Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

[+] Jedna sieć na 65534 hostów

https://593930.wb34atkl.asia/viewtopic.php?t=35154

Strona 1 z 1

[+] Jedna sieć na 65534 hostów

: 21 czerwca 2018, 19:48
autor: ndjaro
Utworzyłem jedną sieć na 65534 hostów. Problem w tym, że Internet działa tylko na 192.168.1.xx DHCP przydziela dobrze adresy 192.168.2.xx etc Serwer jest na adresie 192.168.1.1 Serwer pinguje tylko telefon (192.168.1.2) reszta się nie widzi. Podejrzewam, że to działa jak osobne sieci. Pozostałe hosty nie widzą serwera w jednej sieci.

Kod: Zaznacz cały

# Internet
subnet 192.168.0.0 netmask 255.255.0.0 {
	option domain-name "pixelsoft";
	option broadcast-address 192.168.255.255;
	option domain-name-servers 8.8.8.8;
	option subnet-mask 255.255.0.0;
	option routers 192.168.1.1;
	allow client-updates;
	ddns-updates on;
	allow unknown-clients;
	authoritative;
	range 192.168.5.0 192.168.5.100;
	}
host tablet {
	hardware ethernet 00:f4:6f:40:b3:xx;
	fixed-address 192.168.2.1;
	}
host telefon {
	hardware ethernet ac:ee:9e:13:56:xx;
	fixed-address 192.168.1.2;
	}
host laptop {
	hardware ethernet c8:3a:35:4d:be:xx;
	fixed-address 192.168.4.1;
	}
Firewall

Kod: Zaznacz cały

# wlaczenie w kernelu forwardowania 
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw 
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Właczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
Próbowałem tak:

Kod: Zaznacz cały

# udostepniaie internetu w sieci lokalnej 192.168.1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.2
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
#iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.3
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT

# udostepniaie internetu w sieci lokalnej 192.168.4
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT
I tak:

Kod: Zaznacz cały

# udostepniaie internetu w całej sieci
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT

Re: Jedna sieć na 65534 hostów

: 21 czerwca 2018, 20:03
autor: dedito
Zobacz jaką maskę dostają klienci.

Re: Jedna sieć na 65534 hostów

: 21 czerwca 2018, 20:12
autor: ndjaro
255.255.0.0

Re: Jedna sieć na 65534 hostów

: 21 czerwca 2018, 21:51
autor: dedito
Byłoby fajnie gdybyś to podał w postaci wydruku z polecenia terminala/konsoli.

Re: Jedna sieć na 65534 hostów

: 21 czerwca 2018, 22:18
autor: ndjaro
Mam nadzieję, że się rozumiemy ;)

Kod: Zaznacz cały

Karta Ethernet LAN:

        Sufiks DNS konkretnego połączenia : example.org
        Opis . . . . . . . . . . . . . . :  Broadcom 440x 10/100 Integrated Controller
        Adres fizyczny. . . . . . . . . . : C8-3A-35-4D-BE-xx
        DHCP włączone . . . . . . . . . . : Tak
        Autokonfiguracja włączona . . . . : Tak
        Adres IP. . . . . . . . . . . . . : 192.168.4.1
        Maska podsieci. . . . . . . . . . : 255.255.0.0
        Brama domyślna. . . . . . . . . . : 192.168.1.1
        Serwer DHCP . . . . . . . . . . . : 192.168.1.1
        Serwery DNS . . . . . . . . . . . : 8.8.8.8
        Dzierżawa uzyskana. . . . . . . . : 16 czerwca 2018 21:20:59
        Dzierżawa wygasa. . . . . . . . . : 16 czerwca 2018 21:30:59

C:\Documents and Settings\slawo>

Re: Jedna sieć na 65534 hostów

: 22 czerwca 2018, 06:28
autor: LordRuthwen
A teraz na serwerze:

Kod: Zaznacz cały

ip a s
iptables -L -t nat

Re: Jedna sieć na 65534 hostów

: 25 czerwca 2018, 13:02
autor: ndjaro
Popełniłem karygodny błąd, aż wstyd się przyznać :o Złą miałem maskę na karcie sieciowej, która rozgłasza adresacje po sieci. Dziękuje za pomoc. Wynik ip a s mnie naprowadził.

Kod: Zaznacz cały

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group defaul                                                                             t qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s2f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group                                                                              default qlen 1000
    link/ether 00:16:35:5b:a2:da brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global enp2s2f0
       valid_lft forever preferred_lft forever
    inet6 fe80::216:35ff:fe5b:a2da/64 scope link
       valid_lft forever preferred_lft forever
3: enp2s2f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group                                                                              default qlen 1000
    link/ether 00:16:35:5b:a2:d9 brd ff:ff:ff:ff:ff:ff
   inet 192.168.1.1/16 brd 192.168.255.255 scope global enp2s2f1
       valid_lft forever preferred_lft forever
    inet6 fe80::216:35ff:fe5b:a2d9/64 scope link
       valid_lft forever preferred_lft forever

Kod: Zaznacz cały

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.0.0/16       anywhere

Re: [+] Jedna sieć na 65534 hostów

: 25 czerwca 2018, 14:03
autor: dedito
Każdemu może się zdarzyć.
Zamykam.

Re: [+] Jedna sieć na 65534 hostów

: 25 czerwca 2018, 15:21
autor: LordRuthwen
Właśnie taki był cel tego pytania :)
Cieszę się, że naprowadziło.
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl