2
|
Linux секция за начинаещи / Настройка на програми / Re: OpenVPN
|
-: Nov 10, 2008, 17:42
|
Да, но в този случай как бих могъл да направя правата за достъп до отделните мрежи. Имам предвид, че сега съм указал във всеки един от конфиг файловете към кои мрежи да има достъп. Апропо, понеже виждам, че си се занимавал по обстойно, можеш ли да ми помогнеш със самите сертификати. Имам следния проблем. Връзват са потребителите посредством сертификата, но не ми иска парола, имам предвид парола за самият сертификат. Когато генерирам сертификат ми се появяват три файла: *.crt *.key *.csr Тях ги добавям в conf директорията на клиента и в client conf файла, но там ползвам ca.crt за всички потребители.
Къде според тебе ми е грешката за да не ми иска парола за сертификата.
|
|
|
3
|
Linux секция за начинаещи / Настройка на програми / Re: OpenVPN
|
-: Nov 10, 2008, 15:09
|
Да точно така направих. Сметнах, че ще бъде най-добре. Благодаря все пак. За тези които четат темата: 1.Направих 4 копия на основният конф.файл server.conf, с различни имена. 2.Рестартирах процеса и ми се появиха общо 4 tun interfaces.
|
|
|
4
|
Linux секция за начинаещи / Настройка на програми / Re: Eдно питане за openvpn
|
-: Nov 09, 2008, 19:40
|
Здравей, За да не те объркам допълнително ще ти го обясня в стъпки. 1. Генерираш си сертификата.
2. Когато се логнеш отиди във файла:ipp.txt и виж цялото име.
3.В директорият която си създал "ccd" трябва иметo на файла да е абсолютно същото както във файла ipp.txt. Примерно ако във файла ipp.txt пише test1.vpn.server.com 10.9.0.2 , то трябва да създадеш в директориятя ccd файл с име "test1.vpn.server.com"
4.В server.config--> client-config-dir ccd route 10.9.0.0 255.255.255.252-Откоментирай и забележи каква е маската.
5.Във файла "test1.vpn.server.com"------>ifconfig-push 10.9.0.1 10.9.0.2
IP-тата както се досещаш са примерни.
Това мисля, че ще е достатъчно.
|
|
|
5
|
Linux секция за начинаещи / Настройка на програми / OpenVPN
|
-: Nov 09, 2008, 18:36
|
Здравейте, Имам проблем с конфигурацията на ОpenVPN. Като цяло VPN-а работи, но искам да го накарам да работи с повече от една мрежа(4) и само 4 сертификата. Примерно: Имам една мрежа 10.10.150.0/24 да я разбия на 4 подмрежи 10.10.150.0/192 и когато user със сертификат-1 се закачи той да взема адрес само от диапазона 10.10.150.1-62. Тоест получава се:
Сертификат1-10.10.150.1-62 Сертификат2-10.10.150.65-126 Сертификат3-10.10.150.129-190 Сертификат4-10.10.150.193-254
Цялата тази схема я правя за да мога впоследствие с помоща на IPTABLES да регламентирам достъпа до отделни мрежи зад VPN сървъра. Разбрах как се раздават конкретни IP-та, но това изисква n-на брой сертификати(според броя на потребителите).
|
|
|
6
|
Linux секция за начинаещи / Настройка на програми / Dns+mail server
|
-: Oct 12, 2006, 17:42
|
Hаркос, мисля, че открих грешката която правя. При хостинг провайдера се казва, че за да ми отговарят всичките записи, които бях публикувал трябва да сложа dns servers на hosting provider.
Заложих ги както трябва redirns1.bgdns.net redirns2.bgdns.net //Това е host.bg
да наистина нямам и-нет, защото ми е спрял най-вероятно тока. След 1ч. ще се прибера и ще проверя, макар, че промените ще се отразят след около 10ч най-малко.
Наркос, много ти благодаря както винаги си много отзивчив.
|
|
|
7
|
Linux секция за начинаещи / Настройка на програми / Dns+mail server
|
-: Oct 12, 2006, 16:36
|
Цитат | Правилата за iptables изглеждат наред, макар че не ги прегледах 100%, а и има малко излишни според мен, но не би трябвало там да е проблема.
Това, което ми прави впечатление веднага е, че няма A запис за mail.fakepc.net:
Примерен код
$ dig -t mx fakepc.net # <-- това е ок
; <<>> DiG 9.3.2 <<>> -t mx fakepc.net ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8612 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION: ;fakepc.net. IN MX
;; ANSWER SECTION: fakepc.net. 172624 IN MX 10 mail.fakepc.net.
;; AUTHORITY SECTION: fakepc.net. 172611 IN NS ns.fakepc.net.
;; ADDITIONAL SECTION: ns.fakepc.net. 172624 IN A 83.228.113.50
;; Query time: 1 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Thu Oct 12 15:57:11 2006 ;; MSG SIZE rcvd: 82
$ dig mail.fakepc.net. @ns.fakepc.net # <-- това липсва
; <<>> DiG 9.3.2 <<>> mail.fakepc.net. @ns.fakepc.net ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 29593 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;mail.fakepc.net. IN A
;; AUTHORITY SECTION: fakepc.net. 86400 IN SOA ns.fakepc.net. root.ns.fakepc.net. 2006101101 43200 7200 604800 86400
;; Query time: 31 msec ;; SERVER: 83.228.113.50#53(83.228.113.50) ;; WHEN: Thu Oct 12 15:57:31 2006 ;; MSG SIZE rcvd: 77
Без A запис за mail.fakepc.net няма как да се разбере към кой хост трябва да се осъществи връзка по SMTP. Общо взето при тази ситуация мисля, че трябва да можеш да пращаш поща, но не и да получаваш.
|
След направените промени в записите при Хостинг провайдера по препоръка на Наркос: ************************************ fakepc.net A 83.228.113.50 fakepc.net MX 10 mail.fakepc.net. *.fakepc.net A 83.228.113.50 *.fakepc.net MX 10 mail.fakepc.net. ns.fakepc.net. A 83.228.113.50
************************************ SOA record на DNS server
************************************ ; zone file for domain.net $TTL 2d ; zone TTL default = 2 days or 17280 seconds domain.net. IN SOA ns.domain.net. root.ns.domain.net( 2006101101 ; serial number 43200 ; refresh = 12 hours 7200 ; update retry = 2 hour 604800 ; expiry = 1 week 86400 ; minimum = 1 day ) IN NS ns.domain.net. IN MX 10 mail.domain.net.
ns IN A реалното IP domain.net. IN A реалното IP localhost.domain.net. IN A 127.0.0.1 mail.fakepc.net. IN A реалното IP
За пояснение: DNS=OS--> Slackware 10; BIND 9 MailServer=OS-->FreeBSD 6.1; Postfix; Courier; MySQL
|
|
|
8
|
Linux секция за начинаещи / Настройка на програми / Dns+mail server
|
-: Oct 12, 2006, 16:29
|
Цитат | Дай си правилата от iptables, ако не те притеснява. Кажи какъв пощенски сървър си инсталирал.
|
#!/bin/sh #RULES FOR FIREWALL & NAT
ifconfig eth0 up 83.228.113.50 ifconfig eth0 netmask 255.255.252.0 ifconfig eth1 up 192.168.110.1 ifconfig eth1 netmask 255.255.255.0
#NQKOLKO PROMENLIVI ZA PO-GOLQMA QSNOTA
IPT="/usr/sbin/iptables" IFACE_EXT=eth0 IFACE_INT=eth1 IP_EXT=83.228.113.50 IP_INT=192.168.110.1 NET_INT=192.168.110.0/24 SRV_ADR=192.168.110.2
echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#**************************************************************#
#START
echo -n "Loading FIREWALL !!!"
