Dyskutujmy.pl

Witam.

Mam 2 komputery. Pierwszy (Slackware) ma robić jako router z NATem dla podsieci (obecnie jednego komputera) i jego konfiguracja mnie interesuje.
eth0 - podłączone do LANu providera, konfigurowane przez dhcp
eth1 - podłączone do mojego drugiego komputera

Kompuiter-router ma już działające połączenie do internetu. Działający na nim dhcpd (chyba) poprawnie konfiguruje moją drugą maszynę tak, że jest między nimi działające połączenie. Z różnych źródeł skleciłem reguły dla iptables:


#!/bin/sh
#
# /etc/rc.d/rc.firewall: Firewall initialization script.
#

# Setting up iptables rules
# EXTERNAL -> external network interface
# INTERNAL -> internal network interface
EXTERNAL=eth0
INTERNAL=eth1
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Setting up NAT ..."
# by default, nothing is forwarded.
iptables -P FORWARD DROP
# Allow all connections OUT and only related ones IN
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -m state --state ESTABLISHED,RELA\
TED -j ACCEPT
iptables -A FORWARD -i $INTERNAL -o $EXTERNAL -j ACCEPT
# enable MASQUERADING
iptables -t nat -A POSTROUTING -o $EXTERNAL -j MASQUERADE


Efekt jest taki, że drugi komputer może połączyć się do sieci LAN oferowanej przez providera, ale nie może połączyć się nigdzie za nią, tzn na świat. Ustawiony przez dhcpd dns (na moją maszynę-router) działą poprawnie, tzn z drugiego komputera da się przetłumaczyć nazwy domen na numerki, ale już nie da się połączyć z żadnym zewnętrznym hostem.

Proszę o pomoc, nigdy czegoś takiego nie robiłem. Siedzę i gapię się na to od paru godzin i nic nie przychodzi mi do głowy.

Pokaz odpowiedz Twojego klienta na np.

ping wp.pl (ew. ping 212.77.100.101)

A jesli to pojdzie, to odpowiedz na

traceroute wp.pl (jesli to linux) ew. tracert wp.pl (jesli to winda)

Mozesz tez pokazac odpowiedzi na route i ifconfig z obu maszyn (ipconfig /all dla windowsa), tak na wszelki wypadek.

C:\>ping wp.pl

Badanie wp.pl [212.77.100.101] z użyciem 32 bajtów danych:

Upłynął limit czasu żądania.
Upłynął limit czasu żądania.
Upłynął limit czasu żądania.
Upłynął limit czasu żądania.

Statystyka badania ping dla 212.77.100.101:
Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4 (100% straty),

C:\>ipconfig /all

Konfiguracja IP systemu Windows

Nazwa hosta . . . . . . . . . . . : HASS
Sufiks podstawowej domeny DNS . . . . . . :
Typ węzła . . . . . . . . . . . . : Nieznany
Routing IP włączony . . . . . . . : Tak
Serwer WINS Proxy włączony. . . . : Nie
Lista przeszukiwania sufiksów DNS : psaa.pl

Karta Ethernet Internet:

Sufiks DNS konkretnego połączenia : psaa.pl
Opis . . . . . . . . . . . . . . : Karta Realtek RTL8139 Family PCI Fas
t Ethernet NIC
Adres fizyczny. . . . . . . . . . : 00-00-21-C3-23-F8
DHCP włączone . . . . . . . . . . : Tak
Autokonfiguracja włączona . . . . : Tak
Adres IP. . . . . . . . . . . . . : 192.168.1.2
Maska podsieci. . . . . . . . . . : 255.255.255.0
Brama domyślna. . . . . . . . . . : 192.168.1.1
Serwer DHCP . . . . . . . . . . . : 192.168.1.1
Serwery DNS . . . . . . . . . . . : 192.168.1.1
Dzierżawa uzyskana. . . . . . . . : 8 wrzesnia 2020 20:45:57
Dzierżawa wygasa. . . . . . . . . : 9 wrzesnia 2020 02:45:57


~# ifconfig

eth0 Link encap:Ethernet HWaddr 00:00:21:C3:23:F6
inet addr:10.20.1.190 Bcast:10.255.255.255 Mask:255.0.0.0
UP BROADCAST NOTRAILERS MULTICAST MTU:1500 Metric:1
RX packets:106587 errors:0 dropped:0 overruns:0 frame:0
TX packets:429 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7059846 (6.7 Mb) TX bytes:40368 (39.4 Kb)
Interrupt:11 Base address:0x6300

eth1 Link encap:Ethernet HWaddr 00:01:02:AC:10:B0
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:152 errors:0 dropped:0 overruns:0 frame:0
TX packets:189 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:46771 (45.6 Kb) TX bytes:37469 (36.5 Kb)
Interrupt:10 Base address:0x6700

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Ok.

