[+] Jedna sieć na 65534 hostów

ndjaro · Post autor: **ndjaro** » 21 czerwca 2018, 19:48

Utworzyłem jedną sieć na 65534 hostów. Problem w tym, że Internet działa tylko na 192.168.1.xx DHCP przydziela dobrze adresy 192.168.2.xx etc Serwer jest na adresie 192.168.1.1 Serwer pinguje tylko telefon (192.168.1.2) reszta się nie widzi. Podejrzewam, że to działa jak osobne sieci. Pozostałe hosty nie widzą serwera w jednej sieci.

Kod: Zaznacz cały

# Internet
subnet 192.168.0.0 netmask 255.255.0.0 {
	option domain-name "pixelsoft";
	option broadcast-address 192.168.255.255;
	option domain-name-servers 8.8.8.8;
	option subnet-mask 255.255.0.0;
	option routers 192.168.1.1;
	allow client-updates;
	ddns-updates on;
	allow unknown-clients;
	authoritative;
	range 192.168.5.0 192.168.5.100;
	}
host tablet {
	hardware ethernet 00:f4:6f:40:b3:xx;
	fixed-address 192.168.2.1;
	}
host telefon {
	hardware ethernet ac:ee:9e:13:56:xx;
	fixed-address 192.168.1.2;
	}
host laptop {
	hardware ethernet c8:3a:35:4d:be:xx;
	fixed-address 192.168.4.1;
	}

Firewall

Kod: Zaznacz cały

# wlaczenie w kernelu forwardowania 
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw 
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Właczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Próbowałem tak:

Kod: Zaznacz cały

# udostepniaie internetu w sieci lokalnej 192.168.1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.2
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
#iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.3
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.4
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT

I tak:

Kod: Zaznacz cały

# udostepniaie internetu w całej sieci
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT

Post autor: **dedito** » 21 czerwca 2018, 20:03

Zobacz jaką maskę dostają klienci.

ndjaro · Post autor: **ndjaro** » 21 czerwca 2018, 20:12

255.255.0.0

Post autor: **dedito** » 21 czerwca 2018, 21:51

Byłoby fajnie gdybyś to podał w postaci wydruku z polecenia terminala/konsoli.

ndjaro · Post autor: **ndjaro** » 21 czerwca 2018, 22:18

Mam nadzieję, że się rozumiemy

Kod: Zaznacz cały

Karta Ethernet LAN:

        Sufiks DNS konkretnego połączenia : example.org
        Opis . . . . . . . . . . . . . . :  Broadcom 440x 10/100 Integrated Controller
        Adres fizyczny. . . . . . . . . . : C8-3A-35-4D-BE-xx
        DHCP włączone . . . . . . . . . . : Tak
        Autokonfiguracja włączona . . . . : Tak
        Adres IP. . . . . . . . . . . . . : 192.168.4.1
        Maska podsieci. . . . . . . . . . : 255.255.0.0
        Brama domyślna. . . . . . . . . . : 192.168.1.1
        Serwer DHCP . . . . . . . . . . . : 192.168.1.1
        Serwery DNS . . . . . . . . . . . : 8.8.8.8
        Dzierżawa uzyskana. . . . . . . . : 16 czerwca 2018 21:20:59
        Dzierżawa wygasa. . . . . . . . . : 16 czerwca 2018 21:30:59

C:\Documents and Settings\slawo>

Post autor: **LordRuthwen** » 22 czerwca 2018, 06:28

A teraz na serwerze:

Kod: Zaznacz cały

ip a s
iptables -L -t nat

ndjaro · Post autor: **ndjaro** » 25 czerwca 2018, 13:02

Popełniłem karygodny błąd, aż wstyd się przyznać

Złą miałem maskę na karcie sieciowej, która rozgłasza adresacje po sieci. Dziękuje za pomoc. Wynik ip a s mnie naprowadził.

Kod: Zaznacz cały

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group defaul                                                                             t qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s2f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group                                                                              default qlen 1000
    link/ether 00:16:35:5b:a2:da brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global enp2s2f0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:35ff:fe5b:a2da/64 scope link
       valid_lft forever preferred_lft forever
3: enp2s2f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group                                                                              default qlen 1000
    link/ether 00:16:35:5b:a2:d9 brd ff:ff:ff:ff:ff:ff
   inet 192.168.1.1/16 brd 192.168.255.255 scope global enp2s2f1
       valid_lft forever preferred_lft forever
    inet6 fe80::216:35ff:fe5b:a2d9/64 scope link
       valid_lft forever preferred_lft forever

Kod: Zaznacz cały

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/16       anywhere

Post autor: **dedito** » 25 czerwca 2018, 14:03

Każdemu może się zdarzyć.
Zamykam.

Post autor: **LordRuthwen** » 25 czerwca 2018, 15:21

Właśnie taki był cel tego pytania

Cieszę się, że naprowadziło.

[+] Jedna sieć na 65534 hostów

[+] Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: Jedna sieć na 65534 hostów

Re: [+] Jedna sieć na 65534 hostów

Re: [+] Jedna sieć na 65534 hostów