Linux за българи: Форуми

Здравейте, машина с линукс (centos) зад рутер с нагласен fail2ban, който обаче не функционира правилно, понеже да кажем, че всички външни конекции към сървъра през рутера са с външното ип на рутера ... ? Това  трябва да е проблем или опция на самия рутер ли ?

In computer networking, port forwarding or port mapping is an application of network address translation (NAT) that redirects a communication request from one address and port number combination to another while the packets are traversing a network gateway, such as a router or firewall. This technique is most commonly used to make services on a host residing on a protected or masqueraded (internal) network available to hosts on the opposite side of the gateway (external network), by remapping the destination IP address and port number of the communication to an internal host.[1][2]

Цитат на първите 5 реда от wikipedia за port forwarding. Това е същността на процеса, затова не виждаш source IP-тата, а IP-то на гейта.

Някои рутери имат "DMZ", виждал съм го и при някои ADSL модеми. Не съм сигурен, но това може да е опцията, която да ти свърши работа, обаче рутера няма да ти раздава интернета на другите клиенти в мрежата, ще трябва да го прави линукса. (Това не е проверено, не съм сигурен дали ще сработи). Знам само, че целия трафик се изсипва към IP-то, което е зададено в тази настройка.

Здравейте, машина с линукс (centos) зад рутер с нагласен fail2ban, който обаче не функционира правилно, понеже да кажем, че всички външни конекции към сървъра през рутера са с външното ип на рутера ... ? Това  трябва да е проблем или опция на самия рутер ли ?

Айде да се опиташ да дадеш повече информация :) Като например какъв сървис даваш с тази машина? После пусни настройките на фаил2бан-а. И после дай някаква идея каква е крайната цел???

Той е дал сякаш достатъчно инфо. Не му работи фейл2бан, защото входящия му трафик влиза от ИП-то на рутера и не вижда сорс ИП-тата на хората, които ползват сървъра му.

Тоя рутер не може ли нещо като bridge да се пусне. Ако такова нещо е възможно изобщо  ???

Той е дал сякаш достатъчно инфо. Не му работи фейл2бан, защото входящия му трафик влиза от ИП-то на рутера и не вижда сорс ИП-тата на хората, които ползват сървъра му.

Това е ясно на пръв поглед. Но ако даде повече информация за цялата система - ще може да се даде идея. Например ако рутера му е линукс базиран или може да бъде доведен до (например openwrt/ddwrt/tomato) нещата могат да бъдат решени по един начин, а ако не е - по друг. Но без да се знае главната идея на задачата - нищо не може да се направи.

И все пак - ако смятате, че имате достатъчно свободно време и желание да се опитвате да отгатнете желанията и целите на питащите - успех. На моята кристална топка ЦПУ-то вече е твърде старо за това....

Ами хоствам си сайтовете на CentOS 6.6 с VestaCP, от която мнгоо съм доволен и като цяло е много добре измислена. fail2ban-а е автоматично конфигуриран не само за ssh-a но и за login опитите при самия панел и phpmyadmin-a. ДА знам, че мога да си направя така, че само 1,2,3,4,55 ип та да имат достъп до тези отворени портове, но винаги може да се очаква да влезна от друго ип и предпочитам функциолността на fail2ban-а.

Проблема е, че този сървър е зад рутер на БТК и всички входящи конекции идват от 1 ип а именно външното на рутера.

А доколкото в сегашната ми квартира, съквартиранта си е нагласил ТП-Линк-а някак си така, че да forwardwa реалните ип та на хостовете които се връзват.

Предполагам а и не само а направо: има голяма разлика между лан рутер на тп-линк и адсл рутер на бтк, просто ми кажете, че не може да стане и спрете да дъвчите и разтягате локуми, да критикувате и да се правите на умни.

Просто ако наистина знаете нещо по въпроса и сте сигурни - тогава пишете. Нямам нужда от излишен спам, с офтопици, да обсъждате това как съм си направил сървъра, ами що така , ама що онова, това е глупаво, онова няма смисъл - писна ми от подобни коментари тука. Защото понеже като не можете да отговорите на нещо и почвате да разтягате локуми напразно, колкото да не е без хич.

От коментари по това какво съм избрал какви са ми условията - нямам нужда. Мисля, че съм си по-наясно от всеки вас, че положението ми е тегаво, няма нужда да ми го натяквате.

Ами хоствам си сайтовете на CentOS 6.6 с VestaCP, от която мнгоо съм доволен и като цяло е много добре измислена. fail2ban-а е автоматично конфигуриран не само за ssh-a но и за login опитите при самия панел и phpmyadmin-a. ДА знам, че мога да си направя така, че само 1,2,3,4,55 ип та да имат достъп до тези отворени портове, но винаги може да се очаква да влезна от друго ип и предпочитам функциолността на fail2ban-а.

Проблема е, че този сървър е зад рутер на БТК и всички входящи конекции идват от 1 ип а именно външното на рутера.

А доколкото в сегашната ми квартира, съквартиранта си е нагласил ТП-Линк-а някак си така, че да forwardwa реалните ип та на хостовете които се връзват.

Предполагам а и не само а направо: има голяма разлика между лан рутер на тп-линк и адсл рутер на бтк, просто ми кажете, че не може да стане и спрете да дъвчите и разтягате локуми, да критикувате и да се правите на умни.

Просто ако наистина знаете нещо по въпроса и сте сигурни - тогава пишете. Нямам нужда от излишен спам, с офтопици, да обсъждате това как съм си направил сървъра, ами що така , ама що онова, това е глупаво, онова няма смисъл - писна ми от подобни коментари тука. Защото понеже като не можете да отговорите на нещо и почвате да разтягате локуми напразно, колкото да не е без хич.

От коментари по това какво съм избрал какви са ми условията - нямам нужда. Мисля, че съм си по-наясно от всеки вас, че положението ми е тегаво, няма нужда да ми го натяквате.

Били,
явно дългата почивка не ти се е отразила релаксиращо.... Що се ръбиш на хората дето се опитват да ти помогнат?
По темата: NAT означава Network Address Translation - демек презаписване на мрежовите адреси. Т.е. където играе NAT - няма как да видиш реалното ип (освен ако не е записано в x-forwarded-for HTTP хедъра, ама това е съвсем друг случай и е валидно само за уеб). Та имаш две решения - едното да смениш доставчика и да получиш реалното ИП на машината (в частен случай да направиш адсл-модема бридж) или да си измислиш друга схема на защита. Хинт: port-knock.

Успех :)

Това звучи като неправилно forward-нати портове на рутера. Най-лесно ще е да пуснеш DMZ-то на рутера /ако рутера поддържа/, като сетнеш ip-то на линукс машината.

е паролите на бтк ги има в интернет за модемите влизаш и си настройваш рутера може и да е пусната защитната стена на модема  ;D по скоро рутер с  пишеш в гоогле бтк пароли адсл и си готов оттам нататък можеш да си го настроиш както ти е кеф и да забраниш достъпа на бтк до модема за да не го бъзикат  :o