#ZAREJDAME MODULITE NA QDROTO
#IZHVURLQME STARITE PRAVILA, STARITE TEBLICI
$IPT --flush $IPT --delete-chain $IPT --flush -t nat $IPT --delete-chain -t nat
#ZADAVAME "DROP" KATO STANDARTNO POVEDENIE NA TRITE VGRADENI VERIGI
$IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP
#DAVAME SVOBODA NA I-FACE ZA OBRATNA VRUZKA
$IPT -I INPUT 1 -i lo -j ACCEPT $IPT -I OUTPUT 1 -o lo -j ACCEPT
#****************************************************************************************#
#PRAVILA PROTIV PODPRAVENI IP ADDRESSI VUV "INPUT" VERIGATA
$IPT -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 255.0.0.0/8 -j DROP
$IPT -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 0.0.0.0/8 -j DROP
$IPT -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 127.0.0.0/8 -j DROP
$IPT -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 10.0.0.0/8 -j DROP
$IPT -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 172.16.0.0/12 -j DROP
#Paket sus IP:192.168.0.0/16 idva ot internet na i-face eth0=83.228.113.50 $IPT -A INPUT -s 192.168.0.0/16 -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 192.168.0.0/16 -i $IFACE_EXT -j DROP #Paket razlichen ot tozi na vutreshnata mreja idva na vutreshen i-face eth1=192.168.110.1 $IPT -A INPUT -s ! $NET_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s ! $NET_INT -i $IFACE_INT -j DROP
#Paket sus IP:192.168.110.1 idva na i-face eth1=192.168.110.1 $IPT -A INPUT -s $IP_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s $IP_INT -i $IFACE_INT -j DROP
#Paket sus IP:83.228.113.50 idva na i-face eth0=83.228.113.50 $IPT -A INPUT -s $IP_EXT -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s $IP_EXT -i $IFACE_EXT -j DROP
#****************************************************************************************** *#
#PRAVILA PROTIV PODPRAVENI IP ADDRESSI VUV "FORWARD" VERIGATA
$IPT -A FORWARD -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 255.0.0.0/8 -j DROP
$IPT -A FORWARD -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 0.0.0.0/8 -j DROP
$IPT -A FORWARD -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 127.0.0.0/8 -j DROP
$IPT -A FORWARD -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 10.0.0.0/8 -j DROP
$IPT -A FORWARD -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 172.16.0.0/12 -j DROP
#Paket sus IP:192.168.0.0/16 idva ot internet na i-face eth0=83.228.113.50 $IPT -A FORWARD -s 192.168.0.0/16 -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s 192.168.0.0/16 -i $IFACE_EXT -j DROP #Paket razlichen ot tozi na vutreshnata mreja idva na vutreshen i-face eth1=192.168.110.1 $IPT -A FORWARD -s ! $NET_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s ! $NET_INT -i $IFACE_INT -j DROP
#Paket sus IP:192.168.110.1 idva na i-face eth1=192.168.110.1 $IPT -A FORWARD -s $IP_INT -i $IFACE_INT -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s $IP_INT -i $IFACE_INT -j DROP
#Paket sus IP:83.228.113.50 idva na i-face eth0=83.228.113.50 $IPT -A FORWARD -s $IP_EXT -i $IFACE_EXT -j LOG --log-prefix "Spoofed source IP!" $IPT -A FORWARD -s $IP_EXT -i $IFACE_EXT -j DROP
#****************************************************************************************** ***#
#INPUT POLICY
#Priema vhodqshtite paketi, koito sa chast ot veche odobreni sesii $IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#Vsichki sesii po TCP trqbva da zapochvat sus SYN flag $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt!" $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#Priema SSH sesii ot internet $IPT -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW
#Priema SSH sesii ot vutreshnata mreja $IPT -A INPUT -p tcp -s $NET_INT --dport 22 -m state --state NEW -j ACCEPT
#Priema zaqwki po DNS ot internet $IPT -A INPUT -p udp -j ACCEPT --dport 53 -m state --state NEW,RELATED
#Priema ICMP (ping) paketi ot Internet $IPT -A INPUT -p icmp -s 0/0 -j ACCEPT
#Priema ICMP (ping) paketi ot vutreshnata mreja $IPT -A INPUT -p icmp -s $NET_INT -j ACCEPT
#Zapisvame vsichko ostanalo v LOG $IPT -A INPUT -j LOG --log-prefix "DROPED BY DEFAULT (INPUT)" $IPT -A INPUT -j DROP
#****************************************************************************************** ****#
#OUTPUT POLICY
#Ako paketa e chast ot veche odobrena veriga go puskame navun. !!! Ako e nujno na mchinata koqto #igrae rolqta na ROUTER da ima INTERNET, togava v tozi red pred: ESTABLISHED,RELATED pishem NEW $IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Puskame ICMP ping $IPT -A OUTPUT -p icmp -j ACCEPT
#Pozvolqvame izhodqshti zaqvki po DNS, naprimer za opredelqne imenata na IP-addressi v dnevnicite $IPT -A OUTPUT -p udp --dport 53 -j ACCEPT
#Zapisvame v LOG vsichko ostanalo $IPT -A OUTPUT -j LOG --log-prefix "DROPED BY DEFAULT (OUTPUT)" $IPT -A OUTPUT -j DROP
#****************************************************************************************** *****#
#FORWARD POLICY
#Ako paketa e chast ot veche odobrena veriga go puskame navun $IPT -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Vsichki sesii po TCP treqbva da zapochvat sus SYN $IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt!" $IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
#Razreshaveme dostup do WEB-SERVER $IPT -A FORWARD -p tcp -d $SRV_ADR --dport 80 -m state --state NEW -j ACCEPT
#Razreshavame dostup do FTP_SERVER $IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 21 -m state --state NEW,RELATED -j ACCEPT
#Razreshavame izhodqshti zaqvki po DNS $IPT -A FORWARD -p udp -s $SRV_ADR -m state --state NEW,RELATED --dport 53 -j ACCEPT
#Razreshavame dostup do MAIL-SERVER po SMTP-25 $IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 25 -m state --state NEW,RELATED -j ACCEPT
#Razreshavame dostup do MAIL-SERVER po POP3-110 $IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 110 -m state --state NEW,RELATED -j ACCEPT
#Razreshaveme dostup do MAIL-SERVER po IMAP-143 $IPT -A FORWARD -p tcp -s 0/0 -d $SRV_ADR --dport 143 -m state --state NEW,RELATED -j ACCEPT
#Razreshaveme dostup ot vutreshnata mreja za kum Internet $IPT -A FORWARD -s $NET_INT -j ACCEPT
#Zapisvame v LOG vsichko ostanalo $IPT -A FORWARD -j LOG --log-prefix "DROPED BY DEFAULT (FORWARD)" $IPT -A FORWARD -j DROP
#****************************************************************************************** *****#
#NAT RULES
#***********************************POSTROUTING************************************#
#Prehvurlqne na vsichko ot vutreshnata mreja kum IP_EXT:83.228.113.50 $IPT -t nat -A POSTROUTING -o $IFACE_EXT -j SNAT --to-source $IP_EXT
#************************************PREROUTING************************************#
#Prehvurlqne na vsichki zaqvki na port 21(FTP-SERVER) kum vutreshno IP:192.168.110.2 $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 21 -j DNAT --to $SRV_ADR:21
#Prehvurlqne na vsichki zaqvki na port 25(SMTP-SERVER)kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 25 -j DNAT --to $SRV_ADR:25
#Prehvurlqne na vsichki zaqvki na port 80(WEB-SERVER)kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 80 -j DNAT --to $SRV_ADR:80
#Prehvurlqne na vsichki zaqvki na port 110(POP3-SERVER)kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 110 -j DNAT --to $SRV_ADR:110
#Prehvurlqne na vsichki zaqvki na port 143(IMAP-SERVER) kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -p tcp -d $IP_EXT --dport 143 -j DNAT --to $SRV_ADR:143
#****************************************************************************************** *****#
|
|
|
9
|
Linux секция за начинаещи / Настройка на програми / Dns+mail server
|
-: Oct 11, 2006, 16:37
|
Здравейте, реших да си направя личен майл сървър, но имам следния проблем при конфигурирането му: На една машина която е с реалено IP съм пуснал рутер и DNS, който е authority за моя домейн. Зад този компютър съм пуснал един майл сървър, който обаче е с частно IP. Предварително искам да кажа, че съм направил пренасочванията на майл портовете към вътрешната машина и пренасочването работи. проблема е, че когато направя обръщение към майл сървъра ми се казва, че не може да бъде намерен същия. От тук си правя заключението, че явно нещо с пренасочването в SOA записа не е наред. За по-голяма яснота прилагам записа от "hosting provider" и SOA record.
