ..."

#Priemame vhodqshti paketi, koito sa chast ot veche odobreni sessinos
$IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#Priema vhodqshti paketi, koito startirat sessions po FTP
$IPT -A INPUT -p tcp -j ACCEPT --dport 21 -m state --state NEW

#Priema vhodqshti paketi, koito startirat sessions po SSH
$IPT -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW

#Priema vhodqshti paketi, koito startirat sessions po HTTP
$IPT -A INPUT -p tcp -j ACCEPT --dport 80 -m state --state NEW

#Priema vsichko koeto idva ot vutreshnata mreja 192.168.110.0/24  Tuk mojebi e dobre da ima portove 1025-65355
$IPT -A INPUT -p all -s 192.168.110.0/24 -d 83.228.X.X -j ACCEPT

#Zapisvame vsichko ostanalo v LOG
$IPT -A INPUT -j LOG --log-prefix "Dropped by default:"


echo "Processing OUTPUT chain ..."

#Ako paketa e chast ot veche odobrena vruzka go puskame navun
$IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Pozvolqvame izhodqshti ICMP zaqvki- "ping"
$IPT -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-reqest

#Pozvolqvame izhodqshti zaqvki po DNS "opredelqne na imena po IP address"
$IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

#Zapisvame v LOG vsichko ostanalo
$IPT -A OUTPUT -j LOG --log-prefix "Dropped by default:"


echo "Processing FORWARD chain ..."

$IPT -A FORWARD -p all -j ACCEPT


echo "Executing NAT table ..."

#PREROUTING
#Prehvurlqne na vsichki zaqvki na port 21 kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.110.2:21

#Prehvurlqne na vsichki zaqvki na port 80 kum vutreshno IP 192.168.110.2
$IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.110.2:80


#POSTROUTING
#Prehvurlqne na vsichko ot vutreshnata mreja kum 83.228.X.X
IPT -t nat -A POSTROUTING -o eth0 -j SNAT –to--source 83.228.X.X
;;


stop)
echo "Stoping firewall ..."
flush
;;


nat)
echo "Running firewall but only NAT table ..."
flush
;;


*)
echo "Usage: FIREWALL & NAT start|stop|nat"
;;
esac

Благодаря на всички, които се отзоваха. Всичко вече е ОК.