Udostępnienie Internetu W Fedorze 10 Do Windows Xp

[@WalDo]

No to teraz chyba już działa? Czasem trzeba chwilę odczekać, żeby się adres po sieci rozgłosił - myślę o sieci lokalnej, czyli drugim kompie z windami.

 

Oczywiście pod warunkiem, że po drugiej stronie, na Windows jest:

- adres 192.168.1.200 (adres taki właśnie, jeśli masz firewall z regułami z tego linku z Twojego pierwszego posta)

- brama 192.168.1.1, czyli ten adres który obecnie masz na eth0 na Fedorze.

- maska odpowiednia dla sieci z klasy C, czyli np. 255.255.255.0

 

[EDIT]

Nie pamiętam już tylko czy eth0 nie powinien być w innej sieci niż wlan0 - bo teraz oba interfejsy są w sieci 192.168.1.0: wlan0 192.168.1.100, eth0 192.168.1.1

Ale może ktoś podpowie

[Piżol]

No właśnie nie do końca działa. Pingi są ale internetu dalej nie ma Spróbowałem jeszcze to http://wiki.fedora.pl/Sieci/Udost%C4%99pni...towegoAIptables ale też nic . Wpisałem dns które mi się pokazały w tym konfiguratorze , też nie działa. Firestarter też pokazuje błąd.

[@WalDo]

Pokaż może jeszcze wynik polecenia iptables-save. Wrzuć to co się wypisze na konsoli, tylko tak jak wcześniej w uwadze pod postem pisałem w znacznikach codebox.

Jeśli pingi chodzą, to znaczy, że forwarding nie działa. Sprawdź czy na pewno masz "1" w odpowiedzi na

cat /proc/sys/net/ipv4/ip_forward

[Piżol]

[pizol@localhost ~]$ cat /proc/sys/net/ipv4/ip_forward
1

 

i iptables save (nie wiem czy dobrze ale bez roota sie nie włączało)

[root@localhost pizol]# iptables-save
# Generated by iptables-save v1.4.1.1 on Sat Jan 24 13:34:01 2009
*filter
:INPUT ACCEPT [28654:20012283]
:FORWARD ACCEPT [63:3669]
:OUTPUT ACCEPT [36090:6441954]
COMMIT
# Completed on Sat Jan 24 13:34:01 2009

[@WalDo]

Polecenie iptables-save jak najbardziej z roota, ale gdzie pozostałe regułki? Wystawiłeś za przeproszeniem goły tyłek na świat, działasz bez firewalla

iptables-save powinno wyświetlić wszystkie reguły firewalla które dopisywałeś z tamtej strony z tutorialem. Nie ma regułek - nie ma udostępniania

 

W zakresie forwardingu Internetu interesuje Cię przede wszystkim część tamtej stronki zaczynająca się od "można udostępnić internet za pomocą następującego skryptu:". Ten skrypt musi być uruchamiany przez roota.

 

A przy okazji jak dostajesz się do internetu? Bo ten wlan0 to też ma adres z nierutowalnej puli adresów wewnętrznych.

 

[Piżol]

Masz rację. Dodałem tylko to pierwsze co był kod firewalla jakiś do pliku /etc/sysconfig/iptables .

A tego zaczynającego się od #!/bin/sh nie dodawałem , bo pisało, że to metoda niebezpieczna. Internet po dodaniu tego drugiego owszem działa, ale co mam teraz zrobić, bo mam wgrane dwa te kody i nie wiem czy nie będzie konfliktu

 

A mój iptables-save teraz wygląda tak

# Generated by iptables-save v1.4.1.1 on Sat Jan 24 18:24:34 2009
*nat
:PREROUTING ACCEPT [294:100602]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [107:7493]
-A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE 
COMMIT
# Completed on Sat Jan 24 18:24:34 2009
# Generated by iptables-save v1.4.1.1 on Sat Jan 24 18:24:34 2009
*filter
:INPUT ACCEPT [272:93213]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [322:44798]
-A FORWARD -s 192.168.0.0/16 -j ACCEPT 
-A FORWARD -d 192.168.0.0/16 -j ACCEPT 
COMMIT
# Completed on Sat Jan 24 18:24:34 2009

 

A co do internetu to doszedłem do porozumienia z dostawcą, ponieważ nie miałem z nikąd zasięgu. 200 metrów dalej założył przekaźnik (ruter), który wysyła internet tylko do mnie

[@WalDo]

(...)i nie wiem czy nie będzie konfliktu

Nie będzie. Jak już masz to czego chciałeś to zrób kopię obecnych iptables i zapisz sobie wszystkie regułki, żeby od razu przy podnoszeniu systemu wszystkie sie wczytywały, również te ze skryptu, żeby nie uruchamiać go za każdym razem.

