View previous topic :: View next topic |
Author |
Message |
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Wed Jul 07, 2004 9:18 pm Post subject: Partilhar Net. |
|
|
Gostava de saber uma coisa, o emerge dhcp, dá para partilhar net ? OU tenho que fazer sempre MASQUERADE no iptables, para partilha de net para uns quantos computadores 6 a 10 acham que devo configurar o dhcp ou fazer o MASQUERADE sem dhcp ?
E já agora existe algum howto, rede interna já tenho, gostaria de partilhar com dhcp e não sem. Acham que usar o dhcp é seguro ? Ouvi dizer que tinha algumas "falhas". Nesse computador que estou a instalar o gentoo meti lá o hardened-dev-sources. _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
codemaker Guru
Joined: 03 Jun 2004 Posts: 398 Location: Lisboa, Portugal
|
Posted: Wed Jul 07, 2004 11:40 pm Post subject: |
|
|
Para partilhar a net precisas de ip forwarding e precisas do marquerading (NAT). Sem masquerading, a tua gateway não saberia para que máquina da rede interna deveria redireccionar um pacote que vem da rede exterior (internet).
O dhcp serve para atribuir ips dinamicamente. Se preferires atribuir a cada máquina um ip fixo, não precisas de dhcp para nada.
Em minha casa, uso DHCP para ditribuir ips locais, os endereços dos servidores de DNS e o endereço do servidor NTP. Assim, sempre que ligo um computador qualquer à rede, fica automáticamente configurado para ligação à internet.
O DHCP deverá estar direccionado apenas para a tua rede interna e não deve ester visível de fora. |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Thu Jul 08, 2004 10:08 pm Post subject: |
|
|
Bom hoje já meti a fazer sharing mais dhcp, contudo reiniciei o PC, e deixou de funcionar !!!
lá tive que meter novamente as regras de iptables lol. depois disso fica o sharing bem .
O dhcp atribui já bem os ip's.
básicamente tenho esta configuração:
/etc/mythos.conf:
Code: | #!/bin/bash
IPTABLES='/sbin/iptables'
# Set interface values
EXTIF='eth0'
INTIF1='eth1'
# enable ip forwarding in the kernel
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X
# enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
# forward LAN traffic from $INTIF1 to Internet interface $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT
#echo -e " - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 21 --syn -j ACCEPT
#echo -e " - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#echo -e " - Allowing access to the HTTP server"
$IPTABLES -A INPUT -p tcp --dport 80 --syn-j ACCEPT
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp--flags SYN, ACK -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
chmod +x /etc/myhtos.conf
/etc/mythos.conf
/etc/init.d/iptables save
cp /var/lib/iptables/rules-save /etc/mythos.conf
/etc/init.d/iptables start; /etc/init.d/iptables stop; /etc/init.d/iptables start
rc-update add iptables default |
sempre que faço isto fica tudo bem , o prob é quando reinici-o o computador !!!
O DHCP não meti porque funciona na perfeição. Mesmo atribuindo manualmente não funciona.
usei o hardened-dev-sources. _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
codemaker Guru
Joined: 03 Jun 2004 Posts: 398 Location: Lisboa, Portugal
|
Posted: Thu Jul 08, 2004 10:25 pm Post subject: |
|
|
/etc/init.d/iptables save
EDIT:
oops! Não tinha reparado que já fazias isso. Tens a certeza que as regras de iptables se vão? Se fizeres iptables -L não estão lá as regras?
Não será antes isto:
Code: |
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
|
vai ao ar? |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Thu Jul 08, 2004 10:32 pm Post subject: |
|
|
Quote: |
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward |
Devo por outra coisa ?
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
???
Nope, aquilo parecia uma cena à certo tipo de sistema operativo!!! Sempre que volto a por as regras ele funciona, quando reinicio, faço iptables --list, e elas continuam lá !!!!
Estranho não é ! _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
codemaker Guru
Joined: 03 Jun 2004 Posts: 398 Location: Lisboa, Portugal
|
Posted: Thu Jul 08, 2004 11:15 pm Post subject: |
|
|
Não é isso. É que aquele comando
Code: |
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
|
deve ser executado sempre que inicias o computador. Não tem nada a ver com regras do iptables. Experimenta fazer
Code: |
cat /proc/sys/net/ipv4/ip_forward
|
logo a seguir a reiniciares a máquina. Se estiver a '0', tens aí o teu problema.
Eu tenho o meu no /etc/conf.d/local.start tal como é descrito no último ebuild do iptables. |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Thu Jul 08, 2004 11:43 pm Post subject: |
|
|
Ok thanx vou tentar ver isso, deve ser isso ele não deve estar a por o ip_foward!!!
