Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables     Linux   настройка iptables (крупные статьи переехали на wikibooks) настройка iptables (opennet) Easy Firewall Generator for IPTables Online l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня. ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.   схема прохождения пакета через netfilter (или более сложно и подробно)   Так же может быть интересным Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!! Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком. QoS в Linux - iproute2 и u32 селектор (хабр) QoS в Linux - iproute2, издеваемся над трафиком (хабр)   ipfw     FreeBSD русский MAN (opennet) настройка ipfw (opennet) настройка ipfw (lissyara)   Достаточно частый вопрос Балансировка и резервирование канала (samag.ru)   pf     OpenBSD начальная настройка pf (lissyara) настройка pf как шлюза (lissyara) Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kerevra Дык где Ваши отработанные правила при подключении клиентов? В выводе iptables я их не наблюдаю что-то... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 20:34 19-09-2012

kerevra Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору P.P.S.: возможно ключевой момент - клиенты к сервисам сервера цепляются отлично, но не наоборот. также при пинге клиентов с сервера echo request до клиента доходит, echo reply не возвращается   Добавлено: Alukardd в момент iptables -nvL не было подключенных клиентов   вот вывод при наличии таковых: Подробнее...   Добавлено: мой ip 192.168.150.100, пинга до 192.168.150.0/24 за исключением сервера нет ---------- Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 20:42 19-09-2012 | Исправлено: kerevra, 20:44 19-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kerevra Я что-о упустил? Откуда взялась 150-я подсеть? Мб у Вас банально маршрутов не хватает? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 20:49 19-09-2012

kerevra Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd, 150я подсеть - клиенты pptpd.   Код: root@proxima:~# cat /etc/pptpd.conf option /etc/ppp/pptpd-options logwtmp localip 192.168.150.1 remoteip 192.168.150.11-254   Код: root@proxima:~# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.150.100 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0 195.144.x.x 0.0.0.0         255.255.255.240 U     0      0        0 eth_ext 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth_int 192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth_vm 0.0.0.0         195.144.x.x        0.0.0.0         UG    0      0        0 eth_ext ---------- Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 20:55 19-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kerevra Эм... А почему маршрут только до единственного клиента, а не до всей подсети? И да, кстати, клиентам Вы прописываете маршрут до 192.168.0.0/24 подсети, а то откуда они узнают, что она за pptp сервером?..   p.s. раз уже показал Вам утилиту ip, то вот далее — ip r s. И самое главное, что ip, в отличии от ifconfig  и route в некоторых дистрибутивах лежит в /bin, а не в /sbin, что позволяет юзеру без геморроя смотреть настройки. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 21:36 19-09-2012

kerevra Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: А почему маршрут только до единственного клиента, а не до всей подсети? маршруты автоматом создаются для каждого из клиентов при подключении, так как они находятся каждый за своим ppp-интерфейом   Цитата: И да, кстати, клиентам Вы прописываете маршрут до 192.168.0.0/24 подсети, а то откуда они узнают, что она за pptp сервером?.. в моем случае клиентам не интересно знать какая сеть находится за vpn-сервером. они пользуются только службами сервера. и, в свою очередь, при подключении получают маршрут до сетки 192.168.150.0/24   Цитата: p.s. раз уже показал Вам утилиту ip, то вот далее — ip r s. И самое главное, что ip, в отличии от ifconfig  и route в некоторых дистрибутивах лежит в /bin, а не в /sbin, что позволяет юзеру без геморроя смотреть настройки. а за это еще одно спасибо   ---------- Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 22:04 19-09-2012 | Исправлено: kerevra, 22:05 19-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kerevra Цитата: в моем случае клиентам не интересно знать какая сеть находится за vpn-сервером. они пользуются только службами сервера. и, в свою очередь, при подключении получают маршрут до сетки 192.168.150.0/24   О каких FORWARD правилах мы вообще тогда говорим? Нас интересуют только INPUT и OUTPUT тогда. FORWARD понадобится для взаимодействия между клиентами и для доступа в обычную локалку.   Только щас начинаю понимать общую картину вашей "кухни". К тому же я не знаком с pptp сервером, я только OpenVPN пользуюсь.   Цитата: а за это еще одно спасибо Я вообще пользуюсь только ip в GNU/Linux т.к. она на мой взгляд куда удобнее, чем ifconfig и route. Как видите одни сокращения чего стоят. Вообще рекомендую поближе познакомится с данной утилитой. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 22:21 19-09-2012

kerevra Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: О каких FORWARD правилах мы вообще тогда говорим? нет, мне все-таки нужен форвардинг пакетов от клиента к клиенту, которые находятся в одной подсети но за разными интерфейсами   Цитата: К тому же я не знаком с pptp сервером ну это я заметил)     Добавлено: P.S.: примерно такие же правила прокатывали для "связи" pptpd-клиентов на других дистрах Linux ---------- Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 22:24 19-09-2012 | Исправлено: kerevra, 22:27 19-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kerevra На сколько я понял как там у Вас всё устроено, правила похожи на правильные... Надо смотреть на счётчик пакетов, да вооружаться tcpdump'ом. Как я понял Вы уже делали что-то аналогичное... Можем вместе посмотреть на попытки пакетов продраться к цели. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 09:47 20-09-2012

kerevra Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alukardd tcpdump'ом смотрел, request-пакеты уходят получателю, но вот reply не возвращаются.  проблема в том, что не знаю чем просниффить pptp-подключение на клиенте под виндами. пинг сервера клиентом проходит нормально   Добавлено: при этом, судя по активности интерфейса, клиент получает request-пакеты ---------- Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 17:42 20-09-2012

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OxOyD А чем первый блок правил отличен от второго? ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6735 | Зарегистр. 29-04-2009 | Отправлено: 22:25 25-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv +1   OxOyD Вы бы хоть у FORWARD поменяли бы интерфейсы местами. Ну и UID ваше надеюсь разное в разных правилах... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 22:46 25-09-2012

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вы бы хоть у FORWARD поменяли бы интерфейсы местами. Этого мало. "Корневые" интерфейсы для входящего и исходящего трафика будут разные. Так что обождём авторскую правку. ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6735 | Зарегистр. 29-04-2009 | Отправлено: 22:59 25-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv Цитата: "Корневые" интерфейсы для входящего и исходящего трафика будут разные. эту фразу я абсолютно не понял. Зато могу добавить что -d, на -s надо поменять) ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 23:09 25-09-2012

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору "Резать" можно только исходящий трафик. Значит в нотации автора "исходящий" трафик клиента надо резать на eth0, а "входящий" на eth1. Вот эти-то интерфейсы и будут считаться "корневыми" в правилах шейпинга. ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6735 | Зарегистр. 29-04-2009 | Отправлено: 23:29 25-09-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OxOyD Возможно не хватает родителя: # tc class add dev eth1 parent 1: classid 1:1 htb rate 1mbit burst 16k ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6585 | Зарегистр. 28-08-2008 | Отправлено: 18:22 26-09-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование