Blokowanie ruchu mi

Masz problemy z siecią bądź internetem? Zapytaj tu
ODPOWIEDZ
Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

PioDer pisze: Kiedy próbuję dostać się na 192.168.0.2 ruch idzie dość nietypowo - przez eth0 do eth1. Wygląda to tak, jakby serwer ,,robił'' za przełącznik. Jak zablokować pod Debianem tak ruch, abym mógł bezpośrednio się łączyć ze 192.168.0.2, bez użycia eth0?
Pozdrawiam
Dostać na 192.168.02 skąd? Dla eth2 jaka jest bramka - 192.168.0.1? Z tego co wiem, do dwóch kart z tej samej sieci nie powinno się robić: http://support.microsoft.com/kb/175767/pl - można ale trzeba ręcznie zdbac o routing, słowem nie warto.
Tak się jeszcze zastanawiam co to znaczy:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.0.3 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.4 -j MASQUERADE
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEP
Mógłbyś pokazać jak jest konfiguracja sieci - ifconfig i traceroute dla większości przypadków.

A na koniec zadam jedn skromne pytanie :)

Kod: Zaznacz cały

#zamkniecie luki w iptables
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

#zamkniecie luki w iptables
iptables -A INPUT -i ppp0 -p tcp -s 0/0 -d 0/0 --dport 631 -j DROP
co to za luka?
Na górę
PioDer
Posty: 47
Rejestracja: 20 czerwca 2009, 12:37

Post autor: PioDer »

Witam,
W takim razie odłączyłem drugą sieciówkę, zastąpiłem ją aliasem dla eth0. Problemem było to, że przez użycie niceshapera mimo ustawienia mu regułek na pełne pasmo dla ruchu lokalnego to i tak transfer pomiędzy 192.168.0.1 był ograniczany do 1Mb/s. Rozwiązałem to tworząc wirtualny interfejs z adresem 192.168.0.2 i konfigurując sambę na ten wirtualny interfejs.
Jeżeli chodzi o wpisy z mac'ami w firewallu - udostępniam sieć po adresach MAC i IP
Co do tych luk - zamknięcie luk (miało być "za pomocą") iptables - chodzi o blokadę CUPS'a od zewnątrz oraz o niedopuszczenie do ICMP Attack
Pozdrawiam
Na górę
devu
Posty: 12
Rejestracja: 28 listopada 2007, 01:11

Post autor: devu »

Dzień dobry.
Tak jak grzesiek wspomniał nie powinno się tak robić.
Dobrze kombinowałeś jednak zabrakło informacji czym jest tak naprawdę maska podsieci.
Używając adresu klasy C (192.168.0.0) w routingu bezklasowym:
[INDENT]192.168.0.1/24
192.168.0.2/24[/INDENT]
pokazujesz, że oba adresy, chodź na różnych interfejsach ethernetowych, leżą w tej samej sieci - o czym informuje prefix /24 - czyli 255.255.255.255.0
[INDENT]część przeznaczona na sieć to: 192.168.0
część przeznaczona na hosty to: .0 - ostatni oktet[/INDENT]

Jeśli spróbowałbyś takich ustawień na urządzeniu Cisco zobaczyłbyś następujący komunikat:

Kod: Zaznacz cały

% 192.168.0.0 overlaps with FastEthernet0/0

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown 
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip address 192.168.0.2 255.255.255.0
[B]% 192.168.0.0 overlaps with FastEthernet0/0[/B]
Polecam: http://www.cisco.com/en/US/tech/tk365/t ... 67f5.shtml
Na górę
ODPOWIEDZ

Wróć do „Sieci”