Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.

241

Маршрутизация / Re:RFC backresolv

« : Января 22, 2011, 01:33:06 am »

Рекомендация - это только совет. А не четкая предпосылка.
Проверено. Даже если зоны in-addr.arpa не прописаны ни для одной сети, эти сети все равно будут маршрутизироваться.

242

Маршрутизация / Re:RFC backresolv

« : Января 21, 2011, 05:57:00 pm »

Нет, именно для маршрутизации back-resolv не нужен.
Он необходим только уже для конечных сервисов. Некоторые сервисы (тот же SMTP) требуют корректной настройки записей PTR.

243

Soft / Re:Cacti

« : Января 21, 2011, 05:46:03 pm »

А дай, плз, такие выводы:

Код: [Выделить]

# php -v

Код: [Выделить]

# pkg_info | grep php

Код: [Выделить]

# php /usr/local/share/cacti/poller.php

244

Система / Re:Настройка ipfw nat

« : Января 21, 2011, 01:15:33 pm »

Я в rc.firewall создаю свой блок и запускаю его. При запуске файрвола указываю, какой именно блок правил необходимо выполнить.

245

Система / Re:Настройка ipfw nat

« : Января 20, 2011, 06:53:03 pm »

Я так понял, что необходимо дать доступ в Интернет внутренней сети 192.168.1.0/24 и разрешить этой сети доступ на порты 22, 80 и 53. Ядро собрано с поддержкой IPFW (необходимые опции я перечислил в предыдущем посте).
От этого задания и будем отталкиваться.

Небольшое лирическое отступление...
SSH работает на порту 22 по протоколу TCP. Web работает на 80 порту и тоже по TCP. А вот с ДНС не все так просто... Клиентские запросы "бегают" по UDP, порт 53. А по TCP выполняется только трансфер зон между серверами. Кстати, в выводе netstat указано, что открыты только порты TCP, что меня немного смущает. В моем случае, при работающем DNS-сервере вывод netstat получается такой:

Код: [Выделить]

# netstat -an | grep 53
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 172.20.0.1.53          *.*                    LISTEN
tcp4       0      0 10.200.0.1.53          *.*                    LISTEN
tcp4       0      0 195.3.158.206.53       *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
udp4       0      0 172.20.0.1.53          *.*
udp4       0      0 10.200.0.1.53          *.*
udp4       0      0 195.3.158.206.53       *.*
udp4       0      0 127.0.0.1.53           *.*

Для превращения сервера в роутер, необходимо разрешить пересылку пакетов между сетевыми интерфейсами. Для этого необходимо наличие в rc.conf такой строки:

Код: [Выделить]

gateway_enable="YES"
Разрешить пересылку пакетов "на ходу", не перезагружая сервер можно через параметр sysctl:

Код: [Выделить]

sysctl net.inet.ip.forwarding=1
Вернемся к файрволу...
Исходя из задания, в rc.firewall вставим такой блок (простенький файрвол, который клиентской сети и роутеру разрешает сетевой обмен без ограничений, и накладывает ограничения на доступ к роутеру):

Код: [Выделить]

[Rr][Oo][Uu][Tt][Ee][Rr])

net="192.168.1.0/24"

# Allow me
${fwcmd} add pass udp from me to any 53 keep-state
${fwcmd} add pass all from me to any

# Allow ICMP to me
${fwcmd} add pass icmp from any to me icmptypes 0,3,8,11

# Allow incoming setup
${fwcmd} add pass tcp from ${net} to me 22 setup
${fwcmd} add pass tcp from ${net} to me 80 setup

# Allow DNS
${fwcmd} add pass udp from ${net} to me 53

# Allow established TCP
${fwcmd} add pass all from any to me established

# Allow internal network
${fwcmd} add pass all from ${net} to not me
${fwcmd} add pass all from not me to ${net}

# Deny all to me
${fwcmd} add deny all from any to me

Вроде с правилами нигде не оплошал (не проверял именно эту конфигурацию на тестовой машине). По идее должно все работать...

