Napravljene poruke na forumu
-
Članci
-
Naravno, to je to!
Hvala na pomoci.Ovde ispod je lista pravila za filter table:
************************************
*filter
FORWARD DROP
INPUT DROP
OUTPUT ACCEPT
-A INPUT -p tcp -m tcp -m state –tcp-flags SYN,ACK SYN,ACK –state NEW -j REJECT –reject-with tcp-reset
-A INPUT -p tcp -m tcp -m state ! –tcp-flags SYN,RST,ACK SYN –state NEW -j DROP
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -m state -d 192.168.0.47 –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp –tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 113 -j ACCEPT
-A INPUT -p tcp -i eth0 -m tcp –dport 10000 -j ACCEPT
-A INPUT -p icmp -i eth0 -m icmp –icmp-type 8 -j ACCEPT
-A INPUT -p icmp -i eth0 -m icmp –icmp-type 11 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m state –tcp-flags SYN,ACK SYN,ACK –state NEW -j REJECT –reject-with tcp-reset
-A OUTPUT -p tcp -m tcp -m state ! –tcp-flags SYN,RST,ACK SYN –state NEW -j DROP
-A OUTPUT -p tcp -m tcp -m owner –dport 80 ! –uid-owner squid -j REJECT –reject-with tcp-reset
*************************************Nekoliko pojasnjenja:
Prvo, nisam uradio sve probe da bih video da li ima “kontraindikacija”, za sada to funkcionise u probnom okruzenju koje je postavljeno za test.
Zatim, ovo je veoma personalizovano resenje i sigurno nije svuda primenljivo (npr. udp se uopste ne elaborira jer nema potrebe ni za DNS)
Moram reci da mozda ovo ne bi bilo dovoljno da se postavi funkcionalni sistem za nekog ko ne poznaje malo bolje kako funkcionise netfilter ali s obzirom na primenu, ako neko bude imao potrebe za takvim resenjem, moglo bi da se postavi jedno uputstvo korak po korak, za installaciju kompletnog sistema, koje bi bilo upotrebljivo za sve.Popeye, hvala jos jednom, ovo je zaista ona karika u lancu koja je nedostajala.
(iako su lanci pre izvesnog vremena zamenjeni tabelama… 🙂 )IST je jedina masina iz celog sistema koja je bitna za ovo resenje.
Medjutim, verovatno bi trebalo da pojasnim realno okruzenje gde treba da se primeni resenje.
Radi se o biblioteci koja ima potrebu za jednom Internet stanicom, sa kontrolisanim pristupom sajtovima, koja bi se stavila na raspolaganje korisnicima. To znaci da za normalnog korisnika nema pristupa ostalim masinama u mrezi i jedini izlazi su na router (ISDN ili bilo koji drugi) i na stampac koji je na jednoj drugoj windows masini. Ali nema potrebe da se bavimo time jer to vec funkcionise.
Za analizu problema mozemo da svedemo sistem samo na IST i na router. Znaci, IST sa eth0 koji je koriscen od strane proxy za izlaz na Internet – preko routera; i loop-back na kome se poziva proxy od strane localnog browser programa. Adresse mogu biti bilo koje – u ovom slucaju je eth0 192.168.0.47/16 sa gateway 192.168.0.1, sto je eth0 adresa routera.
Logicno resenje bi bilo da se postavi redirekcija TCP vrata sa http na proxy. To odlicno funkcionise sa dva interfejsa na raspolaganju i kada poziv za proxy server ne dolazi sa localnog interfejsa – to su uslovi za normalan proxy server.
Prateci block semu tokova za ovu masinu, danas sam shvatio da se takvom redirekcijom zatvaraju vrata i samom proxy programu – gde ce da izadje ako ne na TCP 80. Znaci da bi trebalo da se primeni neka vrsta selectivne redirekcije…Premalo je podataka di bi se moglo doci do bilo kakvog zakljucka.
Koja je konfiguracija hardware?
Da li je instaliran neki od servera?
Koji su processi aktivni od pokretanja sistema?Hvala vam na pomoci,
Popeye je u pravu, sistem nije optimalno postavljen, ali ne postoji mogucnost nikakve izmene u sistemu.
Zaboravio sam da napomenem vaznu pojedinost: proxy se nalazi na istoj masini koja treba da ima pristup Internetu. (zbog toga proxy i firewall moraju da budu configurisani za single-homed masinu)
Osim toga, a i ovo je verovatno bilo potrebno da napomenem ranije, masina koja pristupa Internetu je jedini Linux u sistemu.
Router je jednostavni ISDN router i osim prikljucivanja na ISP ne koristi se nijedna druga funkcija na njemu.
Posle nekoliko pokusaja (neuspelih) da se primene neka egzoticna resenja, danas cu ponovo da se vratim na netfilter jer mislim da je to najlogicnije resenje…Ako nemas current-loop/RS232 interface verovatno bih mogao da pronadjem neku jednostavni semu za adapter.
isao run configuration za mrezne i tamo sam im ukucao neka imena i ip adrese
na raspolaganju su tri grupe adresa za privatne mreze (http://www.faqs.org/rfcs/rfc1918.html):
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
Verovatno najvise upotrebljavan je poslednji subnet.
Nakon izbora grupe adresa je potrebno postaviti adresu mreze, netmask i adresu za broadcasting u mrezi.
Primer:
*************
10 masina u privatnoj mrezi od kojih 1 file server, DHCP server, mail server, DNS server i http server na istoj masini, 1 firewall i 7 korisnickih racunara.ime domena: primer.int
fileserver: fileserver.primer.int
mailserver: mail.primer.int
dns server: ns1.primer.int
firewall: guardian.primer.int
korisnicki racunari: od PC1.primer.int do PC7.primer.intAdrese su iz grupe 192.168.0.0
Za masine sa fiksnim adresama (serveri, firewall…) su rezervisane prvih 20 adresa, za korisnike ostali deo.network address: 192.168.0.0
netmask: 255.255.255.0
broadcasting: 192.168.0.255firewall: 192.168.0.1
DHCP, DNS, http, mail server: 192.168.0.2
fileserver: 192.168.0.3
korisnicki racunar 1: 192.168.0.20
. . .
korisnicki racunar 7: 192.168.0.26*****************
Na masine 192.168.0.1, 192.168.0.2 i 192.168.0.3 je instaliran Webmin (http://www.webmin.com/). Mandrake ima svoj paket odlicno integrisan u sistem a 10.0 ima i svoj http client integrisan u kontrolni centar, uradjen upravo za administraciju masina u mrezi.
Ovde se radi o versiji 1.121 koja se nalazi u paketu sa Mandrake 10.0 Official (sve opisane funkcije bi trebalo biti prisutne i u ranijim versijama)Ukoliko parametri mreze nisu postavljeni u toku instalacije sistema (veoma preporucljivo), mogu se postaviti u tekstualnoj konzoli ili u webmin, pretpostavljajuci da je instaliran ranije (sledimo ovaj put…).
Otvorivsi neki browser, ukuca se adresa: http://localhost:10000 (Mandrake instalira ssh i u tom slucaju je adresa: https://localhost:10000, ali i u slucaju da se koristi prethodna adresa verovatno ce se dobiti stranica sa obavestenjem i sa korektnom adresom).
Nakon toga se ukuca username i password koji su kod Mandrake paketa: root i password za root, kod kompajliranja su oni koji su uneseni u toku instalacije.
Nakon toga: Networking -> Network Configuration -> Network Interfaces -> eth0 … Ovde se unesu parametri dodeljeni za doticnu masinu (serveri, PC1, …)
Ovde se podrazumeva da je sistem vec prepoznao mreznu karticu i da ova funkcionise.
Sada nazad na prethodnu stranicu (Network Interfaces) i onda na DNS Client. Ovde se unese FQDN ime racunara npr. guardian.primer.int, za search domains se evidencira “listed” i unese se svoj domen (primer.int) a adresa DNS Servers je ona koja je izabrana za server DNS u mrezi.Postavljanje parametara za DNS je unekoliko redundantno u ovom primeru iz dva razloga:
1. Ovaj primer sigurno nije mesto za razlaganje konfiguracije DNS servera, stoga ce se koristiti file /etc/hosts
2. ako se koristi DHCP, sto podleze prvom primeru sve do zareza, postavljanje parametara za mrezu je suvisno
Ali u svakom slucaju moze da posluzi da se stekne odredjena doza familijarnosti sa network parameters puzzle.Nazad na stranicu “Network Configuration” a zatim Host addresses.
localhost ostaje tamo gde jeste – bez njega se ne moze ni doci dovde, a sada: Add a new host address.
Pocinje se od pocetka – IP address prve masine: 192.168.0.1, Hostnames: guardian.primer.int guardian (ovde izmedju FQDN i jednostavnog imena masine je otkucan samo jedan razmak).
Pritisne se dugme create, ako se pogresi adresa, (u sintaksnom smislu) bice upozorenje dok god se ne unese korektna adresa, i onda iz pocetka.
Na kraju ove procedure imamo sva imena masina i odgovarajuce adrese na pravom mestu. Fajl /etc/hosts se moze copirati na sve ostale masine u mrezi, tako se moze ustedeti malo posla.
Pretpostavljajuci sada da sve masine imaju korektnu konfiguraciju, moze se postaviti nfs – podela resursa u unix mrezi.ali da li mogu nekako da prebacujem podatke sa jednog na drugi racunar
Vratimo se na webmin – izabere se najzgodnija/najudobnija masina za rad i prikljuci se na prvu masinu koja je odredjena za podelu resursa:
http(s)://fileserver[.primer.int]:10000
zatim user name i password, onda Networking -> NFS exports -> Add a new export ->directory to export (uneti put do direktorijuma rucno ili koristiti dugme sa tri tackice za biranje iz strukture direktorijuma na masini). Pretpostavlja se da je vec ranije izabrano sta se zeli podeliti u mrezi. Npr. /tmp, /ZajednickiFajlovi, /TehnickiUred, /Knjigovodstvo …
Naravno. unosi se jedan po jedan direktorijum.
Kada su svi resursi pripremljeni, na korisnickim masinama se postave parametri za povezivanje sa njima.
Prethodno se kreiraju direktorijumi gde ce se montirati nfs resursi:
/mnt/tmp, /mnt/ZajednickiFajlovi …
Za ove direktorijume treba dodeliti dozvole odgovarajucim grupama i odgovarajucim korisnicima da bi se mogli koristiti.
Jedan od nacina za postavljanje parametara je vec delimicno opisan, parametri se unose u /etc/fstab rucno, vodeci racuna o sintaksi.
Npr: (pocetak reda) fileserver.primer.int:/tmp /mnt/tmp nfs soft,rsize=8192,wsize=8192,nosuid 0 0 (kraj reda)
Za sintaksu i vrste parametara odlicna pomoc bi moglo da bude manual page fstab.
Drugi je nacin radije prihvacen od mnogo veceg broja korisnika (moze se preskociti kreiranje poddirektorijuma u /mnt):
klikne se na prvo dugme sa leve strane na panelu (obicno zuta mandrakova zvezdica) zatim System -> Configuration -> Configure your computer. Dobije se Mandrake Control Center. Sada Mount Points -> NFS Mount Points -> malo se saceka -> Search servers -> jos malo se saceka.
Sada je verovatno na raspolaganju sa leve strane lista masina koje imaju resurse da podele sa korisnicima. Klikne se na strelicu sa leve strane i dobije se drop down lista resursa.
Klik na ime direktorijuma u listi -> klik na dugme Mount point -> pojavi se prozor “diskdrake” -> klik na dugme “OK” -> zatvori se prozor -> klik na dugme “Mount”.
Procedura se ponovi za sve zeljene direktorijume. Na kraju se klikne na dugme “Done”. Kada se pojavi mali prozor “diskdrake” klikne se na dugme “Yes”.
Sada imamo sve parametre spremne u /mnt/fstab, spremne za prikljucivanje na resurse u mrezi na svakom startovanju racunara.preko ip adrese koju sam uneo ,preko porta 20
Postoji li neki konkretan razlog da se prikljucuje na SSH server preko vrata 20, tj. da se postavi SSH server da slusa na vratima 20? Mozda je greska u kucanju? Ukoliko SSH server ima default parametre, slusace na vratima 22 te stoga treba prvo probati tamo.
Jedan od izvanrednih programa za ssh povezivanje je GTelnet, treba ga svakako probati – jednostavan je za upotrebu i ima dosta korisnih opcija. Ide vec pripremljen u paketu u svum Mandrake distribucijama. Za windows se moze vrlo ugodno koristiti SecureNetTerm (http://www.securenetterm.com/). Shareware sa mentalitetom winzip – moze se koristiti dozivotno sa svim funkcijama na raspolaganju, trazi samo jedan dodatni klik po zavrsetku rada.Takodje me interesuje da li mogu da se povezem preko mreze na racunar koji ima win tj win xp
Naravno, samba je ime ovog resenja, ali ja mislim (posle veoma kratkog boravka u ovom drustvu) da ova tema zasluzuje svoj posebni forum. Moguce je da gresim ali iskustvo mi govori da je ovo najkriticnija tacka u implementiranju linux i drugih unix like operativnih sistema u vec postojece radne sredine.
U svakom slucaju, za neko iole korisno uputstvo je potrebno navesti barem osnovne podatke o realnom sistemu u kojem se zele postaviti windows i linux masine. Tj. koji windows(i), u kojim funkcijama, koji unix i u kojim funkcijama.Za konkretan odgovor je potrebno nesto vise informacija: topografija vaseg sistema (raspored masina u mrezi, configuracija domena, koji i koliko servera…), post vaseg smb.conf (kopija trenutno uptrebljavanog).
Imate li subnet u sistemu?
Imajuci sveze iskustvo sa jednim sistemom sa javnim adresama u kome su integrisani nekoliko client sa Mdk10.0, jedan mail server, DNS server, http server, sve sa RH7.3 i jedan server w2k, mislim da ne bi bilo problema da se pronadje resenje za vas problem.
Eventualno bi se mogla upotrebiti vec koriscena procedura za debug smb veza…
