- This topic has 20 hozzászólás, 6 résztvevő, and was last updated 17 years, 10 months telt el by
.
-
Bejegyzés
-
A Probléma hogy a leleményesebb felhasználók rájönnek hogy ha átjárot átálítják 10.0.0.254 re akkor ugyan ugy tudnak netezni korlátozás nélkül.
Kicsit zavaros amit írtál, de szerintem egy proxy szerver kell hogy megold ezt a problémát.
A Probléma hogy a leleményesebb felhasználók rájönnek hogy ha átjárot átálítják 10.0.0.254 re akkor ugyan ugy tudnak netezni korlátozás nélkül.
Kicsit zavaros amit írtál, de szerintem egy proxy szerver kell hogy megold ezt a problémát.
fanti wrote:Űdv.Problémám: 1. gép: eth0: internet eth1: 10.0.0.254 belső háló ami belemegy egy swichbe 2. gép eth0: 10.0.0.253 átjáró: 10.0.0.254 eth1: 10.0.0.252 mind kettő belemegy ugyan abba a swichbe a usereknek az átjárója 10.0.0.252 igy a 2. gépen átmegy a forgalom amelyett iptablessel ipn-ként tudok qos-el korlátozni és forgalmat mérni. A Probléma hogy a leleményesebb felhasználók rájönnek hogy ha átjárot átálítják 10.0.0.254 re akkor ugyan ugy tudnak netezni korlátozás nélkül. Összekötöttem az 1. gép eth1 es portját a 2. gép eth0 jával keresztkábelel a 2. gépen megy is a net viszont az eth1 en lévő gépek már nem tudnak netezni. Probálgattam irányitani a csomagokat ip rule, ip route nem sok sikerrel. Ha tudtok valami tippet arra, hogy ez mennyen vagy esetleg arra, hogy a régi müködő cuccnál ne tudjanak a 10.0.0.254 hez hozzá férni akkor lécci irjatok. Probáltam a csomag megjelölést hogy azzal korlátozzak és mérjek de az nem jött össze. Előrre is köszi.
Keresztkábel után a következö a felállásod:
1. gép -> a bejövö internetet osztja tovább
2. gép -> szintén a bejövö internetet kell tovább osztania!! (ergó 2 átjáró géped lesz a linuxos beállítások szerint)
addig amíg a 2. gépröl nem osztod a netet tovább, nem is lesz a többi gépen neted.
Azaz kell egy Masquerade meg egy ipforward < 1 beállítás (ahogy az a nagy könyvben meg van írva)Vagy ha maradsz az elsö felállásnál, egy viszonylag egyszerü tüzfalszabállyal megoldhatod a dolgokat.
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
azaz, ha a bejövö kapcsolatok nem a 252-es gépröl jöttek, akkor dobva lesznek.
Persze ezt kicsit finomítani kell illetve további engedélyezéseket esetleg felvenni, ha te direktbe akarsz a géphez csatlakozni meg ilyesmi…Szóval ezen az úton próbálj elindulni!
fanti wrote:Űdv.Problémám: 1. gép: eth0: internet eth1: 10.0.0.254 belső háló ami belemegy egy swichbe 2. gép eth0: 10.0.0.253 átjáró: 10.0.0.254 eth1: 10.0.0.252 mind kettő belemegy ugyan abba a swichbe a usereknek az átjárója 10.0.0.252 igy a 2. gépen átmegy a forgalom amelyett iptablessel ipn-ként tudok qos-el korlátozni és forgalmat mérni. A Probléma hogy a leleményesebb felhasználók rájönnek hogy ha átjárot átálítják 10.0.0.254 re akkor ugyan ugy tudnak netezni korlátozás nélkül. Összekötöttem az 1. gép eth1 es portját a 2. gép eth0 jával keresztkábelel a 2. gépen megy is a net viszont az eth1 en lévő gépek már nem tudnak netezni. Probálgattam irányitani a csomagokat ip rule, ip route nem sok sikerrel. Ha tudtok valami tippet arra, hogy ez mennyen vagy esetleg arra, hogy a régi müködő cuccnál ne tudjanak a 10.0.0.254 hez hozzá férni akkor lécci irjatok. Probáltam a csomag megjelölést hogy azzal korlátozzak és mérjek de az nem jött össze. Előrre is köszi.
Keresztkábel után a következö a felállásod:
1. gép -> a bejövö internetet osztja tovább
2. gép -> szintén a bejövö internetet kell tovább osztania!! (ergó 2 átjáró géped lesz a linuxos beállítások szerint)
addig amíg a 2. gépröl nem osztod a netet tovább, nem is lesz a többi gépen neted.
Azaz kell egy Masquerade meg egy ipforward < 1 beállítás (ahogy az a nagy könyvben meg van írva)Vagy ha maradsz az elsö felállásnál, egy viszonylag egyszerü tüzfalszabállyal megoldhatod a dolgokat.
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
azaz, ha a bejövö kapcsolatok nem a 252-es gépröl jöttek, akkor dobva lesznek.
Persze ezt kicsit finomítani kell illetve további engedélyezéseket esetleg felvenni, ha te direktbe akarsz a géphez csatlakozni meg ilyesmi…Szóval ezen az úton próbálj elindulni!
A lada ötlete nagyon tetszik csak sajnos nem müködik:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
ugyan ugy lehet internetezni a 10.0.0.254-n en keresztül is viszont
nem tudok belépni ssh val ha ez a parancs bent van. Szoval majdnem jó csak pont forditva kellene
254 en keresztül ne lehessen netezni csak a 252-n keresztül és betudjak lépni ssh-val :).
