Перейти к содержимому

handler

Members
  • Публикации

    286
  • Зарегистрирован

  • Посещение

    Никогда

О handler

  • Звание
    Advanced Member

Profile Information

  • Location
    Днепропетровск
  1. Здравствуйте! По роду своей деятельности пытаюсь администрировать сервер в локальной сети с выходом в интернет. Теперь у меня возникла задача обеспечить работу веб-сервера в сети интернет со статическим внешним адресом. Некоторые ньюансы работы с фаерволом в локальной сети мне известны, а вот насчет работы с внешним миром у меня опыта ноль. Потому прошу Вашего совета в написании фаервола. iptables -A INPUT -i $EXT_IF -p tcp -dport 80 -j ACCEPT iptables -A INPUT -i $EXT_IF -j DROP iptables -A OUTPUT -o $EXT_IF -p tcp -dport 80 -j ACCEPT iptables -A OUTPUT -o $EXT_IF -p tcp -j DROP Полагаю, этих правил достаточно для доступа к серверу извне? Кроме этих правил я напишу правиля для доступа локальных приложений в интернет, и, возможно, форвардинг для нескольких машин изнутри. Меня интересует вопрос по поводу отказоустойчивости фаервола в случае атак извне: возможно, необходимо добавить правила в цепочку инпут, ограничивающие число запросов с одного ип? Заранее благодарен. Алексей. Днепр.
  2. Несколько адсл-мостов

    ifup не нашел у меня команды adsl-sart - пришлось заменить на pppoe-connect в самом скипте. Теперь ifup ppp0 поднимает интерфейс, но ifdown ppp0 некорректно завершает его - отваливаются маршруты. И еще надо реконнектиться в случае обрыва
  3. Несколько адсл-мостов

    Cейчас на rp-pppoe поднял один интерфейс eth1. http://wiki.opennet.ru/Linux_ppp-oe_%28ADSL%29_Balance - описана настройка нескольких бриджей. Создал согласно статьи файлы ppp0 - ppp4 После этого выполняю команду ifup ppp0 , интерфейс не поднимается, к тому же отваливается вся таблица маршрутизации, приходится перезагружать машину. Кто-нибудь поднимал рррое на произвольном количестве интерфейсов, более одного?
  4. Здравствуйте! ОС - FC10 5 адсл-модемов, которые нужно поднять в режиме моста rp-pppoe предназначен для работы с одним модемом, а как быть с несколькими модемами?
  5. Логи днс-запросовё

    Конечно же стоит нат - это же подсеть. А логи приведены сквида, который дает выход в мир моему роутеру
  6. Здравствуйте! имеется сеть (192.168.0.0/24) со шлюзом (192.168.0.1/24) на базе SuSE11.2, которая, в свою очередь, получает доступ в интернет ч\з сквид (192.168.51.1/24). На шлюзе 192.168.0.1 стоит фаерволл (iptables), днс, и пр. для работы сети. Проблема: С внутренней сети 192.168.0.0/24 идет вирус-рассылка днс-запросов ч/з роутер 192.168.0.1 на сквид сервер 192.168.51.1 Задача: определить, с какого адреса были отосланы запросы 19-Feb-2010 14:46:46 http://www.cd4b4b03.com/97924996.htm 19-Feb-2010 14:46:46 http://www.c9423e05.com/D091130C.htm 19-Feb-2010 14:46:46 http://www.90500a02.com/D76009A2.htm 19-Feb-2010 14:46:46 http://www.76b8ee50.com/B0C664A2.htm 19-Feb-2010 14:46:47 http://www.1daf1940.com/93EF38E4.htm 19-Feb-2010 14:46:47 http://www.c92e4e0c.com/37478613.htm 19-Feb-2010 14:46:47 http://www.55fbd9c8.com/85CB152B.htm 19-Feb-2010 14:46:47 http://www.75916910.com/773351E3.htm Возможно, днс-сервер ведет логи обращений к себе, тогда мы сможем выяснить, кто генерирует эти запросы
  7. tftp-сервер

    Здравствуйте! SuSE 11.2 tftp - все из коробки /etc/xinetd.d/tftp service tftp { socket_type = dgram protocol = udp wait = yes flags = IPv6 IPv4 user = root server = /usr/sbin/in.tftpd server_args = -s /tftpboot/dsl disable = no } /tftpboot/dsl - содержит все файлы для РХЕ-загрузки service xinetd restart netstat -a|grep ftp tcp 0 0 *:ftp *:* LISTEN tcp 0 0 *:ftp *:* LISTEN udp 0 0 *:tftp *:* dhcpd.conf ddns-update-style none; authoritative; option domain-name-servers 192.168.0.20; allow bootp; allow booting; subnet 192.168.0.0 netmask 255.255.255.0 { option routers 192.168.0.21; group { next-server 192.168.0.21; filename "pxelinux.0"; host comp01 { hardware ethernet 00:13:d4:42:34:51; fixed-address 192.168.0.1; } } } Далее запускаем машину с адресом 192.168.0.1. Она получает адрес а от тфтп-сервера ответа нет tcpdump -i eth1 -vvv host 192.168.0.1 10:11:14.192546 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has linux.kkkt.com tell 192.168.0.1, length 46 10:11:14.192579 ARP, Ethernet (len 6), IPv4 (len 4), Reply linux.kkkt.com is-at 00:0e:2e:d8:fa:7c (oui Unknown), length 28 10:11:14.192646 IP (tos 0x0, ttl 20, id 3, offset 0, flags [none], proto UDP (17), length 55) 192.168.0.1.ah-esp-encap > linux.kkkt.com.tftp: [udp sum ok] 27 RRQ "pxelinux.0" octet tsize 0 10:11:16.219260 IP (tos 0x0, ttl 20, id 4, offset 0, flags [none], proto UDP (17), length 55) 192.168.0.1.acp-port > linux.kkkt.com.tftp: [udp sum ok] 27 RRQ "pxelinux.0" octet tsize 0 10:11:20.228913 IP (tos 0x0, ttl 20, id 5, offset 0, flags [none], proto UDP (17), length 55) 192.168.0.1.msync > linux.kkkt.com.tftp: [udp sum ok] 27 RRQ "pxelinux.0" octet tsize 0 10:11:26.215914 IP (tos 0x0, ttl 20, id 6, offset 0, flags [none], proto UDP (17), length 55) 192.168.0.1.gxs-data-port > linux.kkkt.com.tftp: [udp sum ok] 27 RRQ "pxelinux.0" octet tsize 0 10:11:34.180290 IP (tos 0x0, ttl 20, id 7, offset 0, flags [none], proto UDP (17), length 55) 192.168.0.1.vrtl-vmf-sa > linux.kkkt.com.tftp: [udp sum ok] 27 RRQ "pxelinux.0" octet tsize 0 10:11:44.125492 IP (tos 0x0, ttl 20, id 8, offset 0, flags [none], proto UDP (17), length 60) 192.168.0.1.newlixengine > linux.kkkt.com.tftp: [udp sum ok] 32 RRQ "pxelinux.0" octet blksize 1456 10:12:20.153961 IP (tos 0x0, ttl 20, id 9, offset 0, flags [none], proto UDP (17), length 60) 192.168.0.1.newlixconfig > linux.kkkt.com.tftp: [udp sum ok] 32 RRQ "pxelinux.0" octet blksize 1456 10:13:32.162897 IP (tos 0x0, ttl 20, id 10, offset 0, flags [none], proto UDP (17), length 60) 192.168.0.1.tsrmagt > linux.kkkt.com.tftp: [udp sum ok] 32 RRQ "pxelinux.0" octet blksize 1456 10:15:20.148830 IP (tos 0x0, ttl 20, id 11, offset 0, flags [none], proto UDP (17), length 60) 192.168.0.1.tpcsrvr > linux.kkkt.com.tftp: [udp sum ok] 32 RRQ "pxelinux.0" octet blksize 1456 10:17:44.111789 IP (tos 0x0, ttl 20, id 12, offset 0, flags [none], proto UDP (17), length 60) 192.168.0.1.idware-router > linux.kkkt.com.tftp: [udp sum ok] 32 RRQ "pxelinux.0" octet blksize 1456 10:21:32.322331 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.1, length 46 10:21:33.311140 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.1, length 46 10:21:34.311151 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.1 tell 192.168.0.1, length 46 10:22:00.877863 IP (tos 0x0, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 96)
  8. так-то оно так, только пришлось идти к клиенту и писать статику. Почему - остьается загадкой
  9. остановка службы явилась следствием отсутствия электрического тока в здании, оповещенный админ бегал по электрикам, пока не вызвали аварийку. перезагрузка и тому подобные высокотехнологические приемы не помогут, т. к. сетевой адаптер сам себе назначает адрес автонастройки(не путать с ип-адресом) из подсети 169.254/16 и вы его уже ничем не исправите: лечится прямым прописыванием адресов
  10. Ubuntu server на флешке

    фс раздела - фат16 сделай раздел загрузочным и используй syslinux
  11. сохранение данных

    Насчет передачи пакетов по сети можно использовать либо: 1. tc - создать фильтр на локальном интерфейсе по адресу-источнику(не знаю, как насчет количества пакетов, я ставил ограничение на скорость передечи пакетов, но тем не менее) 2. сквид может ставить барьер на объем файла(тогда надо все запросы фтп и самба порт заворачивать на сквид) Как вариант можно через пхп - там тоже есть ограничение на объем файла (по-умолчанию то ли 2 то ли 20 метров)
  12. Поговорим о сетевых сервисах, и их роль в жизни сетевых администраторов, в частности, про dhcp. dhcp - рай для сисадмина, т. к. отпадает необходимость бегать к клиентам и назначать им адреса. Клиенты, в основном, виндузячие, хотя, для дхцп нет разницы, под чьим управлением клиент в сети. Так-то оно так, да только не приведи случай вашему дхцп-серверу "умереть" (у меня он молчал 17 часов). Но вот мы все исправили, и наш сервер опять обслуживает запросы. Но что это? Клиенты звонят и говорят, что нет связи с сервером. Как так? Ведь мы же все починили! Все дело в том, что на сайте Microsoft, цитирую: "В данной статье рассмотрено использование функции автоматического назначения адресов (APIPA) TCP/IP (Transmission Control Protocol/Internet Protocol) при отсутствии в сети сервера DHCP (Dynamic Host Configuration Protocol). С помощью данной функции компьютер под управлением Windows может назначить себе IP-адрес, если сервер DHCP отсутствует в сети или отключен. Использование данной функции значительно упрощает настройку и поддержку небольшой локальной сети (LAN), использующей протокол TCP/IP.. Вот и получается, что ближайшее время Вам придется сбегать к каждому клиенту и ручками прописать адрес машины (или изменить реестр, но все равно идти придется) Спасибо майкрософт, что заботится о спортивной форме сисадминов
  13. почта

    Здравствуйте! Имеем: выход в тнтернет ч/з адсл-модем Локальная сеть. Роутер на базе ОС - fedora 10 postfix 2.5.5 апач 2.2.10 bind 9.2.1 Вэб-страница с участком php-кода: mail( "fake@mail.ru" , "Message body" , "From" , "Head:" ) Задача: Настроить почтовый сервер таким образом, чтобы такая конструкция работала (На худой конец "echo "hello" | mail fake@mail.ru") В main.cf редактировал поля: myhostname = host.domain.com mydomain = domain.com mynetworks_style = host mynetworks = 192.168.0.0/16 , 127.0.0.0/8 relayhost = [relay.ukrpost.ua] Я так понимаю,должна быть еще привязка к днс. такая конструкция у меня работает на хостинге, предоставленном hosted.in.ua , а на роутере не работает. Тут влияют настройки почты или днс?
  14. bash+expect

    Сейчас весь скрипт выглядит следующим образом: #!/bin/bash COUNT = 2 SRV = 2ip.ru ADSL1 = eth1 ADSL2 = eth2 IP_ADSL1 = 192.168.1.1 ping -c $COUNT -I $ADSL1 $SRV > /dev/null if [ $? -ne 0 ]; then echo 'BAD' wget -q --user='user' --password='password' http://$IP_DSL1/rebootinfo.cgi rm -f rebootinfo.cgi else echo "1 - OK" fi ping -c $COUNT -I $ADSL2 $SRV > /dev/null if [ $? -ne 0 ]; then echo 'BAD' ./tel2 else echo "2 - OK" fi ./tel2 #!/bin/bash expect <<eof log_user 1 set timeout 3 spawn telnet 192.168.2.1 expect "Password:" send -- "password\r" expect "ADSL>" send "wan adsl reset\r" send "exit\r" expect eof sleep 120 done exit 0 Все работает. Спасибо за помощь
  15. bash+expect

    И снова здравствуйте! Имеется два адсл-модема: один перезагружается командой wget ip_addr_adsl_modem/reboot.cgi второй - командой telnet ip_addr_adsl_modem ... Задача: написать один скрипт перезагрузки обоих модемов. Задача тривиальная и по отдельности для каждого модема решается просто: script_1.sh #!/bin/sh wget 192.168.1.1/reboot.cgi script_2.sh #!/usr/bin/expect spawn telnet 192.168.1.2 expect "Password:" send "Blah-Blah-Blah\r" expect "ADSL>" send "wan adsl reset\r" Опытный админ сразу заметит, что заголовки скриптов несовместимы, т. е. просто объединить их нельзя. Пробовал в один скрипт вставить другой командой exec: script_1.sh #!/bin/sh wget 192.168.1.1/reboot.cgi exec ./script_2.sh #another code here Так все работает за исключением того, что управление из второго скрипта возвращается командной строке, а не первому скрипту, а нам необходимо вернуться в первый скрипт! Какие будут предложения?
×