Muff's website forum

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

SMF - Just Installed!

Страницы: 1 ... 8 9 [10]
 91 
 : Февраля 14, 2013, 12:08:36 pm 
Автор Goffanon - Последний ответ от muff
Настройте зебру из пакета quagga и не выносите себе мозг.
http://muff.kiev.ua/content/quagga-prevrashchenie-servera-v-polnofunktsionalnyi-marshrutizator#zebra

 92 
 : Февраля 14, 2013, 07:34:48 am 
Автор Goffanon - Последний ответ от Goffanon
:) Все разобрался.
Я дуб :)
Если конкретнее, то стояли семерки в сетях, и в настройках было запрещено сетевое обозрение. Так что проблема была в конечных точках.
Сегодня для чистоты эксперимента подключил две ВинХП. Полет нормальный. Все отлично.

Однако всплыла другая проблема, статический маршрут.
Если прописываю руками маршруты все отлично, а если добавляю в rc.conf то маршрут не появляется.

В rc.conf прописал такие строки:
BSD1
static_routes="lan2"
route_lan2="-net 192.168.1.0/24 192.168.2.20"

BSD2
static_routes="lan1"
route_lan1="-net 192.168.0.0/24 192.168.2.10"

Почему автоматически маршруты не прописываются пока не могу понять, ковыряюсь дальше.

 93 
 : Февраля 13, 2013, 06:01:17 pm 
Автор Goffanon - Последний ответ от muff
Разница, где "слушать" - есть. Нужно найти, где "затык".
Поэтому запускаем с клиента, например с 192.168.0.33 (с ключем -t, если это виндовая машина), пинг на 192.168.1.33 и слушаем по ходу прохождения пакета:

1. BSD1 - Внутренний интерфейс
2. BSD1 - Туннель
3. BSD2 - Туннель
4. BSD2 - Внутренний интерфейс

Чтобы отфильтровать трафик, tcpdump желательно запускать с ключем "proto ICMP".

 94 
 : Февраля 13, 2013, 05:41:12 pm 
Автор Goffanon - Последний ответ от Goffanon
Да вот настройки в сетях:

Для сети 192.168.0.0/24 маршрутизатор 192.168.0.250 (шлюз, Днс кеширующий, все тут висит)
Для сети 192.168.1.0/24 маршрутизатор 192.168.1.250 (шлюз, Днс кеширующий)

Адреса внутренних интерфейсов с серверов в обе стороны пингуются, т.е. с BSD1 пингую внутренний адрес BSD2 и наоборот...

""Послушайте" tcpdump-ом трафик, как он ходит." завтра проверю, разницы нет на каком сервере слушать?

 95 
 : Февраля 13, 2013, 03:57:56 pm 
Автор Goffanon - Последний ответ от muff
Так понимаю, для сети 192.168.1.0/24 шлюзом на всех машинах указан 192.168.1.250, а для 192.168.0.0/24 192.168.0.250 соответственно? Тогда по сути все верно, должно работать.

"Послушайте" tcpdump-ом трафик, как он ходит.

 96 
 : Февраля 13, 2013, 03:10:38 pm 
Автор Goffanon - Последний ответ от Goffanon
Добрый вечер.
Настроил туннель посредством OpenVPN (статья http://muff.kiev.ua/content/openvpn-postroenie-tunelya)

Возникла проблема маршрутизации.
данные BSD1
Внешний IP vr0 параметры значения не имеют
Внутренняя виртуальная точка туннеля 192.168.2.10
Внутренний интерфейс fx0 192.168.0.250

данные BSD2
Внешний IP vr0 параметры значения не имеют
Внутренняя виртуальная точка туннеля 192.168.2.20
Внутренний интерфейс fx0 192.168.1.250

Точки туннеля пингуются обе с обоих машин.
Фаерволл стоит открытый, НАТ на внешних интерфейсах висит.

Прописываю маршруты так:

На BSD1
route add -net 192.168.1.0/24 192.168.2.20

На BSD2
route add -net 192.168.0.0/24 192.168.2.10

с BSD1 пингую внутренний адрес BSD2 192.168.1.250
с BSD2 пингую внутренний адрес BSD1 192.168.0.250

А вот компьютеры в сетях 192.168.0.0 и 192.168.1.0 не пингуются :(

ЗЫ может я полный дуб, но не пойму в чем проблема.

 97 
 : Февраля 01, 2013, 07:01:53 am 
Автор gudvin2 - Последний ответ от Maksimus
Разобрался с этим чудом Французского свичестроения Кому надо помощь - пишите письма 8)


привет, можете помочь по данному коммутатору!?

 98 
 : Декабря 21, 2012, 04:31:51 pm 
Автор BaRRagA - Последний ответ от muff
Как вариант, можно на внутреннем интерфейсе разрешить коннекты на определенные порты, а весь остальной, входящий в интерфейс трафик - запретить.

 99 
 : Декабря 21, 2012, 02:04:09 pm 
Автор BaRRagA - Последний ответ от BaRRagA
День добрый, уважаемый muff ! И всем кто сюда заглянет!
Возник следующий вопрос - фаерволл и ядерный нат настроен, всё работает. Конфиг вышел следующий:
#!/bin/sh
ipfw -f flush
cmd="/sbin/ipfw add"
host="82.207.116.2"
pif="ng0"

#Allow localnet
$cmd allow all from any to any via nfe0

$cmd check-state

$cmd allow ip from any to any via lo0
$cmd deny ip from any to 127.0.0.0/8
$cmd deny ip from 127.0.0.0/8 to any

#Bruteblock
$cmd deny ip from me to table\(50\)
$cmd deny ip from table\(50\) to me

###Стучимся напрямую к серверу
#mail
$cmd allow all from any to $host 25

#RDP(проброс redir), ssh
$cmd allow all from any to $host 45000,22

#ICMP
ipfw add allow icmp from any to me icmptypes 3,8,12 in recv $pif

#Прозрачный прокси
$cmd fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via ng0
#Конфиг ната
ipfw nat 1 config log ip $host same_ports deny_in redirect_port tcp 192.168.0.153:40001 40001
$cmd nat 1 ip from any to any via ng0
$cmd deny ip from any to any

При таком раскладе всё работает, со входящими соединениями на шлюз тоже всё ок, т.к. стоит параметр deny_in в конфиге ната, который рубит неинициированные изнутри соединения. НО получается из локали всем доступны все сервисы инета, включая те же торренты(пусть только на закачку), что есть не очень гут... Во всех мануалах, что есть в инете, представлен именно такой случай.
Подскажите, как правильно допилить конфиг до состояния "Запрещено всё, что не разрешено"? Т.е. разрешить всем к примеру icmp,dns - запросы; ICQ, Skype, ftp, google play и естественно http и https через прозрачный прокси. Остальное прикрыть.

 100 
 : Декабря 18, 2012, 04:51:43 pm 
Автор BaRRagA - Последний ответ от BaRRagA
Видимо, удар об стену помог :)))
Дело в том что всё это дело происходило на РЕЗЕРВНОМ шлюзе.
Соответственно на сервере терминалов 192.168.0.49 шлюзом по умолчанию стоит IP основного шлюза.
Как только поменял на 192.168.0.209 всё стало чудно пробрасывать.

В общем, на основном сделаю проброс через kernel nat, на резервном - через rinetd(или redir) и буду спать спокойно.

muff спасибо тебе огромное за участие и ответы!!!!!

Страницы: 1 ... 8 9 [10]

Страница сгенерирована за 0.291 секунд. Запросов: 20.