При hosting provider:
Адрес Тип на запис Стойност **************************************** domain.net А реалното IP domain.net MX 10 mail.domain.net. *.domain.net A реалното IP *.domain.net MX 10 mail.domain.net.
SOA record на моя DNS server
; zone file for domain.net $TTL 2d ; zone TTL default = 2 days or 17280 seconds domain.net. IN SOA ns.domain.net. root.ns.domain.net( 2006101101 ; serial number 43200 ; refresh = 12 hours 7200 ; update retry = 2 hour 604800 ; expiry = 1 week 86400 ; minimum = 1 day ) IN NS ns.domain.net. IN MX 10 mail.domain.net.
ns IN A реалното IP domain.net. IN A реалното IP localhost.domain.net. IN A 127.0.0.1 mail IN A реалното IP
В допълнение искам да кажа, че съм разрешил DNS server да бъде достъпен отвън за всеки(това го направих по препоръка на един познат, който ми каза, че така трябвало да бъде). Ами общо взето това е. Ако някой смята, че може да помогне, но все пак се нуждае от реалния домайн или пък от някоя друга конфигурация може да ми изпрати ЛС.
Благодаря предварително
|
|
|
11
|
Linux секция за начинаещи / Настройка на програми / Dns ?
|
-: Apr 27, 2006, 15:44
|
Искам да помоля ако някой знае как мога да огранича DNS Server да се ползва за recursive(cache) server от външни users, освен за потребителите от вътрешната мрежа, да го сподели. Проблема е, че същия сървър се ползва и за Authority за моята зона. За по-голяма яснота изпращам записа от named.conf :
controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; }; };
key "rndckey" { algorithm "hmac-md5"; secret "xxxxxxxxxxxxxxxxxxxxxxxxxx"; };
acl "trusted" { 192.168.110.0/24; //LAN mreja localhost; };
acl "bogon" { 0.0.0.0/8; 1.0.0.0/8; 2.0.0.0/8; 5.0.0.0/8; 7.0.0.0/8; 10.0.0.0/8; 23.0.0.0/8; 27.0.0.0/8; 31.0.0.0/8; 36.0.0.0/8; 37.0.0.0/8; 39.0.0.0/8; 42.0.0.0/8; 49.0.0.0/8; 50.0.0.0/8; 77.0.0.0/8; 78.0.0.0/8; 79.0.0.0/8; 92.0.0.0/8; 93.0.0.0/8; 94.0.0.0/8; 95.0.0.0/8; 96.0.0.0/8; 97.0.0.0/8; 98.0.0.0/8; 99.0.0.0/8; 100.0.0.0/8; 101.0.0.0/8; 102.0.0.0/8; 103.0.0.0/8; 104.0.0.0/8; 105.0.0.0/8; 106.0.0.0/8; 107.0.0.0/8; 108.0.0.0/8; 109.0.0.0/8; 110.0.0.0/8; 111.0.0.0/8; 112.0.0.0/8; 113.0.0.0/8; 114.0.0.0/8; 115.0.0.0/8; 116.0.0.0/8; 117.0.0.0/8; 118.0.0.0/8; 119.0.0.0/8; 120.0.0.0/8; 169.254.0.0/16; 172.16.0.0/12; 173.0.0.0/8; 174.0.0.0/8; 175.0.0.0/8; 176.0.0.0/8; 177.0.0.0/8; 178.0.0.0/8; 179.0.0.0/8; 180.0.0.0/8; 181.0.0.0/8; 182.0.0.0/8; 183.0.0.0/8; 184.0.0.0/8; 185.0.0.0/8; 186.0.0.0/8; 187.0.0.0/8; 192.0.2.0/24; 192.168.0.0/16; 197.0.0.0/8; 223.0.0.0/8; 224.0.0.0/3; };
options { directory "/conf"; pid-file "/var/run/named.pid"; statistics-file "/var/run/named.stats"; dump-file "/var/run/named.db"; version "[secured]"; query-source address * port 53; };
// AUTHORITY AND CACHE NAMESERVER
//DNS ROOT SERVERS zone "." IN { type hint; file "db.rootcache"; };
//RESOLUTION OF THE NAME "localhost" TO THE "loopback" zone "localhost" IN { type master; file "db.localhost"; notify no; };
//OBRATEN RESOLVING zone "0.0.127.in-addr.arpa" IN { type master; file "db.reversemap"; };
//MY DOMAIN ZONE zone "MYDOMAIN.COM" IN { type master; file "db.domain.com"; notify no; };
|
|
|
12
|
Linux секция за начинаещи / Настройка на програми / Dns-bind
|
-: Apr 07, 2006, 11:32
|
Здравейте, преди два дни си пуснах успешно BIND(в затвор) на рутера в къщи, и тъй като имам собствен домейн го подкарах да работи хам като Аuthority DNS и като Cache DNS. Понеже друг път не съм се занимавал с това искам да задам няколко въпроса, които са с общ характер, но в чиито отговори не съм много сигурен.
1. Удачно ли е един DNS да работи хем като Аuthority Server хем като Cache server? И ако да как мога да направя restriction друг да не може да го ползва за CACHE и същевременно да изпълнява коректно ролята на Аuthoritive за зоната.
2.Искам да направя отделен log file, който да бъде само за DNS server. Това може би трябва да го вкарама в named.conf, но дали log file трябва да бъде в затвора или е по-добре да е извън него.
Благодаря предварително
|
|
|
14
|
Linux секция за начинаещи / Настройка на програми / iptables
|
-: Jan 05, 2006, 21:07
|
Здравейте, наскоро се опитах да премодифицирам един скрипт с iptables правила така, че да отговаря на мойте изисквания. Проблема е че нещо не работи, преди да го постна бих искал да дам малко повече инфо. Имам Slackware 10.2--2.4.31, който го ползвам за рутер и има IP 83.228.X.X(това е за и-нета, а за към LAN 192.168.110.1). Зад него има машина със същите параметри(192.168.110.2), която ще се ползва за Web и FTP . Имам ping от вътрешната машина и към двата и-фейса на рутера, но след това няма никой. Молбата ми е ако на някой му се занимава да го погледне и ако има нещо което да му се струва нередно да го сподели(критиката ще бъде градивна). Благодаря предварително
Та ето го и скрипта:
#!/bin/bash #RULES FOR FIREWALL & NAT IPT="/usr/sbin/iptables"
echo "Loading aditional modules ..." /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter
echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
function flush() { echo "Flushing firewall ..." $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT $IPT -t mangle -P PREROUTING ACCEPT $IPT -t mangle -P OUTPUT ACCEPT
$IPT -F $IPT -t nat -F $IPT -t mangle -F
$IPT -X $IPT -t nat -X $IPT -t mangle -X }
case $1 in
start) echo "Starting firewall ..." flush #Zadavame "othvurlqne" kato standartno povedenie na trite vgradeni verigi
$IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP
#Davame pulna svoboda na interfacite za obratna vruzka
$IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT
echo "Executing FILTER table ..."