... mas só amanhã aquilo é um pequeno lab para o pessoal de informática, querem lá meter .net, e eu dou-lhes com o .net. mono power
Thanx CodeMaker _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Fri Jul 09, 2004 1:22 pm Post subject: |
|
|
Tens razão apliquei mal o comando, o valor estava a zero, mas pronto fiz um scriptzito meti no rc-uptade lol e voilá
Thanx _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Fri Jul 09, 2004 11:23 pm Post subject: |
|
|
já agora caso alguém tenha o mesmo problema cá fica o script:
Code: | nano /etc/init.d/NAT
#!/sbin/runscript
start()
{
ebegin "Nat Activo"
echo "1" > /proc/sys/net/ipv4/ip_forward
eend
}
stop()
{
ebegin "Nat Desactivado"
echo "0" > /proc/sys/net/ipv4/ip_forward
} |
Code: | chmod +x /etc/init.d/NAT |
Code: |
rc-update add NAT default |
_________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
h0b n00b
Joined: 11 Feb 2004 Posts: 14 Location: Brazil
|
Posted: Sat Jul 10, 2004 6:01 am Post subject: |
|
|
Não precisava criar esse script!
Pode ativar o ip_forwarding em /etc/conf.d/iptables ou /etc/sysctl.conf
|
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Sat Jul 10, 2004 1:04 pm Post subject: |
|
|
pois e quando vais a desligar a máquina, fecha a iptables e deixa o nat activo, nesses poucos segundos podem acontecer muitas coisas digo eu ...
com o script, desliga o sharing .
_________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
m3thos n00b
Joined: 09 Apr 2002 Posts: 46 Location: Portugal
|
Posted: Fri Jul 16, 2004 12:23 am Post subject: humm.. estás todo trocado... |
|
|
Mythos wrote: | pois e quando vais a desligar a máquina, fecha a iptables e deixa o nat activo, nesses poucos segundos podem acontecer muitas coisas digo eu ...
com o script, desliga o sharing .
|
epá, primeiro que tudo, NAT, não é IP forwarding, que é o que tu estás a activar.
o ip forwarding é apenas a possibilidade de o teu PC poder reencaminhar pacotes que não são dirigidos a ele, usando a sua tabela de routing...
e não deixa nat activo coisa nenhuma, a unica coisa que o ip forwarding faz é permitir aos PCs locais enviar dados(pacotes) para a internet, mas como a NAT foi desactivada, não tem consequencias nenhumas porque toda a comunicação no sentido contrário é filtrada.
e devo lembrar que para qualquer ligação TCP é preciso comunicação bidireccional..
conclusão, não deixa o "nat activo" e "nesses poucos segundos" não pode acontecer "muita coisa".....
e é melhor leres o iptables howto, ou algo do género, pois estás com os conceitos todos trocados....
MASQUERADING: um tipo de NAT, que significa: network address translation...
IP forwarding: tradução perguiçosa dá algo como: reencaminhamento de trafego IP..
DHCP: tal como já disseram, serve apenas para atribuir dinamicamente IPs a máquinas não tem nada a ver com a "partilha da net" ie: nat, ou ip forwarding. _________________ Miguel Sousa Filipe
handle: m3thos
More human than human |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Fri Jul 16, 2004 1:59 am Post subject: [OT] |
|
|
Ok.
O que eu queria meti a funcionar e era o que me intressava, quando queremos que funcione uma coisa, não vamos estar a abrir o LELO Universal para ler todos os significados.
NEste momento só me falta uma coisa aqui no PC de cima, por a porcaria do mozilla versao 0.9 para cima a compilar bem e lá em baixo o mono a compilar bem, num funciona uma coisa noutro outra grrrrrrrrrrrrr _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Fri Jul 16, 2004 3:26 am Post subject: |
|
|
O Mythos, vc podia fazer um script do iptables pra min, não sei nada de iptables, segue minhas regras, e tb queria saber como fazer pra ele funcionar no boot.
#!/bin/bash
#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&
#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
#compartilhando a web na rede interna
#iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&
# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/0 -p icmp -j DROP
# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Porta Wincrash
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"
#Portas BackOrifice
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice"
#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Regras de Mascaramento
#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT ACCEPT
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -A FORWARD -i ppp0 -j ACCEPT
#iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
Falta incluir as regras de NAT, esses que tão comentados eu deichei porque vai que um dia preciso. Valeu . |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Fri Jul 16, 2004 4:18 am Post subject: |
|
|
Kobal, te recomendo esse tutorial de iptables. Eu também não sabia nada de iptables, agora já estou melhorando, mas ainda tenho que estudar muito mais. Eu recomendo que antes você dê uma olhada em documentação do TCP/IP. Eu encontrei alguma informação num livro do Morimoto, mas o livro em si não é nada bom.
Eu estou construindo um firewall com o iptables pra mim, e por enquanto passou em alguns testes de segurança, mas precisa ser aperfeiçoado. Acho que se o interesse continuar, devemos fazer um tópico sticky sobre iptables.
Quanto ao seu caso, você poderia dar mais detalhes da rede (quem é quem)? E na sua rede tem um computador 192.168.1.0 com máscara de rede 255.255.255.0, mas o correto não seria usar 192.168.0.x ou 10.0.0.x? Além disso, "iptables -F" já não limpa a tabela inteira? |
|
Back to top |
|
|
Mythos l33t
Joined: 02 May 2004 Posts: 953 Location: Portugal
|
Posted: Fri Jul 16, 2004 1:10 pm Post subject: |
|
|
OKi, amanhã vou ter uma frequência deposi disso, mando aquilo que fiz ... _________________ Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Fri Jul 16, 2004 6:04 pm Post subject: |
|
|
Quote: | devemos fazer um tópico sticky sobre iptables. |
Ta precisando pinar um topico desse mesmo, muito bom esse tutorial que vc me falou, , Será que falta muito pro pf vir pro Linux ?
Vamo cria esse topico ae mesmo. |
|
Back to top |
|
|
pilla Bodhisattva
Joined: 07 Aug 2002 Posts: 7729 Location: Underworld
|
Posted: Fri Jul 16, 2004 8:39 pm Post subject: |
|
|
Mais um tópico sticky? Já temos 7 aqui no Portuguese. _________________ "I'm just very selective about the reality I choose to accept." -- Calvin |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Fri Jul 16, 2004 8:50 pm Post subject: |
|
|
pilla wrote: | Mais um tópico sticky? Já temos 7 aqui no Portuguese. |
Temos bastante, mas alguns não são tão úteis quanto esse. O concurso de idéias para o gentoopt.org está parado desde fevereiro. Imagine quantos não estão atrás nem sequer de um simples firewall. |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Fri Jul 16, 2004 9:55 pm Post subject: |
|
|
Poderia remover esse:
Sticky: [PT-DOC] - Gentoo Weekly Newsletter |
|
Back to top |
|
|
Karma_Police n00b
Joined: 14 Jun 2004 Posts: 26 Location: Portugal
|
Posted: Fri Jul 16, 2004 9:56 pm Post subject: |
|
|
E que tal criar um sticky com links para os howtos daqui do forum português? Podia-se por uma pequena descrição do howto seguido do link. Assim não subiam o número de stickys, e parece-me que seria util para todos os novatos. _________________ This is what you get, when you mess with us! |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Fri Jul 16, 2004 9:57 pm Post subject: |
|
|
Esse tb ( Sticky: [ Poll ] Aviso aos navegadores ) acho que esse poderia descer, ja que aqui nunca tem briga. |
|
Back to top |
|
|
codemaker Guru
Joined: 03 Jun 2004 Posts: 398 Location: Lisboa, Portugal
|
Posted: Fri Jul 16, 2004 10:10 pm Post subject: |
|
|
Karma_Police wrote: | E que tal criar um sticky com links para os howtos daqui do forum português? Podia-se por uma pequena descrição do howto seguido do link. Assim não subiam o número de stickys, e parece-me que seria util para todos os novatos. |
Um sticky -> vários how-to. Parece-me uma excelente ideia para poupar no número de threads coladas |
|
Back to top |
|
|
fernandotcl Veteran
Joined: 20 Nov 2003 Posts: 1396 Location: Sao Paulo, Brazil
|
Posted: Fri Jul 16, 2004 10:28 pm Post subject: |
|
|
Acho que os stickys precisam de uma limpeza. A idéia do Karma_Police é boa. Talvez possamos un-stickar alguns tópicos, escrever how-tos (inclusive o do iptables) e publicar num site como o GentooBR e linkar num só sticky. E fazemos um tópico convencional para discutirmos o conteúdo do how-to do iptables. O que vocês acham? |
|
Back to top |
|
|
Kobal Guru
Joined: 12 Feb 2004 Posts: 323 Location: Brasil / Brazil / Brésil / Brasilien / el Brasil
|
Posted: Fri Jul 16, 2004 10:59 pm Post subject: |
|
|
Quote: | O que vocês acham? |
Eu acho a ideia boa, criar um como o codemaker disse e outro como o fernandotcl disse pro comentarios. |
|
Back to top |
|
|
|