Zarowno konfig iptables jak i dhcp masz ok (choc skromny). Na 99% Twoj provider ogranicza mozliwosc podlaczenia wiecej niz 1 komputera na uzytkownika jest wprowadzone ograniczenie powodujace ze pakiety wychodzace w swiat moga pochodzic z najwyzej 1 komputera dalej niz Jego maszyna (albo odpowiednio wiecej, ale tak by Twoj serwer byl tym ostatnim w lancuszku).

Wiem dokladnie jak to zrobic, oraz jak to obejsc, bo sie da. Ale sorki... nie zdradze Ci tego (trzeba dobrze poznac sposob dzialania sieci oraz firewall'i). Uwazam poprostu ze skoro ktos chcial tak ograniczyc rozdzielanie sieci, to nie powinienem mu tego psuc. Sam administruje kilkoma sieciami, wiec chyba mnie zrozumiesz... nie chcialbym by ktos rozpowszechnial sposoby obejscia moich zabezpieczen. To prawie jak piractwo.


Dobra... bo chyba i tak powiedzialem za duzo.

No! no! Z tym piractwem to grubo przesadzasz!

Doskonale wiem, że provider tego sobie życzy. Zabawa polega na tym, że podpisywałem umowę za bytności poprzedniego admina, gdy nikt się nad tym nie zastanawiał, więc w umowie nikt mi nie zakazuje tego robić. Więc to zrobię i będzie to całkowicie legalne. Nie mam zresztą zamiaru płacić dodatkowych 70pln za malutki serwer, który będzie generował ruch rzędu megabajtów na miesiąc - i moralnie nie będę poczuwał się do jakiejkolwiek winy.

Mam mgliste pojęcie o tym, tzn potrafię sobie teoretycznie wyobrazić jak powienien działać taki mechanizm, żeby nikt nie mógł zdeterminować, czy za moją wtyczką stoi jeden, czy więcej kompów. Niestety od niedawna zajmuję się linuxem i nie znam żadnych gotowych rozwiązań na to.

Poza tym studiuję informatykę i w grupie znajdą się osoby, które to wiedzą i są gotowe mi to powiedzieć, narysować, albo nawet wyrzeźbić za piwo albo jakieś notatki.f Tyle, że wszyscy powyjeżdżali na wakacje, a serwer (więc i cały ten routing) muszę (tzn bardzo powinienem) postawić teraz...

Jeśli dalej nie przekonałem, to szkoda, będę szukał gdzieś indziej. Sieć jest szeroka i głęboka. A jeśli nie chcesz tego po prostu publikować, to zawsze możesz użyć PM smile.gif W każdym razie dzięki za potwierdzenie prawidłowości konfiguracji - nie będę już tego musiał sprawdzać.

Noo... grubo, niegrubo... prawie (choc istnieje mozliwosc ze Twoj provider sam nie jest w 100% fair ). Jesli bedziesz mial jakies pytania odnosnie Linuxa, a zwlaszcza Slacka to (o ile to przeczytam) to pomoge, ale akurat temat zabezpieczenia sieci przed niepowolanym dostepem traktuje powazniej niz piractwo programow komp. Moze dlatego ze programow, ktore obecnie pisze i tak praktycznie nie da sie spiracic.

Zabezpieczenie jest dosc prymitywne w kazdym badz razie, wiec moze uda Ci sie znalezc, a skoro studiujesz informe to gdzies na sieciach i systemach operacyjnych to miales/bedziesz mial.

A zeby w grupie miec zyly ktore wyzezbia dopiero za lapowke ?? Kiepsko...

Hmm zabezpieczenia i blokady to nie byla moja dzialka na studiach, ale sprobuje zgadnac - czy blokada ma cos wspolnego z TTLem?

Dopiero teraz zrozumiałem, że chodziło nie o analizę wychodzących numerków TTL, tylko o ustawianie forwardowanych pakietów przez bramkę isp na TTL=1
To by z resztą tłumaczyło ten pakiet ICMP o przekroczeniu limitu czasu wysyłany przez mojego routera do wp.pl bgrin

Dobra... podpowiem Ci cos... iptables + "POM"
Tylko nie zadlaw sie mnogoscia opcji (i mozliwosci) i nie przesadz, bo mozesz narobic niezlego bigosu.

A i tak ciekawszymi zabezpieczeniami sa limity predkosci i transferu, blokady okreslonych transmisji (p2p) itp ograniczenia.

W zasadzie to jeszcze sledzenie rodzaju ruchu - wiadomo, ze 5 sesji GG z niby jednego kompa jest troche podejrzane