Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 55 • Страница 1 из 31  2  3  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
Спасибо всем кто заглянул!
Вобщем не буду вдаваться в подробности, но мне досталась маленькая извращенная сетка с серваком, все под виндами, и с роутером под никсом со сквиртом. собсно никогда раньше в глаза юниксов не видел и видеть не хотел(и не хочу), но переделывать роутер под винды или вовсе убирать не хочется, поэтому хотелось бы разобраться с этим сквиртом. по-крайней мере попробовать. собсно есть сквирт, на нем прокся, файрволл и статистика.
гуглить пробовал, но там все рекоммендации и инструкции идут на работу с консолью, которую я тоже знать не знаю и не хочу. хотелось бы все сделать через интерфейс.
вобщем то проблем нет с сеткой, все работает более-менее ровно, правила для отдельных компов(кому давать инет кому нет) я разобрался как устроены, но вот незадача:
к серваку не получается подключиться по терминалу извне, внутри сетки все работает. я понимаю что это связано с НАТ и с Файрволом, но НАТ я вообще в интерфейсе не нашел, хотя искал минут 20, а в файрволе ничего не понял. подскажите с чего начать, куда смотреть, как должно быть? заранее спасибо!


Последний раз редактировалось Stan p. 13.10.2010 14:42, всего редактировалось 1 раз.


Партнер
 

Member
Статус: Не в сети
Регистрация: 05.09.2006
если извне то тут по любому надо ssh тунель,с правилами в iptables и если рутер за натом то еще надо делать перенаправление по входящему порту,в общем если нет силы мочи консолить зови юниксойда,ни какая вебка тут не поможет :tooth:


 

Advanced member
Статус: Не в сети
Регистрация: 27.02.2007
Пора повышать квалификацию... Венда-онли это макака-левел имхо.

_________________
Да не з0банят меня за это.. (С)
Ребята, давайте жить дружно, иначе получите в морду. (С)


 

Member
Статус: Не в сети
Регистрация: 07.01.2010
сквиртом = squid? а то гугель предлагает другой вариант :) зайди на сервер, открой консольку и набери uname -a, дальше можно будет продолжить разговор
HertZ, про макака-левел будешь рассказывать после того, как настроишь территориально разнесённый домен на тысячу компов с групповыми политиками, эксченджем и несколькими проксями


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ToSHiC
хахаха, погуглил-поржал :lol: :lol: точняк, сквид!походу ночью спать хотелось сильно!окей, буду на месте сделаю.
Shadow Angel
холи шит, так я и думал...
HertZ
я не одмин, мне пришлось. поэтому макака-левел меня устраивает :-)


 

Member
Статус: Не в сети
Регистрация: 15.02.2008
Откуда: -Оттуда... :)
Ололо! Прочитал топик, протёр глаза, не помогло :insane: ))) "Нужна помощь со сквиртом" :lol: :weep: Всё, думаю, приехали... Так и быть, помогу, чем могу :spy: :dance:

_________________
i5 10600k \ MSI Z-490 Gaming Plus \ 2x 8Gb Patriot 4000MHz \ Palit 1070 8Gb \ AeroCool White 650W


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ToSHiC
я на месте, на какой такой сервер заходить? на роутер? надо консольный клиент, ща пути скачаю..

Добавлено спустя 16 минут 8 секунд:
Linux router 2.6.18-194.17.1.el5 #1 SMP Wed Sep 29 12:51:33 EDT 2010 i686 i686 i386 GNU/Linux

собсно ответ роутера.

Добавлено спустя 2 часа 5 минут 38 секунд:
Товарищи никсоводы, все еще требуется помощь.
что еще вам сказать чтоб было побольше инфы доступно?


 

Member
Статус: Не в сети
Регистрация: 07.01.2010
посмотри с помощью netstat -an, что 22 порт открыт на внешний ип адрес, а потом посмотри правила файрволла.
сделай iptables -L и iptables -t nat -L, и в выводе замени свой внешний ип адрес на буквы какие нибудь, или на 1.2.3.4


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ToSHiC
ToSHiC писал(а):
netstat -an, что 22 порт открыт на внешний ип адрес, а потом посмотри правила файрволла.

эээм, сделал команду показало что-то много всего походу подключения на данный момент. 22 порта не увидел увидел 60022
правила смотреть в роутере и что среди них искать? их там немного но не понимаю как оно все организовано просто...

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 anywhere
ACCEPT all -- anywhere anywhere
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ndmp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:squid
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:ms-wbt-server to:192.168.1.250:3389
DNAT udp -- anywhere anywhere udp dpt:ms-wbt-server to:192.168.1.250:3389
DNAT udp -- anywhere anywhere udp dpt:4090 to:192.168.1.250:4090
DNAT tcp -- anywhere anywhere tcp dpt:4090 to:192.168.1.250:4090
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128
ACCEPT all -- anywhere anywhere

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

внешнего IP не увидел. думаю потому, что перед этим маршрутизатором стоит еще один, хардверный д-линк дир 100, но в нем и ссх и форвардинг прописаны вроде правильно.


 

Member
Статус: Не в сети
Регистрация: 16.06.2007
Откуда: г.Сальск Ростов
блин, повезло тебе.. тебе роутер по наследству достался, а мне сетка без него досталась, хочу собственно его поставить, вот только левела даже до макака эдишен не дотягивает.. линь ставить могу... а вот дальше затуп.. все программы в текстовых фаилах блин.. и куда эти скрипты пихать? как их запускать? ониж текстовые .. блин, и почему у меня первая операционка была вин линолиум.. был бы линь ужеб все наизусть знал..