Далее настраиваем НАТ по этой статье (PF): http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf.

Применяем все правила файрвола, описанные в блоке "ROUTER":

Код: [Выделить]

# sh /etc/rc.firewall ROUTER
Если файрвол работает нормально, применяем правила при загрузке системі, добавляя следующий блок в rc.conf:

Код: [Выделить]

# Firewall
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="ROUTER"


Теперь комментарии по предыдущему посту...
Так понимаю, была попытка запустить natd... Так вот, выиграш IPFW NAT в том, что он работает только на ресурсах ядра, без запуска natd. Так что о natd советую пока забыть.

По вопросам:
Что необходи поставить rc.conf для ipfw + nat ?
По поводу IPFW уже отписался выше. Если НАТить будете (для начала) с помощью PF, то в статье все описано. Если НАТ-ить хотите с помощью ядерного НАТ-а, то необходимо просто добавить необходимые правила в rc.firewall.

Почему когда я ставлю в свой файл firewall,ipfw вперед он жалуеться и зависает ?
А вот здесь я мало что понял, в основном только догадки... Если у вас отдельный файл с правилами файрвола, то советую вначале файла вставить такой блок:

Код: [Выделить]

#!/bin/sh
setup_loopback () {

        ${fwcmd} add 5 pass all from any to any via lo0
        ${fwcmd} add 5 deny all from any to 127.0.0.0/8
        ${fwcmd} add 5 deny ip from 127.0.0.0/8 to any
}

fwcmd="/sbin/ipfw -q"

А потом уже все свои правила начинать с ${fwcmd}. Например:

Код: [Выделить]

${fwcmd} add 15 deny all from "table(5)" to any
Что не хватает правилу чтоб открыть 53 порт? 22 и 80 работают нормально с этими правилами
По ходу я вначале описал разницу. По 53 порту у тебя будет бегать только UDP трафик. Вряд ли, что у тя будет выполняться трансфер зон.

246

Система / Re:Настройка ipfw nat

« : Января 20, 2011, 02:16:27 pm »

Немножко запутан вопрос....
Так и не понял в чем суть. Толи НАТ, толи файрвол... Итак, по очереди:

Поддержка IPFIREWALL и IPFIREWALL_NAT
Если включить в /boot/loader.conf строку firewall_nat_enable="YES", то НАТ действительно не работает... Модуль не подгружается, необходимо вручную его подгружать. Почему так - не очень заморачивался, поскольку всегда файрвол и его опции компилирую в ядро.

На всякий случай, перечислю опции, которые добавляю в конфиг ядра (те, которые касаются IPFW):

Код: [Выделить]

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         LIBALIAS
options         DUMMYNET

Правила firewall
Я так понимаю, что ты хочешь настроить IPFW в режиме STATEFUL FIREWALL.
Советую изменить блок локальный трафик на такие правила (взято из дефолтного rc.firewall):

Код: [Выделить]

# локальный трафик
        ipfw add 100 pass all from any to any via lo0
        ipfw add 110 deny all from any to 127.0.0.0/8
        ipfw add 120 deny ip from 127.0.0.0/8 to any
После этого блока добавь разрешающее правило для keep-state состояний:

Код: [Выделить]

# Разрешаем keep-state
ipfw add check-state

Ну, и еще одно замечание. Так понимаю, ты будешь использовать ядерный НАТ. А вот правил в НАТ-а файрволе я не вижу...

247

Почта / Re:Exim не посылает письма на gmail

« : Января 18, 2011, 01:05:40 pm »

Покажи, что у тебя в очереди:

Код: [Выделить]

mailq
Очисти ее (используя команды http://muff.kiev.ua/content/exim-nekotorye-poleznye-komandy).