Erre nem is gondoltam amit lada irt szoval prokálkozok iptablessel tiltani valahogy eddig nem sok sikerrel
mert sajnos a csomag feladó nem változik meg ha a 252 es átjáron keresztül megy viszont ha maskolok
akkor meg tök felesleges az egész mert épp az a lényeg hogy ha a gépen átmegy a forgalom ugy hogy az nem változik meg akkor tudom korlátozni is és mérni is de ha mind két gépen maskolok akkor nem tudom mérni csak az össz forgalmat és csak az össz forgalmat tudom korlátozni.A lada ötlete nagyon tetszik csak sajnos nem müködik:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
ugyan ugy lehet internetezni a 10.0.0.254-n en keresztül is viszont
nem tudok belépni ssh val ha ez a parancs bent van. Szoval majdnem jó csak pont forditva kellene
254 en keresztül ne lehessen netezni csak a 252-n keresztül és betudjak lépni ssh-val :).
Erre nem is gondoltam amit lada irt szoval prokálkozok iptablessel tiltani valahogy eddig nem sok sikerrel
mert sajnos a csomag feladó nem változik meg ha a 252 es átjáron keresztül megy viszont ha maskolok
akkor meg tök felesleges az egész mert épp az a lényeg hogy ha a gépen átmegy a forgalom ugy hogy az nem változik meg akkor tudom korlátozni is és mérni is de ha mind két gépen maskolok akkor nem tudom mérni csak az össz forgalmat és csak az össz forgalmat tudom korlátozni.„10.0.0.252”
Ezen a gépen letíltod a portforwardingot és akiknek ez a gép az átjáró
biztos nem tud netezni.
Persze ha a kábelezés megkerüli a gépet, ne csodálkozz, ha lesznek „leleményes userek”! 🙂
Jó lenne valami ábrát is mellékelnél.„10.0.0.252”
Ezen a gépen letíltod a portforwardingot és akiknek ez a gép az átjáró
biztos nem tud netezni.
Persze ha a kábelezés megkerüli a gépet, ne csodálkozz, ha lesznek „leleményes userek”! 🙂
Jó lenne valami ábrát is mellékelnél.fanti wrote:A lada ötlete nagyon tetszik csak sajnos nem müködik:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
ugyan ugy lehet internetezni a 10.0.0.254-n en keresztül is viszont
nem tudok belépni ssh val ha ez a parancs bent van. Szoval majdnem jó csak pont forditva kellene
254 en keresztül ne lehessen netezni csak a 252-n keresztül és betudjak lépni ssh-val :).Hm, mivel most sajnos nem bírom magam beleélni a helyzetedbe teljesen, ezért talán ezzel próbálkozhatsz:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -s ! 10.0.0.0/8 -i eth0 -j DROP
azaz, azokat dobja, amik nem a 252-es gépröl jönnek és NEM a belsö háló a céljuk.Egyébként én speciel meg tudtam oldani, hogy egy gép saját maga sávszélességét korlátozza, pedig szintén lehetöségem lett volna 2 gépes verziót belöni, de ódzkodtam töle, mert minek piszkáljam az átjáró gépet még ezzel is…
Ha eszembejut és hazaértem, majd bemásolom neked, hátha segít és a 252-es (szerintem) felesleges gépet kiszedheted majd akkor.Illetve megcsinálhatod még azt is, hogy:
1. gép
eth0: net
eth1: 10.0.0.254 – crossal összekötve a 2gépel
2.
eth0: 10.0.0.252 – crossal ….
eth1: belsö hálózat switch-emég 1-2 tüzfalszabály, aztán biztos nem lesz megkerülhetö 🙂
fanti wrote:A lada ötlete nagyon tetszik csak sajnos nem müködik:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -i eth0 -j DROP
ugyan ugy lehet internetezni a 10.0.0.254-n en keresztül is viszont
nem tudok belépni ssh val ha ez a parancs bent van. Szoval majdnem jó csak pont forditva kellene
254 en keresztül ne lehessen netezni csak a 252-n keresztül és betudjak lépni ssh-val :).Hm, mivel most sajnos nem bírom magam beleélni a helyzetedbe teljesen, ezért talán ezzel próbálkozhatsz:
iptables -A INPUT -p tcp -s ! 10.0.0.252 -s ! 10.0.0.0/8 -i eth0 -j DROP
azaz, azokat dobja, amik nem a 252-es gépröl jönnek és NEM a belsö háló a céljuk.Egyébként én speciel meg tudtam oldani, hogy egy gép saját maga sávszélességét korlátozza, pedig szintén lehetöségem lett volna 2 gépes verziót belöni, de ódzkodtam töle, mert minek piszkáljam az átjáró gépet még ezzel is…
Ha eszembejut és hazaértem, majd bemásolom neked, hátha segít és a 252-es (szerintem) felesleges gépet kiszedheted majd akkor.Illetve megcsinálhatod még azt is, hogy:
1. gép
eth0: net
eth1: 10.0.0.254 – crossal összekötve a 2gépel
2.
eth0: 10.0.0.252 – crossal ….
eth1: belsö hálózat switch-emég 1-2 tüzfalszabály, aztán biztos nem lesz megkerülhetö 🙂
- Be kell jelentkezni a hozzászóláshoz.
legutóbbi hsz