#Nqkolko osnovni pravila protiv podpraveni IP-addressi
$IPT -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 255.0.0.0/8 -j DROP
$IPT -A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 0.0.0.0/8 -j DROP
$IPT -A INPUT -s 127.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 127.0.0.0/8 -j DROP
$IPT -A INPUT -s 10.0.0.0/8 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 10.0.0.0/8 -j DROP
$IPT -A INPUT -s 172.16.0.0/12 -j LOG --log-prefix "Spoofed source IP!" $IPT -A INPUT -s 172.16.0.0/12 -j DROP
#$IPT -A INPUT -s 192.168.0.0/16 -j LOG --log-prefix "Spoofed source IP!" #$IPT -A INPUT -s 192.168.0.0/16 -j DROP
$IPT -A INPUT -s 83.228.X.X -j LOG --log-prefix "Spoofed by my own IP!" $IPT -A INPUT -s 83.228.X.X -j DROP
#Definirame pravilo, s koeto kazvame na "netfilter", che vsichki sessions po TCP, #zaduljitelno trqbva da zapochvat sus SYN (Vuzmojno scanirane ot strana na nqkoi lubopitko)
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attempt?" $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
echo "Processing INPUT chain ..."
#Priemame vhodqshti paketi, koito sa chast ot veche odobreni sessinos $IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#Priema vhodqshti paketi, koito startirat sessions po FTP $IPT -A INPUT -p tcp -j ACCEPT --dport 21 -m state --state NEW
#Priema vhodqshti paketi, koito startirat sessions po SSH $IPT -A INPUT -p tcp -j ACCEPT --dport 22 -m state --state NEW
#Priema vhodqshti paketi, koito startirat sessions po HTTP $IPT -A INPUT -p tcp -j ACCEPT --dport 80 -m state --state NEW
#Priema vsichko koeto idva ot vutreshnata mreja 192.168.110.0/24 Tuk mojebi e dobre da ima portove 1025-65355 $IPT -A INPUT -p all -s 192.168.110.0/24 -d 83.228.X.X -j ACCEPT
#Zapisvame vsichko ostanalo v LOG $IPT -A INPUT -j LOG --log-prefix "Dropped by default:"
echo "Processing OUTPUT chain ..."
#Ako paketa e chast ot veche odobrena vruzka go puskame navun $IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Pozvolqvame izhodqshti ICMP zaqvki- "ping" $IPT -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-reqest
#Pozvolqvame izhodqshti zaqvki po DNS "opredelqne na imena po IP address" $IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
#Zapisvame v LOG vsichko ostanalo $IPT -A OUTPUT -j LOG --log-prefix "Dropped by default:"
echo "Processing FORWARD chain ..."
$IPT -A FORWARD -p all -j ACCEPT
echo "Executing NAT table ..."
#PREROUTING #Prehvurlqne na vsichki zaqvki na port 21 kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.110.2:21
#Prehvurlqne na vsichki zaqvki na port 80 kum vutreshno IP 192.168.110.2 $IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.110.2:80
#POSTROUTING #Prehvurlqne na vsichko ot vutreshnata mreja kum 83.228.X.X IPT -t nat -A POSTROUTING -o eth0 -j SNAT –to--source 83.228.X.X ;;
stop) echo "Stoping firewall ..." flush ;;
nat) echo "Running firewall but only NAT table ..." flush ;;
*) echo "Usage: FIREWALL & NAT start|stop|nat" ;; esac
|
|
|
|