Отправь новое письмо, отследи его ID и сделай выборку лога по этому ID.
Например:

Код: [Выделить]

# tail -f /var/log/maillog | grep 1PdoNs-0000m2-Hгде 1PdoNs-0000m2-H - ID письма.

248

Почта / Re:Exim не посылает письма на gmail

« : Января 15, 2011, 12:14:28 am »

Я не знаю что это за провайдер... Если какая-то домашняя сеть, то конечно, 25 порт может быть зафильтрован у вышестоящего провайдера.

Кстати, не обязательно на файрволе маршрутизатора резать. Можно, например, на коммутаторах создать подобный ACL (если функционал коммутатора поддерживает)...

Напрягай техподдержку прова, пусть проверяют более детально. Посоветуй им запустить сниффер и пускай проверяют, проходят ли твои запросы по 25 порту через из оборудование к вышестоящему провайдеру...

249

Почта / Re:Exim не посылает письма на gmail

« : Января 14, 2011, 11:15:10 pm »

Если 25 порт открыт, то telnet на 25 порт должен проходить:

Код: [Выделить]

# telnet muff.kiev.ua 25
Trying 195.3.159.250...
Connected to muff.kiev.ua.
Escape character is '^]'.
220 muff.kiev.ua ESMTP
quit
221 2.0.0 Bye
Connection closed by foreign host.
У тебя же соединение обрывается по тайм-ауту.
Однозначно зафильтровано. Проверь на всякий случай свой файрвол. Чем черт не шутит...

250

Почта / Re:Exim не посылает письма на gmail

« : Января 14, 2011, 06:23:18 pm »

Не забывай, что фильтра могут быть установлены только в одну сторону.
Тоесть в твоем случае зафильтрованы исходящие соединения по 25 порту. Что вполне логично. Очень много вирусов, которые на виндовых машинах подымают почтовик и начинают рассылку спами. Так что многие провы по дефолту блокируют именно исходящие соединения по 25 порту от пользователей.

251

Почта / Re:Exim не посылает письма на gmail

« : Января 14, 2011, 03:04:14 pm »

Обычно все наоборот... Сначала выполняется проверка, открыт ли 25 порт, а потом выполняется настройка почтового сервера.

Но, все таки, главное - это результат. Надеюсь что теперь у вас все заработало...

252

Почта / Re:Exim не посылает письма на gmail

« : Января 14, 2011, 03:51:32 am »

Уточнить можно только у технической поддержки провайдера...

253

Почта / Re:Exim не посылает письма на gmail

« : Января 13, 2011, 10:36:34 pm »

Да, конечно... Зафильтрован 25 порт.

Можно поинтересоваться, кто провайдер? Знаю многих, которые 25 порт по дефолту лочат, и открывают только на запрос пользователя.

254

Почта / Re:Exim не посылает письма на gmail

« : Января 13, 2011, 06:59:03 pm »

Проверь доступность 25 порта на следующие хосты (попробуем вычислить закономерность):

mxs.ukr.net
mxs.mail.ru
google.com.s9a1.psmtp.com
smtp.sayamatravel.com
mx3.i.ua
aspmx.l.google.com

Не спеши прерывать соединение. На некоторых хостах стоит задержка на посылку ответа.

255

Почта / Re:Exim не посылает письма на gmail

« : Января 13, 2011, 04:01:34 pm »

Проверь, не зафильтрован ли провайдером 25 порт (или даже у тебя - проверь правила файрвола).

Проверить можно, попытавшись подключиться на 25 порт к моему серверу. Привожу два варианта.

25 порт открыт:

Код: [Выделить]

# telnet muff.kiev.ua 25
Trying 195.3.159.250...
Connected to muff.kiev.ua.
Escape character is '^]'.
220 muff.kiev.ua ESMTP
quit
221 2.0.0 Bye
Connection closed by foreign host.

25 порт закрыт:

Код: [Выделить]

# telnet muff.kiev.ua 25
Trying 195.3.159.250...
telnet: connect to address 195.3.159.250: Operation timed out
telnet: Unable to connect to remote host