Skocz do zawartości

el_jot

Użytkownicy
  • Zawartość

    6
  • Rejestracja

  • Ostatnia wizyta

Reputacja

0 Neutral

O el_jot

  • Tytuł
    Początkujący

Contact Methods

  • Strona www
    http://
  • ICQ
    0
  1. Witam! Dalej szukam rozwiazania tej sprawy choć na razie bez rezultatów :-( Zastosowałem tym razem direct rule dla masquerade dla ograniczonego zakresu adresów : #firewall-cmd --zone=external --direct --add-rule ipv4 nat POSTROUTING 0 -m iprange --src-range 192.168.1.10-192.168.1.20 -o enp0s25 -j MASQUERADE System akceptuje to polecenie, które daje sie raportować z konfiguracji za pomocą polecenia "#firewall-cmd --direct --get-all-rules --zone=external" ale to nic nie zmiania Im using Centos 3.10.0-693.5.2.el7.x86_64 I've tried also to insert general direct rule to filter table: Próbowałem "dołożyć" ogólna regułę do direct rule do łańcuch FORWARD w tabeli filter: # firewall-cmd --zone=external --direct --add-rule ipv4 filter FORWARD 0 -i enp3s0 -o enp0s25 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT Niestety, bez pozytywnego efektu. Działa tylko najbardziej ogólne polecenie: #firewalld-cmd --zone=external --add-masquerade Ale nie mam mozliwości ograniczenia zakresu adresowego dla masquerade :-( Zastanawiam się czy nie pominąłem czegoś w konfiguracji? el_jot
  2. Witam! Szukam rozwiązania problemu niedziałania masquerade pod kontrolą systemu Centos7 uruchamianej jako rich rule. Server ma dwie karty, jedna z nich w strefie (zone) =internal i druga w zone=external. Jak nazwa wskazuje masquerade jest konfigurowana na karcie w zone=external. Po wydaniu polecenia: #firewalld-cmd --zone=external --add-masquerade ""root@ama zones]# firewall-cmd --zone=external --list-all external (active) target: default icmp-block-inversion: no interfaces: enp0s25 sources: services: http ssh ports: 554/tcp 3390/tcp 50050/tcp 7000/tcp 8000/tcp 40389/tcp 6036/tcp 3389/tcp 6037/tcp protocols: masquerade: yes forward-ports: port=8000:proto=tcp:toport=8000:toaddr=192.168.1.220 port=7000:proto=tcp:toport=7000:toaddr=192.168.1.94 port=8080:proto=tcp:toport=8080:toaddr=192.168.1.199 port=22000:proto=tcp:toport=22:toaddr=192.168.1.10 port=8008:proto=tcp:toport=80:toaddr=192.168.1.10 port=6037:proto=tcp:toport=6037:toaddr=192.168.1.123 port=554:proto=tcp:toport=554:toaddr=192.168.1.220 port=3389:proto=tcp:toport=3389:toaddr=192.168.1.199 port=50050:proto=tcp:toport=50050:toaddr=192.168.1.199 port=3390:proto=tcp:toport=3390:toaddr=192.168.1.184 port=40389:proto=tcp:toport=3389:toaddr=192.168.1.198 port=6036:proto=tcp:toport=6036:toaddr=192.168.1.122 sourceports: icmp-blocks: rich rules:"" wszystko działa bez problemu. Hosty ze strefy internal nawiązują połączenie z internetem (działa DNS, ping, działają strony www) Ale podobny efekt można według literatury -> https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/ uzyskać ale z możliwością dokładniej szej kontroli które adresy będą podlegać translacji masquerade wykorzystując rich-rule. Na początek próbuję zastosowac rich-rule do całej podsieci ze strefy "internal" # firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade' [root@ama zones]# firewall-cmd --zone=external --list-all external (active) target: default icmp-block-inversion: no interfaces: enp0s25 sources: services: http ssh ports: 554/tcp 3390/tcp 50050/tcp 7000/tcp 8000/tcp 40389/tcp 6036/tcp 3389/tcp 6037/tcp protocols: masquerade: yes forward-ports: port=8000:proto=tcp:toport=8000:toaddr=192.168.1.220 port=7000:proto=tcp:toport=7000:toaddr=192.168.1.94 port=8080:proto=tcp:toport=8080:toaddr=192.168.1.199 port=22000:proto=tcp:toport=22:toaddr=192.168.1.10 port=8008:proto=tcp:toport=80:toaddr=192.168.1.10 port=6037:proto=tcp:toport=6037:toaddr=192.168.1.123 port=554:proto=tcp:toport=554:toaddr=192.168.1.220 port=3389:proto=tcp:toport=3389:toaddr=192.168.1.199 port=50050:proto=tcp:toport=50050:toaddr=192.168.1.199 port=3390:proto=tcp:toport=3390:toaddr=192.168.1.184 port=40389:proto=tcp:toport=3389:toaddr=192.168.1.198 port=6036:proto=tcp:toport=6036:toaddr=192.168.1.122 sourceports: icmp-blocks: rich rules: rule family="ipv4" source address="192.168.1.0/24" masquerade Niestety, tak dodana translacja masquerade nie działa. Próbowałem z innym (szerszym) zakresem adresów źródłowych, próbowałem ograniczyć masquerade do konkretnego adresu np. 192.168.1.10/32 ale również bez powodzenia. Zależy mi właśnie na tym aby część adresów z podsieci 192.168.1.0/24, na przykład dla podsieci 192.168.1.0/28 działała translacja masquerade a dla pozostałych nie. Czy ktoś miał podobne doświadczenia a może zna odpowiedź jak to się da rozwiązań za pomocą rich-rules l.j
  3. Uzupełniłem konfigurację sendmail-a o zalecane wpisy zawarte na kilku serwerach z czarnymi listami. Odpowiednie wpisy do pliku sendmail.cf znalazły się po przetworzeniu pod nagłówkiem ###################################################################### ### Relay_ok: is the relay/sender ok? ###################################################################### SRelay_ok # anything originating locally is ok # check IP address R$* $: $&{client_addr} R$@ $@ RELAY originated locally R0 $@ RELAY originated locally R$=R $* $@ RELAY relayable IP address R$* $: [ $1 ] put brackets around it... R$=w $@ RELAY ... and see if it is local # check client name: first: did it resolve? R$* $: < $&{client_resolve} > R<TEMP> $#TEMP $@ 4.7.1 $: "450 Relaying temporarily denied. Cannot resolve PTR record for " $&{client_addr} R<FORGED> $#error $@ 5.7.1 $: "550 Relaying denied. IP name possibly forged " $&{client_name} R<FAIL> $#error $@ 5.7.1 $: "550 Relaying denied. IP name lookup failed " $&{client_name} R$* $: <@> $&{client_name} R<@> $@ RELAY # pass to name server to make hostname canonical R<@> $* $=P $:<?> $1 $2 R<@> $+ $:<?> $[ $1 $] R$* . $1 strip trailing dots R<?> $=w $@ RELAY R<?> $* $=R $@ RELAY # DNS based IP address spam list dnsbl.sorbs.net R$* $: $&{client_addr} R$-.$-.$-.$- $: <?> $(dnsbl $4.$3.$2.$1.dnsbl.sorbs.net. $: OK $) R<?>OK $: OKSOFAR R<?>$+<TMP> $: TMPOK R<?>$+ $#error $@ 5.7.1 $: "554 Rejected " $&{client_addr} " found in dnsbl.sorbs.net" # DNS based IP address spam list bl.spamcop.net R$* $: $&{client_addr} R$-.$-.$-.$- $: <?> $(dnsbl $4.$3.$2.$1.bl.spamcop.net. $: OK $) R<?>OK $: OKSOFAR R<?>$+<TMP> $: TMPOK R<?>$+ $#error $@ 5.7.1 $: "Spam_blocked see: http://spamcop.net/bl.shtml?"$&{client_addr} # DNS based IP address spam list relays.ordb.org R$* $: $&{client_addr} R$-.$-.$-.$- $: <?> $(dnsbl $4.$3.$2.$1.relays.ordb.org. $: OK $) R<?>OK $: OKSOFAR R<?>$+<TMP> $: TMPOK R<?>$+ $#error $@ 5.7.1 $: "550_Email rejected - see http://www.ordb.org/faq/\#why_rejected" Wpisy dodane do obsługi blacklists pogrubiłem. Sendmail działa jako relay dla wewnętrznego właściwego serwera poczty i uruchamia się na tym pliku konfiguracyjnym bez błędów. Niestety, nie widzę efektów działania tych wpisów np w maillog-u nie mówiąc o ilości spamu, który jest na stałym poziomie. Jak można sprawdzić czy te wpisy działają ? A może filtrowanie na podstawie blacklists nie działa dla funkcji relay lub kolejność wpisów jest niewłaściwa ? el_jot
  4. Dziękuję za wskazówkę, zupełnie nie wiem jak mi to umknęło. Jeśli uda mi się uruchomić dziś wieczorem interface to dam znać. el_jot Program kmpio zainstalowałem pomyślnie. Urządzenie działa bez kłopotu zarówno z poziomu komend shel-a mpiosh jak i w trybie graficznym kmpio. Jeszcze raz dziękuję za wskazówkę. Wydawało mi się, że program kmpio instaluje się razem z mpiosh stąd nawet nie spróbowałem użyć wyszukiwarki. el_jot
  5. Na stronie http: http://mpio.sourceforge.net/ znajduje się opis projektu dotyczącego pracy MPIO pod kontrolą linux-a. Można tam też pobrać pliki shell-a o nazwie mpiosh umożliwiającego czytanie i nagrywanie plików z i do urządzenia MPIO. Pokazano tam też na zrzutach ekranów: http://mpio.sourceforge.net/screenshots.html graficzny interface do obsługi MPIO (kmpio ?). Niestety nie mogę doszukać się tej aplikacji. może ktoś to już 'przerabiał' i wie jak korzystac z aplikacji graficznej do MPIO ? el_jot
  6. Próbuję używać pod linuxem odtwarzacz MP3 typu MPIO ale nie potrafię zobaczyć go jako system plików. Urządzeniu to widać jedynie jako jedno z urzdzeń systemowych (obok dwóch kanałów USB) ale nie udaje się go zobaczyć jako urządzenia typu sda co pooć powinno odbywać się automatycznie. A jeśli uda się zobaczyć to urządzenie to jaki system plików należy użyć jako parametr montowania ? el_jot
×