Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: 1 [2] 3 4   Вниз
  Печать  
Автор Тема: Настройка роутера на CentOS 6.0  (Прочитано 113606 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #30 : 29-10-2011 07:47 » new

man это тоже пакет
посмотри установлен ли?
rpm -qa |grep man

ты уже искал пакеты networkmeneger...
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #31 : 29-10-2011 10:47 » 

Искать-то искал, но я же не знаю - самстоятельный это пакет или входит всостав чего-то другого (например named - это пакет bind)

yum install man
Получилось, спасибо Улыбаюсь
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #32 : 29-10-2011 10:47 » 

Остается впрос с named:
работает ли он у меня локально и почему не работает с винодового компа?
Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #33 : 29-10-2011 11:43 » 

Остается впрос с named:
работает ли он у меня локально и почему не работает с винодового компа?
1. А ты named запустил?
ps ax|grep named
2. Если его в процессах нет, то
/etc/дальше не знаю где/наример/init.d/named start
Может ругнуться, типа не прописана строка в ..например.. /etc/rc.conf
тогда прописываешь строку

named_enable="YES" или что-нибудь похожее

Было бы неплохо настроить логирование
путь указать в /var/log/named

а... где хранится настройки ns-серверов хоста - типа /etc/resolv.conf  и настроить на себя любимого
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #34 : 29-10-2011 11:55 » 

named запущен:
# ps ax|grep named
 1584 ?        Ssl    0:00 /usr/sbin/named -u named -t /var/named/chroot
 2280 pts/0    S+     0:00 grep named

настроить логирование - как?
/var/log/named - нет у меня такого

Цитата
а... где хранится настройки ns-серверов хоста - типа /etc/resolv.conf  и настроить на себя любимого
О! получилось!
# dig shelek.ru

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> shelek.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54175
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;shelek.ru.                     IN      A

;; ANSWER SECTION:
shelek.ru.              3600    IN      A       89.253.196.249

;; AUTHORITY SECTION:
shelek.ru.              3600    IN      NS      ns1.shelek.su.
shelek.ru.              3600    IN      NS      ns2.shelek.su.

;; ADDITIONAL SECTION:
ns1.shelek.su.          3600    IN      A       89.253.195.249
ns2.shelek.su.          3600    IN      A       89.253.196.249

;; Query time: 704 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Oct 29 14:52:34 2011
;; MSG SIZE  rcvd: 120

Теперь как узнать почему не работает с другой машины в локальной сети? Как проверить доступность 53 порта из сети?
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #35 : 29-10-2011 11:58 » 

в /var/named/chroot/etc/named.conf меня смущает:
controls
{
    inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc-key; };
};

Может он слушает только localhost?
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #36 : 29-10-2011 12:15 » 

Покажи настройки iptables
iptables-save
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #37 : 29-10-2011 12:16 » 

а ты зоны настраивал?
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #38 : 29-10-2011 12:17 » 

Надо секцию:
Код:
options
{
   listen-on { 127.0.0.1; 1.2.3.4; };
}
В таком вот аксепте.

Секция options у тебя скорее всего уже есть.

А вообще вместе с named устанавливается файл конфигурации по-умолчанию, там всё прокомментировано. Или в CentOS такое не ставится?
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #39 : 29-10-2011 12:23 » 

http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html Вот небольшой обзор мониторинга работы системы. Из них можно обратить внимание на tcpdump, iptraf, nmap, netstat
« Последнее редактирование: 29-10-2011 12:25 от Finch » Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #40 : 29-10-2011 12:25 » 

Покажи настройки iptables
iptables-save

# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct 29 15:18:40 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15258:1960413]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Oct 29 15:18:40 2011

а ты зоны настраивал?

Нет. По умолчанию.

Надо секцию...

Ок, попробую...

А вообще вместе с named устанавливается файл конфигурации по-умолчанию, там всё прокомментировано. Или в CentOS такое не ставится?
Я в named скопировал Ромины настроки. А в сохраненный файл, который поставился, не посмотрел...
Пошел изучать /usr/share/doc/bind*/sample/ ...
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #41 : 29-10-2011 12:26 » 

Вот небольшой обзор мониторинга работы системы. Из них можно обратить внимание на tcpdump, iptraf, nmap, netstat

Спасибо, посмотрю...
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #42 : 29-10-2011 12:28 » 

У тебя не открыт 53 порт во внешний мир Улыбаюсь. Только 22 порт ssh.
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #43 : 29-10-2011 12:47 » 

Finch, И? Как его открыть? (ну чайник я! Улыбаюсь )

Нашел вот такое решение (http://www.cyberciti.biz/tips/linux-iptables-12-how-to-block-or-open-dnsbind-service-port-53.html):
Код: (Bash)
SERVER_IP="202.54.10.20"
DNS_SERVER="202.54.1.5 202.54.1.6"
for ip in $DNS_SERVER
do
iptables -A OUTPUT -p udp -s $SERVER_IP --sport 1024:65535 -d $ip --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s $ip --sport 53 -d $SERVER_IP --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT-p tcp -s $SERVER_IP --sport 1024:65535 -d $ip --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s $ip --sport 53 -d $SERVER_IP --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
done

Насколько оно корректно?
Насколько безопасно было бы открыть порт 53 на выход на все сервера (any или all)?
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #44 : 29-10-2011 12:50 » 

Уже проверил, что запросы на DNS приходят:
# tcpdump -i eth0 'udp port 53'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:41:10.415887 IP 192.168.30.30.activesync > 192.168.30.100.domain: 1+ PTR? 100.30.168.192.in-addr.arpa. (45)
15:41:12.412464 IP 192.168.30.30.mxxrlogin > 192.168.30.100.domain: 2+ A? shelek.ru. (27)
15:41:14.411944 IP 192.168.30.30.nsstp > 192.168.30.100.domain: 3+ A? shelek.ru. (27)
Записан
Sla
Модератор

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #45 : 29-10-2011 13:02 » 

iptables не знаю
но в локалке временно нужно разрешить все....
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #46 : 29-10-2011 13:09 » 

Тебе нужно такой файл
Код:
# Generated by iptables-save v1.4.10 on Sat Oct 29 15:05:39 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:521]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Oct 29 15:05:39 2011
Записать в /etc/sysconfig/iptables И рестартануть iptables
iptables-restore /etc/sysconfig/iptables
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #47 : 29-10-2011 13:21 » 

Т.е.добавились 2 строки - это понятно:
Код:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

А почему поменялся диапазон?
Код:
:OUTPUT ACCEPT [4:521]
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #48 : 29-10-2011 13:23 » 

Можно ограничить, чтоб могли только залезть с локальной сети. Принимаем, что 192.168.30.0/24 твоя локальная сеть, тогда строчки
Код:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
будут выглядеть так
Код:
-A INPUT -p tcp -s 192.168.30.0/24 -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -s 192.168.30.0/24 -m state --state NEW -m udp --dport 53 -j ACCEPT




Добавлено через 1 минуту и 33 секунды:
Kivals, iptables-save сам формирует этот диапазон Улыбаюсь По понятным только ему правилам. Я даже не разбирался как он это делает.
« Последнее редактирование: 29-10-2011 13:25 от Finch » Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #49 : 29-10-2011 13:27 » 

Finch, Спасибо! DNS заработал!

Да,  уже посмотрел что в самом файле /etc/sysconfig/iptables там стоят 0 и не трогал...
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #50 : 29-10-2011 13:32 » 

...
Для выхода внутренних машин в инет тоже правило iptables:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct 29 16:30:46 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sat Oct 29 16:30:46 2011
# Generated by iptables-save v1.4.7 on Sat Oct 29 16:30:46 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:544]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Oct 29 16:30:46 2011

При этом пинг с внутреннего сервера не проходит:

* sc-20111029163212.png (5.13 Кб - загружено 1738 раз.)
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #51 : 29-10-2011 13:33 » 

С самого сервера - все Ок:
# ping shelek.ru
PING shelek.ru (89.253.196.249) 56(84) bytes of data.
64 bytes from shelek.ru (89.253.196.249): icmp_seq=1 ttl=253 time=147 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=2 ttl=253 time=147 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=3 ttl=253 time=146 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=4 ttl=253 time=152 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=5 ttl=253 time=145 ms
^C
--- shelek.ru ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4916ms
rtt min/avg/max/mdev = 145.925/147.950/152.380/2.352 ms
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #52 : 29-10-2011 13:37 » 

Кстати тебе нужно поменять правила FORWARD. Для начала лучше убрать правило
Код:
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
Проверить, что все работает.
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #53 : 29-10-2011 13:40 » 

Насчет пробросить - надо знать твою организацию сети: у тебя внешние все IP будут назначены на интерфейс роутера или внешний роутер использует твой роутер как маршрут для подсети?
...
Чтобы дать более дельные советы нужно больше деталей.
Не совсем понимаю суть фразы "или внешний роутер использует твой роутер как маршрут для подсети"
Роутер (который мой) имеет реальный IP, к которому я могу обращаться (и обращаюсь) по всем портам. При этом у меня в роутере прописан реальный IP gateway в файле /etc/sysconfig/network:
NETWORKING=yes
GATEWAY=12.34.56.1
HOSTNAME=router.localdomain
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #54 : 29-10-2011 13:40 » 

Кстати ping в отличие от Windows по умолчанию посылается бесконечно Улыбаюсь Если хочеш его ограничить. Есть опция -c После которой нужно поставить число, обозначающее сколько раз пинговать. Например.
ping -c4 shelek.ru
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #55 : 29-10-2011 13:42 » 

Finch, убрал, перезапустил - вроде все ок:

* sc-20111029164141.png (2.94 Кб - загружено 1721 раз.)
Записан
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #56 : 29-10-2011 13:44 » 

Кстати ping в отличие от Windows по умолчанию посылается бесконечно Улыбаюсь
Да, эту особенность я знаю. Пока мне легче Ctrl+C прервать..
Меня как раз в свое время волновло как в Windows бесконечно посылать - опция -t Улыбаюсь
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #57 : 29-10-2011 13:45 » 

Теперь, если хочеш накладывать ограничения, на пропускаемые пакеты. Можно вернуть обратно строчку, но перед ней писать правила для всех портов, которые хочеш пропускать дальше в сеть через свой раутер.
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Kivals
Команда клуба

ca
Offline Offline
Пол: Мужской

WWW
« Ответ #58 : 29-10-2011 13:52 » 

Я правильно понимаю - чтобы разрешить 80 порт для всей внутреннй сети - нужно правило (перед запретом):
Код:
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
?
Записан
Finch
Спокойный
Администратор

il
Offline Offline
Пол: Мужской
Пролетал мимо


« Ответ #59 : 29-10-2011 13:54 » 

Да.
Записан

Не будите спашяго дракона.
             Джаффар (Коша)
Страниц: 1 [2] 3 4   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines