Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2008-11-24 15:49:58

  kilofmar - Nowy użytkownik

kilofmar
Nowy użytkownik
Zarejestrowany: 2008-11-24

Połączenie powracające

Mam taka sytuacje.


Schemat:
http://pierwszelozdwola.ksiezyc.pl/schemat.JPG

Na debianie stoi strona www, używam dyndns-a   "jakas-domena.ath.cx"
po wpisaniu adresu "jakas-domena.ath.cx" na komputerze w   sieci lokalnej np. 10.0.1.33 nie łączy mnie z debianem.
Wiem że można to rozwiązać za pomocą serwera DNS to zainstalowałem Binda i w pliku named.conf   dopisałem

Kod:

acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.152.34; };

ale nie pomogło

Oto mój  plik named.conf

Kod:

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind/README.Debian for information on the
// structure of BIND configuration files in Debian for BIND versions 8.2.1
// and later, *BEFORE* you customize this configuration file.
//

acl "moja_siec" { 127.0.0.1/8; 10.0.1.0/24;};
allow-query {"moja_siec";};
forwarders { 194.204.152.34; };






include "/etc/bind/named.conf.options";

// reduce log verbosity on issues outside our control
logging {
    category lame-servers { null; };
    category cname { null; };
};

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};





   
// add local zone definitions here
include "/etc/bind/named.conf.local";

Czy ktoś może mi pomóc?

Offline

 

#2  2008-11-24 21:14:34

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Połączenie powracające

a co pokazuje ping z sieci lokalnej tej domeny??

Offline

 

#3  2008-11-24 22:27:45

  kilofmar - Nowy użytkownik

kilofmar
Nowy użytkownik
Zarejestrowany: 2008-11-24

Re: Połączenie powracające

Już pokazuje

http://pierwszelozdwola.ksiezyc.pl/ping.JPG

Masz jakiś pomysł ?

Offline

 

#4  2008-11-24 22:34:55

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Połączenie powracające

a jak wpiszesz IP http://83.26.232.206 to działa ?? bo mi się wydaje ze coś masz z firewallem.

EDIT:
Widzę że korzystasz z neo :) może to jest problemem masz żle przekierowany adres. Ja mam pobną konfiguracje (mam nadzieję że już niedługo na DSL przejdę :) ) i mi działa. Mam podpięta domenę waryniak.pl pod waryniak.dyndns.org i działa mi super.

Ostatnio edytowany przez djjanek (2008-11-24 22:45:02)

Offline

 

#5  2008-11-25 08:16:53

  kilofmar - Nowy użytkownik

kilofmar
Nowy użytkownik
Zarejestrowany: 2008-11-24

Re: Połączenie powracające

No tez mi nie działa ale jak puszcze ping z debiana na ta domenę to działa

a oto mój firewall

Kod:

#!/bin/bash

. /etc/init.d/functions
. /etc/iptables/conf/firewall.conf

i=`which iptables`
EXTIF=`which eth0`

case "$1" in

    start)

 stat_busy " Uruchamianie regul Firewalla"

 # wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

stat_done

# Blaster i Saser
stat_busy " Blokada Blaster i Saser"
$i -A INPUT -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
$i -A FORWARD -p tcp --dst 0/0 -m multiport --dport 135,445 -j DROP
stat_done

   # Odrzucamy z komunikatem ICMP Port Unreachable polaczenia
    # na IDENT oraz SOCKS (czesto sprawdzane przez serwery IRC)
    # Jesli udostepniasz te uslugi zaplotkuj (#) odpowiedne linie
    $i -A INPUT -p tcp --dst 0/0 --dport 113  -j REJECT --reject-with icmp-port-unreachable
    $i -A INPUT -p tcp --dst 0/0 --dport 1080 -j REJECT --reject-with icmp-port-unreachable
                     
    # zaplotkuj jesli nie chcesz udostepniac serwisu  http do inetu
        $i -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
       $i -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
      
    
    # zaplotkuj jesli nie chcesz udostepniac serwisu  https do inetu
    $i -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT


    # zaplotkuj jesli nie chcesz udostepniac serwisu  ftp do inetu
       $i -A INPUT -p tcp -i eth0 --dport 20 -j ACCEPT
    $i -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT

    #zabespieczenie FTP-a przed skanowaniem zatrzymanie na 60s 
        modprobe ipt_recent ip_list_tot=32
    iptables -A INPUT -p tcp --dport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -m recent --name FTP --seconds 60 --update -j DROP
    iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/second --limit-burst 15 -m recent --name FTP --set -j ACCEPT
    iptables -A INPUT -p udp --dport 21 -j ACCEPT  

stat_busy " Porty na poczte"
    # zaplotkuj jesli nie chcesz udostepniac poczty do inetu
       $i -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT
    $i -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT
       $i -A INPUT -p tcp -i eth1 --dport 110 -j ACCEPT
    $i -A INPUT -p tcp -i eth1 --dport 25 -j ACCEPT
    
stat_done



  
    
    # zaplotkuj jesli nie chcesz udostepniac SSH do inetu
       #$i -A INPUT -p tcp -i eth0 --dport 222 -j ACCEPT
    #$i -A INPUT -p tcp -i eth1 --dport 222 -j ACCEPT
       #$i -A INPUT -p tcp -i eth0 --dport 4747 -j ACCEPT
    #$i -A INPUT -p tcp -i eth1 --dport 4747 -j ACCEPT
    $i -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
    $i -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT


    
    # zaplotkuj jesli nie chcesz udostepniac serwera IMAP do inetu
       $i -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT
    $i -A INPUT -p udp -i eth0 --dport 143 -j ACCEPT
    $i -A INPUT -p tcp -i eth0 --dport 995 -j ACCEPT
    $i -A INPUT -p udp -i eth0 --dport 995 -j ACCEPT
       
   
    
        # zaplotkuj jesli nie chcesz udostepniac serwera IMAPS do inetu
      $i -A INPUT -p tcp -i eth0 --dport 993 -j ACCEPT
    $i -A INPUT -p udp -i eth0 --dport 993 -j ACCEPT
   
##################################################################################
#### przekierowanie
stat_busy " Przekierowanie na komputer 10.0.1.130"
    iptables -t nat -A PREROUTING -p tcp -i eth0  -d 192.168.1.250 --dport 3389 -j DNAT --to-destination 10.0.1.130:3389
    iptables -t nat -A PREROUTING -p udp -i eth0  -d 192.168.1.250 --dport 3389 -j DNAT --to-destination 10.0.1.130:3389
    iptables -A FORWARD -i eth0 -o eth1 -d 10.0.1.130 -j ACCEPT

stat_done

#####################################################################################################3

stat_busy " Blokowanie p2p"
# Blokada programow p2p 
 iptables -t mangle -A FORWARD -p tcp -s 10.0.1.100 -m ipp2p --ipp2p -j DROP
 iptables -t mangle -A INPUT -p tcp -s 10.0.1.100 -m ipp2p --ipp2p -j DROP
 iptables -t mangle -A OUTPUT -p tcp -s 10.0.1.100 -m ipp2p --ipp2p -j DROP
 iptables -t mangle -A FORWARD -p tcp -s 10.0.1.99 -m ipp2p --ipp2p -j DROP
 iptables -t mangle -A INPUT -p tcp -s 10.0.1.99 -m ipp2p --ipp2p -j DROP
 iptables -t mangle -A OUTPUT -p tcp -s 10.0.1.99 -m ipp2p --ipp2p -j DROP
 
 stat_done

######################################################################################################3
stat_busy " Ustawienia do wi-fi od 7:00 do 17:00 "



$i -I FORWARD -s 10.0.1.60 -p tcp --dport 21 -j DROP
$i -I INPUT -s 10.0.1.60 -p tcp --dport 21 -j DROP
$i -I FORWARD -s 10.0.1.60 -p tcp --dport 22 -j DROP
$i -I INPUT -s 10.0.1.60 -p tcp --dport 22 -j DROP


iptables -t mangle -A FORWARD -s 10.0.1.60 -m ipp2p --ipp2p -j DROP
iptables -t mangle -A INPUT -s 10.0.1.60 -m ipp2p --ipp2p -j DROP
iptables -t mangle -A OUTPUT -s 10.0.1.60 -m ipp2p --ipp2p -j DROP

stat_done


###########################################################
# Blokowanie zbyt duzej ilosci polaczen TCP i P2P oraz limitowanie polaczeń P2P

     stat_busy " Ustawianie ograniczen ilosci polaczen..."
     #Najpierw zmieniamy parametry tablicy Conntrack i ustawiamy limit
    #echo 8192 > /proc/sys/net/ipv4/ip_conntrack_max
        echo 8192 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
        echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
        echo 50 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
        echo 5 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
        echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
        echo 7200 >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
        echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
        echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
        echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout

    IP=`ifconfig $INTIF1 | grep "inet addr" | tr ":" " " | awk '{print $3}'`
    PART_1=`echo $IP | cut -d "." -f1`
    PART_2=`echo $IP | cut -d "." -f2`
    PART_3=`echo $IP | cut -d "." -f3`
    PART_4=`echo $IP | cut -d "." -f4`
    PART_5=`echo $IP | cut -d "." -f4`
    IP_LAN=`echo $PART_1.$PART_2.$PART_3.0`


stat_done    
    

    $i -t filter -A FORWARD -m conntrack --ctstate INVALID -j DROP
    $i -t filter -A INPUT -m conntrack --ctstate INVALID -j DROP
    $i -t filter -A OUTPUT -m conntrack --ctstate INVALID -j DROP
                
   grep "^" /etc/hosts | grep -v "^#" |grep -v "^192.168.1.250" |grep -v "^127.0.0.1" |grep [0123456789] | while read IP NAZWA ; do
    $i -t filter -A FORWARD -s $IP -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 200 --connlimit-mask 32 -j DROP
    $i -t filter -A FORWARD -s $IP -p tcp -m connlimit --connlimit-above 170 --connlimit-mask 32 -m ipp2p --ipp2p -j DROP
done

    # Pozniej czyscimy wszystkie otwarte polaczenia TCP i UDP
    stat_busy " Czyszczenie otwartych polaczen..."
    grep "^" /etc/hosts | grep -v "^#"|grep [0123456789] | while read IP nazwa ; do
    grep -E "^tcp .{10,25}ESTABLISHED src=$IP " /proc/net/ip_conntrack | while read line ; do
        S_IP=`echo $line | awk '{print substr($5,5)}'`
            S_SOCK=`echo $line | awk '{print substr($7,7)}'`
            D_IP=`echo $line | awk '{print substr($6,5)}'`
            D_SOCK=`echo $line | awk '{print substr($8,7)}'`
            /usr/sbin/hping2 $D_IP -R -s $S_SOCK -p $D_SOCK -a $S_IP -k -c 1 >/dev/null 2>/dev/null &
    done
    done                    
    grep "^" /etc/hosts | grep -v "^#"|grep [0123456789] | while read IP nazwa ; do
    grep -E "^udp .{10,15}src=$IP " /proc/net/ip_conntrack | while read line ; do
        S_IP=`echo $line | awk '{print substr($5,5)}'`
            S_SOCK=`echo $line | awk '{print substr($7,7)}'`
            D_IP=`echo $line | awk '{print substr($6,5)}'`
            D_SOCK=`echo $line | awk '{print substr($8,7)}'`
            /usr/sbin/hping2 $D_IP -R -s $S_SOCK -p $D_SOCK -a $S_IP -k -c 1 >/dev/null 2>/dev/null &
        done
    done    
 


stat_done




   


#####################################################################################################
# Maskarada dla wybranych ip - IP jest brane z pliku /etc/hosts
# Plik powinien zawierac liste adresow IP ktore maja dostep do Internetu
   stat_busy ' Wlaczanie maskarady...'
    grep "^" /etc/hosts | grep -v "^#" |grep -v "^192.168.1.250" |grep -v "^127.0.0.1" |grep [0123456789] | while read IP nazwa ; do 
      iptables -A INPUT -i ! eth0 -s $IP -j ACCEPT 
        iptables -A FORWARD -i ! eth0 -s $IP -j ACCEPT 
      iptables -t nat -A POSTROUTING  -o eth0 -s $IP -j MASQUERADE 
         
    done
stat_done



##################################################################333

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED





#####################################################################################################

### internet dla wsztkich 
#iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -j MASQUERADE
#iptables -A FORWARD -s 10.0.1.0/24 -j ACCEPT
##########################################################






##################################################################################





;;

stop)
 stat_busy "Zatrzymywanie reguł Firewalla"

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT 

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
echo 1 > /proc/sys/net/ipv4/ip_forward
stat_done
;;

restart)
$0 stop
sleep 1
$0 start

;;

*)
echo "uzyj: $0 {start|stop|restart}"
esac
exit 0

Offline

 

#6  2008-11-25 12:35:15

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: Połączenie powracające

Nie za bardzo się łapie w tym co masz napiane wiem że jęsli z hosta chcesz mieć przekierowanie to musisz miec takie regułki:

Kod:

iptables -t nat -A POSTROUTING -p tcp -s IP_KOMPUTERA  -o INTERFEJS_WAN -j SNAT --to-source IP_WAN
iptables -A FORWARD -p tcp -s IP_KOMPUTERA  -m state --state NEW -i  -j INTERFEJS_LAN ACCEPT 

iptables -t nat -I POSTROUTING -p udp -s IP_KOMPUTERA -o INTERFEJS_WAN -j SNAT --to-source IP_WAN
iptables -I FORWARD -p udp -s IP_KOMPUTERA -m state --state NEW -i INTERFEJS_LAN -j ACCEPT

Offline

 

#7  2008-11-25 20:54:57

  mariaczi - Użytkownik

mariaczi
Użytkownik
Zarejestrowany: 2007-10-02

Re: Połączenie powracające

Wg powyzszego postu mozesz krocej, nie podawaj parametru "-p" - bedziesz mial 2 regolki zamiast 4.

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)