Skocz do zawartości

Serwer Na Fc2 - Problem Z Firewallem


arkosmc

Rekomendowane odpowiedzi

Witam,

 

jako iż nie jestem biegłym użytkownikiem linuksa i administracja nim jest dla mnie dość pokrętna, to zepsułem sobie serwer.

Sprawa wygląda tak:

mam serwer za NATem. Zewnętrzna brama ma adres 100.100.0.1 (a moja sieciówka zewnętrzna ma IP 100.100.0.101). Lokalna sieć domowa jest w zakresie 192.168.100.x. Do dzisiaj wszystko ładnie śmigało, ale zachciało mi się bawić konfiguracją i sieć powiedziała, że z idiotą się nie bawi... Zrobiłem tak: wybrałem z menu "Ustawienia systemowe" opcję "Security Level" zaznaczyłem SSH jako trusted i dałem Zatwierdź. Wyskoczyło okienko więc z przyzwyczajenia (jakże kretyńskiego) kliknąłem na TAK. No i przestało działać.

 

Teraz mam pytanie. Jak dodać routowanie pakietów z sieci wewn na serwer zewnętrzny?

 

/sbin/ifconfig wyświetla:

eth0      Link encap:Ethernet  HWaddr 00:48:54:53:0D:A1
         inet addr:192.168.100.1  Bcast:192.168.100.255  Mask:255.255.255.0
         inet6 addr: fe80::248:54ff:fe53:da1/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:12796 errors:0 dropped:0 overruns:0 frame:0
         TX packets:5461 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:929858 (908.0 Kb)  TX bytes:517670 (505.5 Kb)
         Interrupt:11 Base address:0xd400

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:186 errors:0 dropped:0 overruns:0 frame:0
         TX packets:186 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:16768 (16.3 Kb)  TX bytes:16768 (16.3 Kb)

wlan0     Link encap:Ethernet  HWaddr 00:30:4F:2A:11:9F
         inet addr:100.100.0.101  Bcast:100.255.255.255  Mask:255.255.255.0
         inet6 addr: fe80::230:4fff:fe2a:119f/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:21788 errors:0 dropped:0 overruns:0 frame:0
         TX packets:20014 errors:7 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:18085659 (17.2 Mb)  TX bytes:2339930 (2.2 Mb)
         Interrupt:5 Base address:0xd800

 

a /sbin/route:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   *               255.255.255.0   U     0      0        0 eth0
100.100.0.0     *               255.255.255.0   U     0      0        0 wlan0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
default         100.100.0.1     0.0.0.0         UG    0      0        0 wlan0

 

i jeszcze log:

May  2 21:26:39 localhost userhelper[5101]: running '/usr/sbin/system-config-network ' with root privileges on behalf of 'arek'
May  2 21:29:47 localhost sshd[2246]: Server listening on :: port 22.
May  2 21:29:47 localhost sshd[2246]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
May  2 21:29:58 localhost su: pam_succeed_if: requirement "uid < 100" not met by user "htt"
May  2 21:39:30 localhost gdm[3044]: pam_succeed_if: requirement "uid < 100" not met by user "arek"
May  2 21:39:39 localhost xinetd[2261]: START: sgi_fam pid=3189 from=<no address>

Odnośnik do komentarza
Udostępnij na innych stronach

Pytanie: czy chcesz mieć dostęp SSH? Jeśli nie, to zacznij od jego wyłączenia i może się polepszy.

 

Podpowiedź: problem jak skonfigurować firewall tak, żeby działał jako router dla sieci domowej był wielokrotnie omawiany na forum. Poszukaj więc, bo od tego powinieneś zacząć. Chodzi o dodanie właściwych regułek do iptables.

Poza tym sprawdź czy w katalogu /etc/sysconfig nie została poprzednia kopia pliku iptables. Może wystarczy wyłączyć na chwilę firewall, przywrócić stary plik i włączyć firewall od nowa. Czyli kolejno jako root:

cd /etc/sysconfig
ls -l iptables*    #sprawdzenie czy istnieja stare kopie iptables. jesli tak to...
/etc/init.d/iptables stop
cp [tu podaj nazwe starego pliku iptables] iptables
/etc/init.d/iptables start

Oczywiście nie jestem pewien czy dobrze piszę, bo FC2 to już archeologia - za 11 dni (jak się znowu coś nie opóźni) wychodzi wersja F9. Ale układ plików konfiguracyjnych i katalogów raczej się nie zmienił.

 

Odnośnik do komentarza
Udostępnij na innych stronach

Nie no aż tak durny nie jestem... iptables już sobie skonfigurowałem, ale dla kogoś, kto nie zna tych wszystkich regułek to kilka godzin babrania się z tym dziadostwem... Dlatego pytałem...

 

Teraz tak: zawartość pliku to:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o wlan0 -j SNAT --to-source 100.100.0.101
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:drop-log - [0:0]
:ext - [0:0]
:int - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j int
-A INPUT -i wlan0 -j ext
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j drop-log
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.1.100 -d 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT
-A OUTPUT -s 100.100.0.101 -d 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT
-A OUTPUT -s 100.100.0.101 -o wlan0 -j ACCEPT
-A OUTPUT -d 192.168.1.0/255.255.255.0 -o wlan0 -j drop-log
-A drop-log -j LOG --log-level 6
-A drop-log -j DROP
-A ext -d 100.100.0.101 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ext -d 100.100.0.101 -p tcp -m tcp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ext -d 100.100.0.101 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ext -d 100.100.0.101 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ext -d 100.100.0.101 -p udp -m udp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ext -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A int -s 192.168.1.0/255.255.255.0 -j ACCEPT
COMMIT

 

No i nie wiem dlaczego, ale nie mogę się zalogować przez SSH (ustawienia domyślne) ani spingować serwera z sieci domowej...

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...