Настройка роутера на CentOS 6.0

[Sla]

man это тоже пакет
посмотри установлен ли?
rpm -qa |grep man

ты уже искал пакеты networkmeneger...

[Kivals]

Искать-то искал, но я же не знаю - самстоятельный это пакет или входит всостав чего-то другого (например named - это пакет bind)

yum install man

Получилось, спасибо

[Kivals]

Остается впрос с named:
работает ли он у меня локально и почему не работает с винодового компа?

[Sla]

Остается впрос с named:
работает ли он у меня локально и почему не работает с винодового компа?

1. А ты named запустил?
ps ax|grep named
2. Если его в процессах нет, то
/etc/дальше не знаю где/наример/init.d/named start
Может ругнуться, типа не прописана строка в ..например.. /etc/rc.conf
тогда прописываешь строку

named_enable="YES" или что-нибудь похожее

Было бы неплохо настроить логирование
путь указать в /var/log/named

а... где хранится настройки ns-серверов хоста - типа /etc/resolv.conf  и настроить на себя любимого

[Kivals]

named запущен:

# ps ax|grep named
 1584 ?        Ssl    0:00 /usr/sbin/named -u named -t /var/named/chroot
 2280 pts/0    S+     0:00 grep named

настроить логирование - как?
/var/log/named - нет у меня такого

а... где хранится настройки ns-серверов хоста - типа /etc/resolv.conf  и настроить на себя любимого

О! получилось!

# dig shelek.ru

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> shelek.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54175
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;shelek.ru.                     IN      A

;; ANSWER SECTION:
shelek.ru.              3600    IN      A       89.253.196.249

;; AUTHORITY SECTION:
shelek.ru.              3600    IN      NS      ns1.shelek.su.
shelek.ru.              3600    IN      NS      ns2.shelek.su.

;; ADDITIONAL SECTION:
ns1.shelek.su.          3600    IN      A       89.253.195.249
ns2.shelek.su.          3600    IN      A       89.253.196.249

;; Query time: 704 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Oct 29 14:52:34 2011
;; MSG SIZE  rcvd: 120

Теперь как узнать почему не работает с другой машины в локальной сети? Как проверить доступность 53 порта из сети?

[Kivals]

в /var/named/chroot/etc/named.conf меня смущает:

controls
{
    inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc-key; };
};

Может он слушает только localhost?

[Finch]

Покажи настройки iptables

iptables-save

[Sla]

а ты зоны настраивал?

[Dimka]

Надо секцию:

Код:

options
{
   listen-on { 127.0.0.1; 1.2.3.4; };
}

В таком вот аксепте.

Секция options у тебя скорее всего уже есть.

А вообще вместе с named устанавливается файл конфигурации по-умолчанию, там всё прокомментировано. Или в CentOS такое не ставится?

[Finch]

http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html Вот небольшой обзор мониторинга работы системы. Из них можно обратить внимание на tcpdump, iptraf, nmap, netstat

[Kivals]

Покажи настройки iptables

iptables-save

# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct 29 15:18:40 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15258:1960413]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Oct 29 15:18:40 2011

а ты зоны настраивал?

Нет. По умолчанию.

Надо секцию...

Ок, попробую...

А вообще вместе с named устанавливается файл конфигурации по-умолчанию, там всё прокомментировано. Или в CentOS такое не ставится?

Я в named скопировал Ромины настроки. А в сохраненный файл, который поставился, не посмотрел...
Пошел изучать /usr/share/doc/bind*/sample/ ...

[Kivals]

Вот небольшой обзор мониторинга работы системы. Из них можно обратить внимание на tcpdump, iptraf, nmap, netstat

Спасибо, посмотрю...

[Finch]

У тебя не открыт 53 порт во внешний мир . Только 22 порт ssh.

[Kivals]

Finch, И? Как его открыть? (ну чайник я! )

Нашел вот такое решение (http://www.cyberciti.biz/tips/linux-iptables-12-how-to-block-or-open-dnsbind-service-port-53.html):

Код: (Bash)

SERVER_IP="202.54.10.20"
DNS_SERVER="202.54.1.5 202.54.1.6"
for ip in $DNS_SERVER
do
iptables -A OUTPUT -p udp -s $SERVER_IP --sport 1024:65535 -d $ip --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s $ip --sport 53 -d $SERVER_IP --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT-p tcp -s $SERVER_IP --sport 1024:65535 -d $ip --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s $ip --sport 53 -d $SERVER_IP --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
done

Насколько оно корректно?
Насколько безопасно было бы открыть порт 53 на выход на все сервера (any или all)?

[Kivals]

Уже проверил, что запросы на DNS приходят:

# tcpdump -i eth0 'udp port 53'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:41:10.415887 IP 192.168.30.30.activesync > 192.168.30.100.domain: 1+ PTR? 100.30.168.192.in-addr.arpa. (45)
15:41:12.412464 IP 192.168.30.30.mxxrlogin > 192.168.30.100.domain: 2+ A? shelek.ru. (27)
15:41:14.411944 IP 192.168.30.30.nsstp > 192.168.30.100.domain: 3+ A? shelek.ru. (27)

[Sla]

iptables не знаю
но в локалке временно нужно разрешить все....

[Finch]

Тебе нужно такой файл

Код:

# Generated by iptables-save v1.4.10 on Sat Oct 29 15:05:39 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:521]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Sat Oct 29 15:05:39 2011

Записать в /etc/sysconfig/iptables И рестартануть iptables

iptables-restore /etc/sysconfig/iptables

[Kivals]

Т.е.добавились 2 строки - это понятно:

Код:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

А почему поменялся диапазон?

Код:

:OUTPUT ACCEPT [4:521]

[Finch]

Можно ограничить, чтоб могли только залезть с локальной сети. Принимаем, что 192.168.30.0/24 твоя локальная сеть, тогда строчки

Код:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 

будут выглядеть так

Код:

-A INPUT -p tcp -s 192.168.30.0/24 -m state --state NEW -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -s 192.168.30.0/24 -m state --state NEW -m udp --dport 53 -j ACCEPT 

Добавлено через 1 минуту и 33 секунды:
Kivals, iptables-save сам формирует этот диапазон По понятным только ему правилам. Я даже не разбирался как он это делает.

[Kivals]

Finch, Спасибо! DNS заработал!

Да,  уже посмотрел что в самом файле /etc/sysconfig/iptables там стоят 0 и не трогал...

[Kivals]

...
Для выхода внутренних машин в инет тоже правило iptables:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct 29 16:30:46 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sat Oct 29 16:30:46 2011
# Generated by iptables-save v1.4.7 on Sat Oct 29 16:30:46 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:544]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Oct 29 16:30:46 2011

При этом пинг с внутреннего сервера не проходит:

[Kivals]

С самого сервера - все Ок:

# ping shelek.ru
PING shelek.ru (89.253.196.249) 56(84) bytes of data.
64 bytes from shelek.ru (89.253.196.249): icmp_seq=1 ttl=253 time=147 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=2 ttl=253 time=147 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=3 ttl=253 time=146 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=4 ttl=253 time=152 ms
64 bytes from shelek.ru (89.253.196.249): icmp_seq=5 ttl=253 time=145 ms
^C
--- shelek.ru ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4916ms
rtt min/avg/max/mdev = 145.925/147.950/152.380/2.352 ms

[Finch]

Кстати тебе нужно поменять правила FORWARD. Для начала лучше убрать правило

Код:

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

Проверить, что все работает.

[Kivals]

Насчет пробросить - надо знать твою организацию сети: у тебя внешние все IP будут назначены на интерфейс роутера или внешний роутер использует твой роутер как маршрут для подсети?
...
Чтобы дать более дельные советы нужно больше деталей.

Не совсем понимаю суть фразы "или внешний роутер использует твой роутер как маршрут для подсети"
Роутер (который мой) имеет реальный IP, к которому я могу обращаться (и обращаюсь) по всем портам. При этом у меня в роутере прописан реальный IP gateway в файле /etc/sysconfig/network:

NETWORKING=yes
GATEWAY=12.34.56.1
HOSTNAME=router.localdomain

[Finch]

Кстати ping в отличие от Windows по умолчанию посылается бесконечно Если хочеш его ограничить. Есть опция -c После которой нужно поставить число, обозначающее сколько раз пинговать. Например.

ping -c4 shelek.ru

[Kivals]

Finch, убрал, перезапустил - вроде все ок:

[Kivals]

Кстати ping в отличие от Windows по умолчанию посылается бесконечно

Да, эту особенность я знаю. Пока мне легче Ctrl+C прервать..
Меня как раз в свое время волновло как в Windows бесконечно посылать - опция -t

[Finch]

Теперь, если хочеш накладывать ограничения, на пропускаемые пакеты. Можно вернуть обратно строчку, но перед ней писать правила для всех портов, которые хочеш пропускать дальше в сеть через свой раутер.

[Kivals]

Я правильно понимаю - чтобы разрешить 80 порт для всей внутреннй сети - нужно правило (перед запретом):

Код:

-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

?

[Finch]

Да.