Mam problem z jednym komunikatem i skonfigurować tak aby działał dla zewnętrznego routera.
Wersja testing, eth0=WAN eth1=LAN
Kod: Zaznacz cały
maj 12 18:35:27 debian dnsmasq[997]: czytanie /etc/resolv.conf
maj 12 18:35:27 debian dnsmasq[997]: [B]ignorowanie serwera nazw 127.0.0.1 - interfejs lokalny[/B]
maj 12 18:35:27 debian dnsmasq[997]: używam serwera nazw 31.11.202.254#53
maj 12 18:35:27 debian dnsmasq[997]: używam serwera nazw 37.8.214.2#53Kod: Zaznacz cały
interface=eth1
domain-needed
bogus-priv
#server=127.0.0.1
dhcp-range=192.168.2.10,192.168.2.11,255.255.255.0,4h
dhcp-host=00:27:0e:01:8f:5a,192.168.2.10
dhcp-host=2c:76:8a:e5:e7:66,192.168.2.11
dhcp-option=3,192.168.2.1
strict-order
cache-size=150
dhcp-authoritative
interface=eth0
#no-dhcp-interface=eth0
#no-resolv
listen-address=127.0.0.1
#port=53
#bind-interfaces
no-negcache
#no-hosts
expand-hostsKod: Zaznacz cały
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
#send host-name "andare.fugue.com";
send host-name = gethostname();
#send dhcp-client-identifier 1:0:a0:24:ab:fb:9c;
#send dhcp-lease-time 3600;
#supersede domain-name 127.0.0.1;
prepend domain-name-servers 127.0.0.1;
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, domain-search, host-name,
dhcp6.name-servers, dhcp6.domain-search,
netbios-name-servers, netbios-scope, interface-mtu,
rfc3442-classless-static-routes, ntp-servers;Kod: Zaznacz cały
domain olsztyn.vectranet.pl
search olsztyn.vectranet.pl
nameserver 127.0.0.1
nameserver 31.11.202.254
nameserver 37.8.214.2
Kod: Zaznacz cały
; <<>> DiG 9.9.5-9-Debian <<>> debian.pl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11954
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.pl. IN A
;; ANSWER SECTION:
debian.pl. 70 IN A 195.66.73.40
;; AUTHORITY SECTION:
debian.pl. 44396 IN NS ns1.q3.pl.
debian.pl. 44396 IN NS ns2.q3.pl.
;; ADDITIONAL SECTION:
ns2.q3.pl. 70 IN A 195.3.203.4
ns1.q3.pl. 70 IN A 91.195.134.254
;; Query time: 21 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue May 12 19:18:49 CEST 2015
;; MSG SIZE rcvd: 125Kod: Zaznacz cały
; <<>> DiG 9.9.5-9-Debian <<>> debian.pl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42580
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.pl. IN A
;; ANSWER SECTION:
debian.pl. 38 IN A 195.66.73.40
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue May 12 19:19:21 CEST 2015
;; MSG SIZE rcvd: 54Druga sprawa co pozmieniać aby ten cache fukcjonował dla zewnętrzego routerka? W konfiguracji WAN dodać dns bramy eth1 i dopisać ip lan do /etc/hosts?
firewall
Kod: Zaznacz cały
#! /bin/sh
### BEGIN INIT INFO
# Provides: custom firewall
# Required-Start: $remote_fs $syslog $network
# Required-Stop: $remote_fs $syslog $network
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall initscript
# Description: Custom Firewall
### END INIT INFO
/sbin/modprobe ip_conntrack
# wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Właczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
# ustawienie domyslnej polityki
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 68 -j ACCEPT
iptables -A INPUT -p tcp --dport 68 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT
iptables -A INPUT -p tcp --dport 67 -j ACCEPT
# pełny ruch na interfejsie lo (potrzebne do działania wielu lokalnych usług)
iptables -A INPUT -i lo -j ACCEPT
# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
#iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT
#iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT
#odblokowane porty
iptables -A INPUT -i eth0 -p tcp --dport xxxxx -j ACCEPT
#odblokowanie dla Lan
iptables -I INPUT -i eth1 -p tcp --dport xxxxx -j ACCEPT