 

Member
Статус: Не в сети
Регистрация: 07.01.2010
Stan p. писал(а):
ToSHiC
ToSHiC писал(а):
netstat -an, что 22 порт открыт на внешний ип адрес, а потом посмотри правила файрволла.

эээм, сделал команду показало что-то много всего походу подключения на данный момент. 22 порта не увидел увидел 60022

глянь в файл /etc/sshd.conf (может лежать в /etc/ssh/sshd.conf) - что там на счёт ListenAddress написано?


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ToSHiC
смогу либо завтра, либо если подскажешь как удаленно зайти на роутер, он трудится в офисе а я дома. знаю внешний IP организации, знаю внутренний Айпи роутера. или это невозможно?


 

Member
Статус: Не в сети
Регистрация: 07.01.2010
ты в первом сообщении написал, что это не получается сделать:)


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ToSHiC
Да нет же!!!
Есть сеть. значит сеть до роутера(никс) 192.168.0.1.
сеть после роутера(под никсом) 192.168.1.1
роутер(под никсом) имеет адрес 192.168.1.1
есть сервак который по РДП работает с 1С и еще по совместительству вроде как ДНС-сервер.
есть роутер(под никсом). так вот не получается извне попасть на сервак виндовый по РДП, но можно ли попась на роутер(под никсами) ?


 

Member
Статус: Не в сети
Регистрация: 05.09.2006
Цитата:
DNAT tcp -- anywhere anywhere tcp dpt:ms-wbt-server to:192.168.1.250:3389
DNAT udp -- anywhere anywhere udp dpt:ms-wbt-server to:192.168.1.250:3389
DNAT udp -- anywhere anywhere udp dpt:4090 to:192.168.1.250:4090
DNAT tcp -- anywhere anywhere tcp dpt:4090 to:192.168.1.250:4090

это роутинг судя по всему до мс серверов на юникс тачке там вроде все гуд
Цитата:
ACCEPT all -- anywhere 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 anywhere

это куда сетка идет хз
если навскидку фаер настроен вроде нормально
надо копать дир100,в локальном домене сервера под юниксом все гуд
двойной нат :gun:


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
Shadow Angel
вот и у меня что-то ощущение подобное складывается, что нат на дир 100 глючит, потому как туда смотрел-там правило прописано. удалил, создал заново-не помогло...завтра вырублю этот нат нахрен, думаю никто не полезет хачить или ддосить бедный сервак... :D

Добавлено спустя 2 минуты 3 секунды:
Shadow Angel писал(а):
это роутинг судя по всему до мс серверов на юникс тачке там вроде все гуд

мс сервера это что? майкрософт?
192.168.1.250 это сервак 1С который. к которому надо коннектиться по РДП


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
так, значит пришел на место.
пробовал извращаться с роутером дир 100 по-всякому ничего не помогает...
у меня уже появляется выпилить к чертям этот юниксовый роутер, оставить один дир 100.

Добавлено спустя 2 минуты 38 секунд:
ToSHiC
ToSHiC писал(а):
глянь в файл /etc/sshd.conf (может лежать в /etc/ssh/sshd.conf) - что там на счёт ListenAddress написано?


хм, как это сделать? из консоли писал данный путь в ответ пишет bash и что-то на тарабарском...

Добавлено спустя 59 секунд:
ИЧСХ, извне запросто подключается к роутеру никсовому по x.x.x.x:60022.

Добавлено спустя 1 час 47 минут 4 секунды:
SergeiXp
не знаю насчет повезло...лучше б его этого роутера вообще не было бы, пришлось бы- поднял сам роутер на виндах и был бы счастлив до усрачки, а тут приходиться сношаться с этим юниксовым чудом уже третий день...

Добавлено спустя 25 минут 18 секунд:
Ребят, скажите, как временно на этом роутре никсовом отрубить ВСЮ фильтрацию, чтобы он стал полностью прозрачным и вообще ничего не резал и не закрывал? с возможностью быстро вернуть все назад.


 

Member
Статус: Не в сети
Регистрация: 26.05.2005
Откуда: Atlanta, GA
Stan p. писал(а):
Ребят, скажите, как временно на этом роутре никсовом отрубить ВСЮ фильтрацию, чтобы он стал полностью прозрачным и вообще ничего не резал и не закрывал? с возможностью быстро вернуть все назад.

iptables-save > /etc/iptables.rules.bak сохраняем правила в файл
iptables -F <цепочка> - сброс. iptables -P <цепочка> <политика> (в данном случае ACCEPT)
iptables-restore /etc/iptables.rules.bak - загружаем сохраненные правила из файла

_________________
Whatever that hurts


 

Member
Статус: Не в сети
Регистрация: 11.04.2004
Откуда: Питер
ничего не понял насчет строки
RV280 писал(а):
iptables -F <цепочка> - сброс. iptables -P <цепочка> <политика> (в данном случае ACCEPT)


я впервые вижу юникс, повторяю, и не знаю ни одной команды консольной и правил их написания, кроме reboot :D

Добавлено спустя 2 минуты 33 секунды:
может ли роутер д-линк дир 100 выборочно глючить? тоесть форвардинг на консоль юникса работает, а на сервак майкрософтовский нет? или это из разряда бреда?
и еще, имеют ли д-линки порядок выполнения правил.


 

Member
Статус: Не в сети
Регистрация: 26.05.2005
Откуда: Atlanta, GA
Stan p. писал(а):
я впервые вижу юникс, повторяю, и не знаю ни одной команды консольной и правил их написания, кроме reboot :D

пардон, не досмотрел. У всех цепочек политика ACCEPT, значит он и так ничего не режет :D Или я ничего совсем не пойму.
Дай лучше вывод iptables -L -v -n

_________________
Whatever that hurts


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 55 • Страница 1 из 31  2  3  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Новости

Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan