настройка ping в shorewall

[red14_88]

Обновлю немного темку. Проблема решена. Свои посты в теме почищу сам, а если модераторы решат, что дело стоящее-подчистят всю темку. Обозвать тему лучше всего shorewall по шагам. Итак, отдельное спасибо VInniPooh'у, приступим:
Предполагается следующая архитектура:

Код: [Выделить]

[internet]-[(ххх.ххх.ххх.ххх)ADSL-модем(192.168.1.1)]---------[(192.168.1.93)router(192.168.0.1)]----------[клиентские

машины с разными запросами]

Задача маршрутизатора на базе Ubuntu server 9.04 обеспечить безопасность сети (без фанатизма), учет http-траффика.
Маленькое отступление. На сервере кроме самого маршрутизатора стоят bind9 (DNS-srver), dhcp3 (DHCP-server), - их настройку можно рассмотреть в отдельных темах. Управление всем процессом осуществлялось мною через морду WEBMIN, но привожу специально консольные команды, так как не всегда удобно юзать вебморду.
Установку самого сервера описывать не будем, начнём сразу с shorewall:
1) установка:
>sudo apt-get install shorewall
2)настройка сетевых интерфейсов оставляется на совести читателя, результат должен быть примерно такой:
> cat /etc/network/interfaces

Код: [Выделить]

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo eth0 eth1
iface lo inet loopback
# The primary network interface
iface eth0 inet static
        address 192.168.1.93
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        dns-nameservers 192.168.1.1
        gateway 192.168.1.1
        up ip route add 192.168.1.0/24 via 192.168.1.1
        # dns-* options are implemented by the resolvconf package, if installed
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        broadcast 192.168.0.255
        network 192.168.0.0
3)настройка сетевых интерфейсов в shorewall:
>sudo nano /etc/shorewall/intefaces
Там пишем следующее:

Код: [Выделить]

#флаги взяты из разных источников и работают «как есть», подробности в гугле
local eth1 detect tcpflags,nosmurfs
net eth0 detect routefilter,tcpflags,nosmurfs,logmartians
4)настройка зон в shorewall
>sudo nano /etc/shorewall/zones

Код: [Выделить]

#комментарии излишни
fw firewall
net ipv4
local ipv45)настройки главных политик (у нас будет «запрещено всё,кроме того, что разрешено») - здесь запрещаем всё:
>sudo nano /etc/shorewall/policy

Код: [Выделить]

net all DROP #все пакеты из интернета даже не обрабатываем
all all REJECT info #прочие пакеты заносим в лог6)настройки правил файервола — здесь уже ставим разрешения (в моём случае их достаточно много, всегда такое не нужно):
>sudo nano /etc/shorewall/rules

ACCEPT   fw   net   tcp   80,110,443   #чтобы был доступ в интернет по http(s)
DNS/ACCEPT   fw   net   #для форвардинга нашего DNS-servera
DNS/ACCEPT   local   fw   #для получения DNS клиентами
SSH/ACCEPT   local   all   #для управления из локали серверами    #по SSH (в том числе и нашим роутером через putty)
IMAP/ACCEPT   local   all   #разрешаем
POP3/ACCEPT   local   all   #клиентам
SMTP/ACCEPT   local   all   #их почту
RDP/ACCEPT   local   net   # для управления из локали серверами    #по RDP
Ping/ACCEPT   all   all   #разрешено пинговать что угодно
REDIRECT   local   3128   tcp   80   #редирект http траффика на squid

7)маскарадинг:
>sudo nano /etc/shorewall/masq
там пишем:

Код: [Выделить]

eth0 eth18)теперь запуск. Во-первых в
>sudo shorewall check
если ошибок не обнаружено, то
>sudo shorewall start
9)и, наконец
>sudo nano /etc/default/shorewall
ставим

Код: [Выделить]

STARTUP=1а в
>sudo nano /etc/shorewall/shorewall.conf

Код: [Выделить]

STARTUP_ENABLED=Yes-это всё чтобы при старте системы shorewall стартовал.

Маленькое замечание. В настройках сети у клиентов маска должна быть

Код: [Выделить]

255.255.0.0

[AnrDaemon]

Целый топик с примерами.
iptables how-to называется.

[VinnyPooh]

>local   fw   ACCEPT
>local   net   ACCEPT
>fw   all   ACCEPT
>net   all   DROP   info

мой конфиг

fw net ACCEPT
loc net ACCEPT
loc fw ACCEPT
fw loc ACCEPT
net fw DROP info
net loc DROP info
net all DROP info
all all REJECT info

отдельные правила не устанавливал т.как домашний сервак. Поэтому с сервака в локальную сетку и обратно на сервак доступ полный.

[VinnyPooh]

Открой всё для начала то есть убери правила, закрыть правилами всегда всё можно.
Если с конфигом аля "всё и всем дозволено, кроме как из инета заходить к нам" (у меня такой конфиг) всё работает, значит можно добавлять постепенно правила, если НЕ работает значит надо искать причину.

