Вопрос по маршрутизации и биллингу.

[MadKox]

0. За chmod - сорьки, писал с таблетки, спьяну недотыкал стилусом...

1. Зачем в принципе нужен dnsmasq? Он выполняет 2 функции: а). Может служить DHCP сервером. б). Форвардит (т.е. не форвардит, а сам за клиентов спрашивает) клиентские DNS запросы на вышестоящие DNS-сервера (по-умолчанию, те, что написаны в /etc/resolv.conf). Если нет необходимости использовать - можно и не использовать  Но лично мне удобнее конфигурить шлюз так, чтобы и IP шлюза и IP DNS-сервера в локалке был одинаков - меньше адресов запоминать...  Для работы squid - dnsmasq не нужен (у squid есть собственный dns-ресолвер), я его использую для корректной работы тех сервисов, что идут в обход сквида.

2. В iptables нужно писать соединения так, как они присутствуют в системе. Т.е. если, например, по команде

Код: [Выделить]

ifconfig -aПолучаем такой вывод:

Код: [Выделить]

eth0      Link encap:Ethernet  HWaddr 00:00:00:00:00:00 
          inet addr:192.168.151.27  Bcast:192.168.151.255  Mask:255.255.255.0
          inet6 addr: fe80::21b:24ff:fea5:99b7/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19246 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:27215033 (27.2 MB)  TX bytes:2826318 (2.8 MB)
          Прервано:220 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:00:00:00:00:01 
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21b:24ff:fea5:99b7/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19246 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:27215033 (27.2 MB)  TX bytes:2826318 (2.8 MB)
          Прервано:220 Base address:0xc000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:100 (100.0 B)  TX bytes:100 (100.0 B)
При этом  - внешний (интернетовый) канал подключен к eth0, а внутренний (локалака) к eth1 - то пишем в iptables все аналогично rc.firewall.txt

Если же IP динамические  - см. dhcp.firewall.txt (там неприменима (ну, по крайней мере сразу)  переменная $INET_IP) - т.к. мы заранее не знаем, какой IP нам даст DHCP сервер. И соответственно в таблице nat, в цепочке POSTROUTING нужно применять не SNAT, а MASQUERADE.

3. В случае с АД - сквид и самс умеют работать авторизацией из АД. Сам такое не настраивал, так что могу только отправить читать об этом сюда и сюда.

4. В принципе - да. Только команда iptables-save создает не скрипт, а некий "свой" файл, который потом можно считать обратно iptables-restore. Я в предыдущем посте давал ссылку на учебник по iptables - там работа этих команд достаточно хорошо описана. Вообще тот учебник сильно стоит почитать, 90% вопросов отпадут сами собой.

[G-Dogg]

Т.е. получается, чт оя поднимаю pppoe (pppoeconf) на интерфейсе eth1 , получаю какой-т оай пишник ( в принципе я его буду знать) и в скрипте указывавю eth1 и этот ай пи, про пппое ни слова?

[MadKox]

А когда поднимается pppoe ifconfig не пишет ничего про pppoe? Я просто работал только с ppp. Там при инициализации подключения создавался интерфейс ppp0, о чем после подключения рассказывал ifconfig. Т.к. в том случае IP выдавался динамически, в скрипт для iptables я
-во-первых добавлял задержку 30 секунд (чтобы успело установиться соединение)

Код: [Выделить]

sleep 30s
-во-вторых указывал только

Код: [Выделить]

INET_IFACE="ppp0"
-в-третьих при построении правил не использовал $INET_IP и $INET_BROADCAST, только $INET_IFACE
-в-четвертых в цепочке POSTROUTING таблицы nat вместо

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
использовал

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE


[G-Dogg]

у меня статический ай пи, собственно сейчас  там стоит керио на винде и пришлось в качестве инета интерфейса именно ппп указать,а не физический интерфейс (сетевую карту), почему и спрашиваю про ай пи тэйблс (по аналогии_
а раз стат ай пи - значит SNAT верно?

[MadKox]

Да, все верно,  POSTROUTING'е - SNAT. (На самом деле можно и маскарад, но он при прочих равных работает медленнее).

Если ifconfig пишет имя интерфейса, например,  ppp0 то INET_IFACE="ppp0".

[G-Dogg]

А как скрипты по сбору трафика поставить на периодический запуск? В венде  - это Планировщик заданий, а тут как быть?

[MadKox]

А *никсах это cron.

Я ставил так:

Код: (/etc/crontab) [Выделить]

0  * * * * root ipt_traf_hourly
30 * * * * root ipt_traf_hourly
50 23 * * * root ipt_traf_dayly


[G-Dogg]

как проверить данные модули

Код: [Выделить]

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_stateна предмет наличия в системе?

[MadKox]

Сам не знаю, если только в код ядра заглянуть? 

Сам юзаю так:

Код: [Выделить]

/sbin/depmod -a
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
Вроде как все работает...

[G-Dogg]

Сам не знаю, если только в код ядра заглянуть? 

Сам юзаю так:

Код: [Выделить]

/sbin/depmod -a
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
Вроде как все работает...

а ты Ubuntu как есть ставил? или пересобирал ядро?

[MadKox]

Ставил как есть, серверную Ubuntu. Методом тыка понял, что мне не хватает вышеописанных модулей, вот и включил их.

[G-Dogg]

Ставил как есть, серверную Ubuntu. Методом тыка понял, что мне не хватает вышеописанных модулей, вот и включил их.

Т.е. достаточно просто прописать в скрипте запуск модулей, они есть по умолчанию в серверной убунте?

Если у меня роль DHCP выполняет другая машина, нужна ли эта строчка?

Код: [Выделить]

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

[MadKox]

1. Ну там такая тема: либо эти модули уже в самом iptables, либо их нужно подгружать отдельно. Я сначала думал, что в Убунтовском iptables они все есть, но ftp корректно не работал, пока я не добавил в скрипте подгрузку нужных модулей. Т.е. достаточно в скрипте указать их загрузку (но только тех, что реально нужны).

2. Строчка нужна если ДХЦП раздает адрес еще и шлюзу. Если шлюз сам знает свой IP - зачем ему DHCP (Прям стихи! =)

[G-Dogg]

Приведенных тобой настроек для iptables достаточно для предотвращения большинства атак и сканирвоания портов? А то одолели каждый день почти сканируют.

И еще, правило

Код: [Выделить]

# Проверяем, является ли пакет SYN пакетом, т.е. запросом на соединение.
$IPTABLES -A allowed -p TCP --syn -j ACCEPTнужно, если у меня нет доступных из инета ресурсов ( ни фтп, ни вэб и прочее)??

[MadKox]

Насчет атак и сканеров, сложный вопрос... от большинства наверное да, поможет. Но лучше - сходить например на nmap.org и почитать как работает самый распространенный сканер портов. Какие типы пакетов рекомендуют посылать, чтобы обойти iptables и соответственно исходя из этого строить правила.

На счет второго вопроса - автор учебника (из которого это и другие правила взяты) рекомендует оставить всю цепочку bad_tcp_packets даже если внешних служб на шлюзе никаких нет, и использовать ее в цепочке OUTPUT, чтобы аналогичным способом проверять все исходящие пакеты.