К старым спецам - Помогите настроить сервер

[Garry_p]

Давным давно на поставили сервер на i-net redhat ядро 2.2.14.

На нем подняты нат, почта, файрвол, http, ftp.

Возникла необходимость один адрес изнутри 192.168.1.x (ip phone cisco) в обход вайрвола пустить наружу. Подскажите, что и как править. Спец я в линуксе небольшой, по этоме поподробней.

Близко спецов нет для такой старой версии И остановить на долго немогу.

Вопрос два - есть винт (дубль предыдущего), но на нем была удалены файлы из воот. Затем вроде бы вернул назад, но теперь при загрузке выдает li и все. Очень надо его запустить, что можно сделать?

Заранее благодарен за помощь.

[SignFinder]

по первому вопросу - если телефон h323 то никак (точнее как но это новое ядро+обновление системы+накладывание h323 патчей). Если телефон сиповский должен работать через нат с внутренним адресом.

Проще всего вынести телефон наружу и дать ему реальный адрес.

по второму вопросу надо перезаписать лило. загрузиться с любого компакт диска подмонтировать раздел сделать chroot и скомандовать lilo.

[Garry_p]

Тогда несколько иначе - как сделать неавторизованное подключение, например по IP. Т.е. на циске я могу установить конкретный адрес, а как он будет смотреть наружу. Когда сервак ставили, то сначала так и было, но небыло учета, а затем поставили VPN, и все теперь логинятся через него. Как его обойти?

[SignFinder]

Цитата:

Тогда несколько иначе - как сделать неавторизованное подключение, например по IP. Т.е. на циске я могу установить конкретный адрес, а как он будет смотреть наружу. Когда сервак ставили, то сначала так и было, но небыло учета, а затем поставили VPN, и все теперь логинятся через него. Как его обойти?

ни фига непонятно

[Garry_p]

Сейчас, чтоб получить выход наружу надо запускать соединение VPN,

а как сделать, чтоб с одного конкретного IP адреса сразу был выход наружу?

[SignFinder]

Цитата:

а как сделать, чтоб с одного конкретного IP адреса сразу был выход наружу?

настроить маскарад для этого адреса и разрешить форвард через ipchains

[Garry_p]

Спасибо за совет. Но это понятно, только где (в каких конкретно файлах) и что конкретно надо менять, добавлять?

[SignFinder]

Цитата:

только где (в каких конкретно файлах) и что конкретно надо менять, добавлять?

откуда я знаю где у вас лежит скрипт файрвола? он может запускаться из кучи мест. Но вы можете добавить правила через ipchains. Неизвестно опять же какие у вас правила уже есть и как они будут пересекаться.

[Garry_p]

файл /etc/rc.d/rc.firewall

похоже, что здесь, тогда как пропустить 192.168.1.x на eth1?

#!/bin/bash

fwc="/sbin/ipchains"

# Definitions

# Fake networks

fake1="10.0.0.0/8"

fake2="172.16.0.0/12"

fake3="192.168.0.0/16"

## Firewall

# fake networks

$fwc -A output -j DENY -s ${fake1} -i eth1

$fwc -A output -j DENY -s ${fake2} -i eth1

$fwc -A output -j DENY -s ${fake3} -i eth1

# MASQ

$fwc -A forward -j MASQ -s 192.168.200.0/24 -d ! 192.168.0.0/16

# Deny out fake net's

$fwc -A output -j DENY -s ${fake1} -d 0/0 -i eth1

$fwc -A output -j DENY -s ${fake2} -d 0/0 -i eth1

$fwc -A output -j DENY -s ${fake3} -d 0/0 -i eth1

# Deny out NETBIOS

$fwc -A output -j DENY -s 0/0 137:139 -d 0/0 -p udp -i eth1

$fwc -A output -j DENY -s 0/0 137:139 -d 0/0 -p tcp -i eth1

$fwc -A output -j DENY -s 0/0 -d 0/0 137:139 -p udp -i eth1

$fwc -A output -j DENY -s 0/0 -d 0/0 137:139 -p tcp -i eth1

[SignFinder]

Цитата:

$fwc -A forward -j MASQ -s 192.168.200.0/24 -d ! 192.168.0.0/16

я так понимаю это для впн. Вот такую же строку только для нужного адреса.

[Garry_p]

Спасибо. Получилось.

[SignFinder]

Цитата:

Спасибо. Получилось.

ip шлюз пробрасывали?

и как работает?