> а разьве третье правило не включает два предыдущих? попробую Ваш конфиг, спасибо, хотя имхо, даже мой излишний.

Я его написал в январе месяце и забыл, что-то менять мне лень, работает всё как надо.

[AnrDaemon]

Целый топик с примерами.
iptables how-to называется.

там тридцать страниц по поводу того, как и что не работает

А ты не читай 30 страниц тех, кто сфейлил чтение первого поста...

[VinnyPooh]

выложите

/etc/network/interfaces

в настройках локальной машины попробовать можно поставить маску 255.255.0.0

[VinnyPooh]

> VinniPooh, вы откуда? с меня пиво за идею 255.255.0.0
как разберусь совсем выложу рабочие кнофиги всего, что есть

Хыы, спасибо, когда-нибудь может быть.

Лучше действительно выкладывайте конфиги потом, нормальная такая практическая ситуация, думаю многим пригодится.

[red14_88]

как и обещал, обновил темку, добавил работающе конфиги со скромными комментариями. если это интересно кому-то, огу написать потом про DHCP, DNS и squid+lightsquid. Хотя по такому добру инфы в инете море )))

[VinnyPooh]

Имхо, тему надо перенести в How-to, всё просто и доступно расписано.

[red14_88]

прошу тапками не кидать-опять проблема того же рода.
настраивал фаервол заново, чтобы запомнилось лучше как и что, даже систему заново поставил, а теперь по своим же конфигам не работает у меня. поменял то всего ничего.. вот

Код: [Выделить]

>cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.2.2
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.2.1
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadkast 192.168.1.255

интерфейсы

Код: [Выделить]

net eth0 detect routefilter,tcpflags,nosmurfs,logmartians
local eth1 detect tcpflags,nosmurfs

 зоны

Код: [Выделить]

fw firewall
net ipv4
local ipv4 #

и полиция

Код: [Выделить]

all all ACCEPT
-даже до такого дошёл уже,в правилах пусто

маска, соответственно,

Код: [Выделить]

eth0 eth1
интернет сейчас через сквид работает-пишу вот.. пингуются обе сетевухи фаервола, а модем (192.168.2.1) уже не пингуется....
может есть у кого мысль? похоже я не улавливаю какую -то оччень маленькую но важную вещь...

[VinnyPooh]

255.255.0.0
в смысле в настройках сетевого соединения на компьютере в сети (на компе с которого пингуешь).

[red14_88]

>VinnyPooh
маску попробовал в первую очередь,не помогло ((
ещё поробовал установил ipmasq и dnsmasq так вот, при отключенном shorewall'e после
sudo ipmasq start
и
sudo dnsmasq start
пинги ИДУТ из локалки на яндекс, а на модем почему-то не хотят по прежнему
после запуска shorewall в котором всё разрешено не идут, даже если заново запускать вышеуказанные утилиты (((
Пользователь решил продолжить мысль 17 Октября 2009, 20:11:33:на компе с какого пингую

Код: [Выделить]

C:\Documents and Settings\->ping ya.ru

Обмен пакетами с ya.ru [77.88.21.8] по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 77.88.21.8:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

C:\Documents and Settings\->ipconfig /all

Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : windowsxpsp3
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI
Gigabit Ethernet Controller
        Физический адрес. . . . . . . . . : 00-18-F3-80-41-C2
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.1.50
        Маска подсети . . . . . . . . . . : 255.255.0.0
        Основной шлюз . . . . . . . . . . : 192.168.1.1
        DNS-серверы . . . . . . . . . . . : 192.168.1.1

[VinnyPooh]

Хм.
Попробуйте маршрут прописать, см. этот топик с самого начала (сетевые настройки в файле у товарища выше).

ну здравствуйте, у вас шлюз стоит левый и днс-сервер, днс сервер укажите тот, который стоит на другом IP адресе (192.168.2.1).

а по IP адресу тот же яндекс не пингуется? Просто он банально не может возможно найти имени, так как по указанному вами адресу в настройках клиента DNS сервера то нет.

[red14_88]

бред какой-то спасла перезагрузка...
>VinnyPooh-и всё-таки с меня пиво


более подробно проблема выглядит так-
после перезагрузки по рпавилам shjrewall всё работает. попытка изменить правила и выполнение shorewall restart приводит к тому, что форвардинг перестаёт работать, т.е. пинг не идёт.... перезагрузка-опять всё ок. что мб? есть у кого умные мысли? что такого затрагивает перезапуск shorewall?
Пользователь решил продолжить мысль 17 Октября 2009, 21:38:37:ip определяется для яндекса. если не пингуется яндекс, то и модем не пингуется...

[AnrDaemon]

Затрагивает правила iptables
Вот и смотри, что именно он затрагивает, и почему от перезагрузки до перезагрузки ситуация меняется.