Czyli jako root

cp /etc/sysconfig/iptables /etc/sysconfig/iptables_backup # to tylko na wszelki wypadek
iptables-save > /etc/sysconfig/iptables_new               # zachowanie działającej konfiguracji w pliku
/etc/init.d/iptables stop                                 # zatrzymanie firewalla
cp /etc/sysconfig/iptables_new /etc/sysconfig/iptables    # podstawienie działającej konfiguracji do domyślnego pliku konfiguracyjnego
/etc/init.d/iptables start                                # ponowne odpalenie firewalla

No i po tym restarcie firewalla sprawdź czy połączenie działa. A jak nie to jeszcze raz do skutku

 

Generalnie musisz dążyć do tego, żeby wszystkie regułki siedziały w domyślnym pliku, z którego czyta serwis iptables, czyli /etc/sysconfig/iptables

 

[EDIT]

Nota bene powinieneś sobie nieco wzbogacić ten firewall, bo zbyt bezpieczny to on nie jest. Wprawdzie jesteś na wewnętrznym IP Twojego dostawcy, więc pewnie masz jakąś podstawową ochronę, ale wewnątrz sieci łatwo się do Ciebie dobrać. W sieci jest sporo materiałów, więc jeśli tylko będziesz chciał to na pewno coś wyszukasz.

[Piżol]

To raczej dla mnie za trudne, doszedłem do momentu z zatrzymaniem firewalla i już go nie dałem rady włączyć Zrobiłem od nowa ten skrypt w iptables bo znowu internet mi zniknął. A nie można jakoś pominąć tego kroku , skoro internet na drugim komputerze działa od razu po włączeniu komputera?

 

No i co do bezpieczeństwa, czy jest szansa, że ktoś by mi się dobrał do haseł np. klientów pocztowych lub gg czy tylko do plików w home i nazwie użytkownika ?

[@WalDo]

(...) i już go nie dałem rady włączyć

No jaja sobie robisz Albo niedokładnie opisujesz sytuację. Włączenie FW to /etc/init.d/iptables start

A nie można jakoś pominąć tego kroku , skoro internet na drugim komputerze działa od razu po włączeniu komputera?

Twój wybór. Jeśli działa i to jest dla Ciebie wystarczające, to nie masz obowiązku korzystania z moich rad - na pewno się nie obrażę. Po prostu ja bym tak zrobił, ale to wolny kraj i wolne oprogramowanie Nie ma przymusu.

 

No i co do bezpieczeństwa, czy jest szansa, że ktoś by mi się dobrał do haseł np. klientów pocztowych lub gg czy tylko do plików w home i nazwie użytkownika ?

Przy tym firewallu? Na 100% jeśli hasła GG, poczty itp masz zapamiętane. To też jest przechowywane w plikach na dysku. Ja jestem trochę paranoik, więc na Twoim miejscu zacząłbym reinstalować system A bardziej serio to skonstruowałbym mocniejszy FW a na początek szybko pozmieniał hasła - najlepiej z innego kompa. Twój FW właściwie nie istnieje, każdy sobie może wejść, przeczytać co jest na dysku, przy odrobinie wprawy zainstalować jakiegoś keyloggera, żeby wiedzieć jakie klawisze wyklikujesz i wie o Tobie wszystko łącznie z numerem buta i telefonem kochanki

Tak jak pisałem - byc może minimum intymności zapewnia Ci ochorona dostawcy sieci.

 

[morsik]

Ech... Czyli Google upadło skoro nie można już znaleźć nawet jak uruchomić usługę...

 

service iptables start

 

BTW. Trochę czytałem o tcpdump kiedyś, jak sam stawiałem sobie sieć w domu na linuksie i jest możliwość poprostu "podpięcia się" do routera tak, że dane płyną przez komputer atakującego a potem przez router tak, że atakujący dostaje dokładnie takie dane jak router do którego później idą dane. Nikt nic nie wie (może poza dostawcą, jakiś ślad pewnie jest...).

 

Tak tylko opisałem, że jak jest sieć lokalna (jak u Ciebie), to łatwiej coś wywęszyć...

 

Nie wspomnę już, że wszystkie wiadomości na GG płyną czystym tekstem.

A i przy okazji natknąłem się na taką informację dość ciekawą, a mianowicie (może być nieaktualne ze względu na nową wersję protokołu): gdy GG się łączy, wysyła hasło zaszyfrowane, jednak gdy zmieniasz status (np. z "dostępnego" na "zaraz wracam") to hasło jest wysyłane CZYSTYM TEKSTEM. Tak tylko piszę, nie żebym kogoś miał straszyć...

[Piżol]

Chodziło mi o to /etc/init.d/iptables start # ponowne odpalenie firewalla

Wyskakiwał błąd

Co do Linuksa, ja na tym systemie jestem kilka dni, więc nie będę od razu ekspertem do spraw bezpieczeństwa

Co do dostawcy, to mówił, że niby serwer też jest oparty na Linuksie, a ruter ma włączony też jakiś Firewall , chociaż nie jestem specjalistą i nie wiem ile w tym prawdy

 

A mógłbym się dowiedzieć czy użytkowanie z tego co teraz mam jest to bezpieczniejsze, niż siedzenie na Windowsie, bo tam to mi antywirus głupiał w czasie oglądania filmu , nie mówiąc juz o tym, że dając logi do sprawdzenia było wpiernik rootkitów

[@WalDo]

Wyskakiwał błąd

Tiaaa, a Filip wyskakiwał z konopii. Tak mówią

Napisz jaki to błąd? Wklej tutaj to pewnie coś się poradzi - pozwól sobie pomóc.

 

Bezpieczeństwo: wirusy - spoko. Te windowsowe na linuksie za diabła nie ruszą. A tych na linuksa niewiele, żeby nie powiedzieć, że wcale nie ma. Co do rootkitów... No, z tym FW co masz, a właściwie co nie masz, to już możesz mieć syfa na dysku. Niestety na linuksa też są rootkity.

Moje zdanie jest takie, że na dobrego hackera nie ma bata, zawsze sobie poradzi, ale przeciw gówniarzom można ogniomurek niezły wystawić.

Z najprostszych sposobów, to dla początkujących polecałbym ściągnięcie LiveCD z OpenSUSE i skopiowanie konfiguracji iptables - nawet ta domyślna na siusiaku jest całkiem przyzwoita moim zdaniem. Zaznaczam: moim zdaniem! Nie jestem specem od bezpieczeństwa tylko zwykłym domorosłym paranoikiem

No i jak już jest taka podstawa to potem można poczytać, pomyśleć co chcemy, czego nie chcemy i rozbudować.

 

 

[husarz]

Witam.

Mam podobny problem.

Net mam na neostradzie i dziala. Wsieci lokalnej tez wszystko dziala dhcpd rozdaje adresy na sieci 192.168.0.0/24 i kompy sie ladnie pinguja itd.

Jesli chodzi o schering to opieralem sie na tym http://wiki.fedora.pl/Sieci/Udost%C4%99pni...towegoAIptables

Po zmianie:

cat /proc/sys/net/ipv4/ip_forward

1

 

i wpisaniu regulki

iptables -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE -t nat

 

iptables-save:

iptables-save

*nat
:PREROUTING ACCEPT [3531:273449]
:POSTROUTING ACCEPT [359:22146]
:OUTPUT ACCEPT [365:23010]
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Jan 25 12:10:34 2009
# Generated by iptables-save v1.4.1.1 on Sun Jan 25 12:10:34 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30926:3041497]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sun Jan 25 12:10:34 2009

 

schering dalej nie dziala ;( . dziwi mnie to bo w poprzednich dystrybucjach (<fc10) na tym sie opieralem i mi dzialal. Teraz nie.

Spr. jeszcze z tym wyżej wymienionych skryptem. Ale czy moglby mi ktos wytlumaczyc dlaczego to nie wystarcza.

 

EDIT:

OK Jest wszystko wporządku po uruchomieniu ww. skryptu. Co prawda bez bloku:

# przepuszczanie duzych pakietow
iptables -I FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu

bo nie dziala. Ale tu juz nie bede dociekal.

 

PS. Przydalo by sie zaktualizowac wiki.fedora.pl .

Edytowane Styczeń 25, 2009 przez WalDo
Edycja znaczników codebox → code

[@WalDo]

PS. Przydalo by sie zaktualizowac wiki.fedora.pl .

Serdecznie zapraszam Masz pełne pole do popisu. Na początek wystarczy napisać całość ,tak jak ma wyglądać po aktualizacji a potem przedstawić administratorom do akceptacji oraz poprosić ich o dostęp do wiki :-]

 

 

[Arabski]

To ja się poczepiam:

 

schering

 

Po jakiemu to? :lammer: