The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Опять про ipchains"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 14-Авг-03, 11:06  (MSK)
Slackware 9.0, ядро 2.4.20.
1. Не найду в menuconfig при компиляции ядра IP Firewall Chains или что-то подбное.
2.Есть обычная сетка и ppp0 через который гоняется Инет. DNS у провайдера. На работающем мосте (я новый хочу поставить) есть только такие строки
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i ppp0 -j MASQ
/sbin/insmod ip_masq_ftp

естественно на новом ядре такое не проходит
на первые две строки он пишет Protocol not available
ну а последнего модуля у меня нет. Помогите плз

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Опять про ipchains"
Сообщение от shaman Искать по авторуВ закладки on 14-Авг-03, 11:13  (MSK)
>Slackware 9.0, ядро 2.4.20.
>1. Не найду в menuconfig при компиляции ядра IP Firewall Chains или
>что-то подбное.
>2.Есть обычная сетка и ppp0 через который гоняется Инет. DNS у провайдера.
>На работающем мосте (я новый хочу поставить) есть только такие строки
>
>/sbin/ipchains -P forward DENY
>/sbin/ipchains -A forward -i ppp0 -j MASQ
>/sbin/insmod ip_masq_ftp
>
>естественно на новом ядре такое не проходит
>на первые две строки он пишет Protocol not available
>ну а последнего модуля у меня нет. Помогите плз

В ядрах 2.4 программа файрволла называется iptables. Включай в ядре поддержку, ставь iptables, а формат у них примерно одинаковый, так что правила почти не изменятся.
Да, и не забудь включить в ядре модуль ip_masq_ftp

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 18-Авг-03, 11:48  (MSK)
to shaman
  Спасибо большое за совет. Почитал про iptables... в принципе понятно, заработал на ура, НО DHCP не хочет работать ни в какую.

dhcp.conf (все так же как и на работающем роутере)

subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.254;
option subnet-mask 255.255.255.0;
option domain-name "R6-lo0.samtel.ru";
option domain-name-servers 62.213.0.12;
range 192.168.0.1 192.168.0.30;
default-lease-time 360000;
max-lease-time 720000;
}

Особенность лишь в том что DNS находится у провайдера и все локальные имена логятся там.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 18-Авг-03, 12:02  (MSK)
А что именно DHCP не нравится?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 18-Авг-03, 13:12  (MSK)
>А что именно DHCP не нравится?

Клиенты (WinXP) не регистрируются в сети у них какой то странный IP типа 162.196.234.52 и маска подсети 255.255.0.0 и пишет автоматический чего-то там адрес (не помню точно,а чтоб посмотреть надо опять все перевтикивать).
Сам dhcpd при загрузке не ругается.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 18-Авг-03, 14:06  (MSK)
Может, файерволлом давится? Проверь настройки - UDP, port 67 отвечает за DHCP.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 11:16  (MSK)
>Может, файерволлом давится? Проверь настройки - UDP, port 67 отвечает за DHCP.
>

у меня как раз возник вопрос... DHCP пакеты должны уходить к провайдеру (если у него DNS) или нет

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Опять про ipchains"
Сообщение от Mikhail Искать по авторуВ закладки on 19-Авг-03, 11:30  (MSK)
Нет, давайте все-таки - мухи и котлеты отдельно... dns и dhcp - разные службы.
Про DHCP популярно -
http://www.citforum.ru/nets/tcp/dhcp.shtml
Там же можно и про днс почитать.
>у них какой то странный IP типа 162.196.234.52
Проверь настройки wins/dns, физическое подключение etc.
Протестируй утилитой ipconfig (/renew, /release)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 12:26  (MSK)
>Нет, давайте все-таки - мухи и котлеты отдельно... dns и dhcp -
>разные службы.
>Про DHCP популярно -
>http://www.citforum.ru/nets/tcp/dhcp.shtml
>Там же можно и про днс почитать.
>>у них какой то странный IP типа 162.196.234.52
>Проверь настройки wins/dns, физическое подключение etc.
>Протестируй утилитой ipconfig (/renew, /release)


значит как я себе это представляю:
клиент выдает broadcast request на получение IP, сервер его получает и после подтверждения наличия свободного IP выдает клиенту IP с остальными необходимыми параметрами. Вроде бы кроме внутри-локальных сообщений между сервером и клиентом ничего нет. Но потом возникает вопрос КАК регистрируется имя клиента т.е. от кого и по какому порту приходит запрос на DNS и вообще будет ли винда считать себя в сети, если получит IP, а имя в DNS не зарегестрируется.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Опять про ipchains"
Сообщение от Mikhail Искать по авторуВ закладки on 19-Авг-03, 12:36  (MSK)
>значит как я себе это представляю:
>клиент выдает broadcast request на получение IP, сервер его получает и после
>подтверждения наличия свободного IP выдает клиенту IP с остальными необходимыми параметрами.
>Вроде бы кроме внутри-локальных сообщений между сервером и клиентом ничего нет.
>Но потом возникает вопрос КАК регистрируется имя клиента т.е. от кого
>и по какому порту приходит запрос на DNS
cat /etc/services|grep domain
Взаимодействие серверов отличается от взаимодействия клиент-сервер.
> и вообще будет
>ли винда считать себя в сети, если получит IP, а имя
>в DNS не зарегестрируется.
Может, стОит все-таки почитать про основы...
Какая ей разница, зарегистрировалась она или нет? Если да, то ЕЕ имя по адресу (и наоборот) смогут определить другие клиенты, если нет - то не смогут. Есть и другие варианты решения этой проблемы, кроме ddns.
http://www.citforum.ru/internet/tifamily/dns.shtml

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 19-Авг-03, 12:47  (MSK)
DNS и DHCP не связаны, и Винде фиолетово, зарегистрировано в DNS ее имя, что она от DHCP получила или нет.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 12:57  (MSK)
Тогда вот мой iptables


INET_IP="62.213.12.152"
INET_IFACE="ppp0"


LAN_IP="192.168.0.254"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth0"


LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/usr/sbin/iptables"

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT


$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT


$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT


$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT


$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

мне кажется , что я все везде пропустил

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Опять про ipchains"
Сообщение от Mikhail Искать по авторуВ закладки on 19-Авг-03, 13:01  (MSK)
Так ничего и не закрыл... Policy ACCEPT, ни одного DROPa, кроме SNAT ничего и не работает. И что, что-то при этом не работает?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 13:12  (MSK)
>Так ничего и не закрыл... Policy ACCEPT, ни одного DROPa, кроме SNAT
>ничего и не работает. И что, что-то при этом не работает?
>

т.е. iptables не виноват в том что DHCP не фурычит?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Опять про ipchains"
Сообщение от Mikhail Искать по авторуВ закладки on 19-Авг-03, 13:17  (MSK)
Возможно. А сам dhcpd работает? В логах что пишет - нет ошибок? Сниффер какой-нибудь что показывает при запросах/ответах?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 13:34  (MSK)
>Возможно. А сам dhcpd работает? В логах что пишет - нет ошибок?
>Сниффер какой-нибудь что показывает при запросах/ответах?

вобще фигня какая-то: 98-я винда получает ip без проблем, а XP пишет
Автоматический частный IP-адрес
169.254.65.221
255.255.0.0

а логи щас посмотрю

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 19-Авг-03, 13:41  (MSK)
>вобще фигня какая-то: 98-я винда получает ip без проблем, а XP пишет

Так это же другое дело. Может, у тебя в ХР DHCP-клиент не стартует. Смотри в службах.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 19-Авг-03, 13:37  (MSK)
1. Глянь логи DHCP.
2. Если все нормально, возьми с любой виндовой машины nmapом просканируй UDP-порты на предмет открытого 67 порта:
nmap -sU hostname
А в ответ получить должен следующее:
Port       State       Service
...
67/udp     open        dhcpserver
Если закрыт - не дышит DHCP.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 14:06  (MSK)
к XP претензий не может быть т.к. со старым роутером (см. 1-е сообщ) все идет нормально. А вот с логами проблема он пустой (dhcpd.leases или это не то)
А может у меня dhcpd какой нибудь корявый?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Опять про ipchains"
Сообщение от vitaliych Искать по авторуВ закладки on 19-Авг-03, 14:13  (MSK)
>(dhcpd.leases или это не то)

Не то.
cat /var/log/messages | grep dhcpd

  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 14:15  (MSK)
>к XP претензий не может быть т.к. со старым роутером (см. 1-е
>сообщ) все идет нормально. А вот с логами проблема он пустой
>(dhcpd.leases или это не то)
>А может у меня dhcpd какой нибудь корявый?


УРАААА!! Заработало!!
Поставил dhcp-2.0pl5 более старую (стоял какой-то 3.х) и все пошло без проблем.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Опять про ipchains"
Сообщение от cybertim emailИскать по авторуВ закладки on 19-Авг-03, 14:26  (MSK)
по поводу логов, Спасибо, буду хоть знать куда лезть если что, в них(логах) про dhcp до запуска старой версии ни слова, я подозреваю что этот демон вообще не вставал. В этом наверное и был основной косяк.

Спасибо большое всем.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру