Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Partilhar Net.
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Portuguese
View previous topic :: View next topic  
Author Message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Wed Jul 07, 2004 9:18 pm    Post subject: Partilhar Net. Reply with quote

Gostava de saber uma coisa, o emerge dhcp, dá para partilhar net ? OU tenho que fazer sempre MASQUERADE no iptables, para partilha de net para uns quantos computadores 6 a 10 acham que devo configurar o dhcp ou fazer o MASQUERADE sem dhcp ?

E já agora existe algum howto, rede interna já tenho, gostaria de partilhar com dhcp e não sem. Acham que usar o dhcp é seguro ? Ouvi dizer que tinha algumas "falhas". Nesse computador que estou a instalar o gentoo meti lá o hardened-dev-sources.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
codemaker
Guru
Guru


Joined: 03 Jun 2004
Posts: 398
Location: Lisboa, Portugal

PostPosted: Wed Jul 07, 2004 11:40 pm    Post subject: Reply with quote

Para partilhar a net precisas de ip forwarding e precisas do marquerading (NAT). Sem masquerading, a tua gateway não saberia para que máquina da rede interna deveria redireccionar um pacote que vem da rede exterior (internet).

O dhcp serve para atribuir ips dinamicamente. Se preferires atribuir a cada máquina um ip fixo, não precisas de dhcp para nada.

Em minha casa, uso DHCP para ditribuir ips locais, os endereços dos servidores de DNS e o endereço do servidor NTP. Assim, sempre que ligo um computador qualquer à rede, fica automáticamente configurado para ligação à internet.

O DHCP deverá estar direccionado apenas para a tua rede interna e não deve ester visível de fora.
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Thu Jul 08, 2004 10:08 pm    Post subject: Reply with quote

Bom hoje já meti a fazer sharing mais dhcp, contudo reiniciei o PC, e deixou de funcionar !!!

lá tive que meter novamente as regras de iptables lol. depois disso fica o sharing bem .

O dhcp atribui já bem os ip's.

básicamente tenho esta configuração:

/etc/mythos.conf:
Code:
#!/bin/bash
IPTABLES='/sbin/iptables'

# Set interface values
EXTIF='eth0'
INTIF1='eth1'

# enable ip forwarding in the kernel
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

# flush rules and delete chains
$IPTABLES -F
$IPTABLES -X

# enable masquerading to allow LAN internet access
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# forward LAN traffic from $INTIF1 to Internet interface $EXTIF
$IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

#echo -e "       - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 21 --syn -j ACCEPT

#echo -e "       - Allowing access to the SSH server"
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

#echo -e "       - Allowing access to the HTTP server"
$IPTABLES -A INPUT -p tcp --dport 80 --syn-j ACCEPT

$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p tcp --tcp--flags SYN, ACK  -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

chmod +x /etc/myhtos.conf

/etc/mythos.conf

/etc/init.d/iptables save

cp /var/lib/iptables/rules-save /etc/mythos.conf
 
/etc/init.d/iptables start; /etc/init.d/iptables stop; /etc/init.d/iptables start

rc-update add iptables default


sempre que faço isto fica tudo bem :(, o prob é quando reinici-o o computador !!!

O DHCP não meti porque funciona na perfeição. Mesmo atribuindo manualmente não funciona.

usei o hardened-dev-sources.
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
codemaker
Guru
Guru


Joined: 03 Jun 2004
Posts: 398
Location: Lisboa, Portugal

PostPosted: Thu Jul 08, 2004 10:25 pm    Post subject: Reply with quote

/etc/init.d/iptables save

EDIT:

oops! Não tinha reparado que já fazias isso. Tens a certeza que as regras de iptables se vão? Se fizeres iptables -L não estão lá as regras?

Não será antes isto:

Code:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward


vai ao ar?
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Thu Jul 08, 2004 10:32 pm    Post subject: Reply with quote

Quote:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward

Devo por outra coisa ?
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

???

Nope, aquilo parecia uma cena à certo tipo de sistema operativo!!! Sempre que volto a por as regras ele funciona, quando reinicio, faço iptables --list, e elas continuam lá !!!!

Estranho não é !
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
codemaker
Guru
Guru


Joined: 03 Jun 2004
Posts: 398
Location: Lisboa, Portugal

PostPosted: Thu Jul 08, 2004 11:15 pm    Post subject: Reply with quote

Não é isso. É que aquele comando

Code:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward


deve ser executado sempre que inicias o computador. Não tem nada a ver com regras do iptables. Experimenta fazer

Code:

cat /proc/sys/net/ipv4/ip_forward


logo a seguir a reiniciares a máquina. Se estiver a '0', tens aí o teu problema.

Eu tenho o meu no /etc/conf.d/local.start tal como é descrito no último ebuild do iptables.
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Thu Jul 08, 2004 11:43 pm    Post subject: Reply with quote

Ok thanx :) vou tentar ver isso, deve ser isso ele não deve estar a por o ip_foward!!!

... mas só amanhã aquilo é um pequeno lab para o pessoal de informática, querem lá meter .net, e eu dou-lhes com o .net. mono power :twisted:

Thanx CodeMaker
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Fri Jul 09, 2004 1:22 pm    Post subject: Reply with quote

Tens razão apliquei mal o comando, o valor estava a zero, mas pronto fiz um scriptzito meti no rc-uptade lol e voilá

Thanx
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Fri Jul 09, 2004 11:23 pm    Post subject: Reply with quote

já agora caso alguém tenha o mesmo problema cá fica o script:
Code:
nano /etc/init.d/NAT
#!/sbin/runscript
 
start()
        {
        ebegin "Nat Activo"
        echo "1" > /proc/sys/net/ipv4/ip_forward
        eend
        }
 
stop()
        {
        ebegin "Nat Desactivado"
        echo "0" > /proc/sys/net/ipv4/ip_forward
        }


Code:
chmod +x /etc/init.d/NAT

Code:

rc-update add NAT default

_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
h0b
n00b
n00b


Joined: 11 Feb 2004
Posts: 14
Location: Brazil

PostPosted: Sat Jul 10, 2004 6:01 am    Post subject: Reply with quote

Não precisava criar esse script! :D
Pode ativar o ip_forwarding em /etc/conf.d/iptables ou /etc/sysctl.conf
:wink:
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Sat Jul 10, 2004 1:04 pm    Post subject: Reply with quote

pois e quando vais a desligar a máquina, fecha a iptables e deixa o nat activo, nesses poucos segundos podem acontecer muitas coisas digo eu ...

com o script, desliga o sharing .

;)
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
m3thos
n00b
n00b


Joined: 09 Apr 2002
Posts: 46
Location: Portugal

PostPosted: Fri Jul 16, 2004 12:23 am    Post subject: humm.. estás todo trocado... Reply with quote

Mythos wrote:
pois e quando vais a desligar a máquina, fecha a iptables e deixa o nat activo, nesses poucos segundos podem acontecer muitas coisas digo eu ...

com o script, desliga o sharing .

;)


epá, primeiro que tudo, NAT, não é IP forwarding, que é o que tu estás a activar.

o ip forwarding é apenas a possibilidade de o teu PC poder reencaminhar pacotes que não são dirigidos a ele, usando a sua tabela de routing...


e não deixa nat activo coisa nenhuma, a unica coisa que o ip forwarding faz é permitir aos PCs locais enviar dados(pacotes) para a internet, mas como a NAT foi desactivada, não tem consequencias nenhumas porque toda a comunicação no sentido contrário é filtrada.

e devo lembrar que para qualquer ligação TCP é preciso comunicação bidireccional..

conclusão, não deixa o "nat activo" e "nesses poucos segundos" não pode acontecer "muita coisa".....

e é melhor leres o iptables howto, ou algo do género, pois estás com os conceitos todos trocados....

MASQUERADING: um tipo de NAT, que significa: network address translation...
IP forwarding: tradução perguiçosa dá algo como: reencaminhamento de trafego IP..
DHCP: tal como já disseram, serve apenas para atribuir dinamicamente IPs a máquinas não tem nada a ver com a "partilha da net" ie: nat, ou ip forwarding.
_________________
Miguel Sousa Filipe
handle: m3thos
More human than human
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Fri Jul 16, 2004 1:59 am    Post subject: [OT] Reply with quote

Ok.
O que eu queria meti a funcionar e era o que me intressava, quando queremos que funcione uma coisa, não vamos estar a abrir o LELO Universal para ler todos os significados.

NEste momento só me falta uma coisa aqui no PC de cima, por a porcaria do mozilla versao 0.9 para cima a compilar bem e lá em baixo o mono a compilar bem, num funciona uma coisa noutro outra grrrrrrrrrrrrr
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Kobal
Guru
Guru


Joined: 12 Feb 2004
Posts: 323
Location: Brasil / Brazil / Brésil / Brasilien / el Brasil

PostPosted: Fri Jul 16, 2004 3:26 am    Post subject: Reply with quote

O Mythos, vc podia fazer um script do iptables pra min, não sei nada de iptables, segue minhas regras, e tb queria saber como fazer pra ele funcionar no boot.

#!/bin/bash

#limpando tabelas
iptables -F &&
iptables -X &&
iptables -t nat -F &&
iptables -t nat -X &&

#liberando acesso interno da rede
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&
iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT &&

#compartilhando a web na rede interna
#iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE &&
echo 1 > /proc/sys/net/ipv4/ip_forward &&

# Protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/0 -p icmp -j DROP

# Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP

#Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP

#Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Porta Wincrash
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash"

#Portas BackOrifice
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice"

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Regras de Mascaramento

#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT ACCEPT
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -A FORWARD -i ppp0 -j ACCEPT
#iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT


Falta incluir as regras de NAT, esses que tão comentados eu deichei porque vai que um dia preciso. Valeu .
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Fri Jul 16, 2004 4:18 am    Post subject: Reply with quote

Kobal, te recomendo esse tutorial de iptables. Eu também não sabia nada de iptables, agora já estou melhorando, mas ainda tenho que estudar muito mais. Eu recomendo que antes você dê uma olhada em documentação do TCP/IP. Eu encontrei alguma informação num livro do Morimoto, mas o livro em si não é nada bom.

Eu estou construindo um firewall com o iptables pra mim, e por enquanto passou em alguns testes de segurança, mas precisa ser aperfeiçoado. Acho que se o interesse continuar, devemos fazer um tópico sticky sobre iptables.

Quanto ao seu caso, você poderia dar mais detalhes da rede (quem é quem)? E na sua rede tem um computador 192.168.1.0 com máscara de rede 255.255.255.0, mas o correto não seria usar 192.168.0.x ou 10.0.0.x? Além disso, "iptables -F" já não limpa a tabela inteira?
Back to top
View user's profile Send private message
Mythos
l33t
l33t


Joined: 02 May 2004
Posts: 953
Location: Portugal

PostPosted: Fri Jul 16, 2004 1:10 pm    Post subject: Reply with quote

OKi, amanhã vou ter uma frequência deposi disso, mando aquilo que fiz ...
_________________
Best Regards,
Sérgio Henrique
Linux dune 3.0.6-gentoo #1 SMP Thu Oct 27 16:47:29 WEST 2011 x86_64 Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz GenuineIntel GNU/Linux
Back to top
View user's profile Send private message
Kobal
Guru
Guru


Joined: 12 Feb 2004
Posts: 323
Location: Brasil / Brazil / Brésil / Brasilien / el Brasil

PostPosted: Fri Jul 16, 2004 6:04 pm    Post subject: Reply with quote

Quote:
devemos fazer um tópico sticky sobre iptables.


Ta precisando pinar um topico desse mesmo, muito bom esse tutorial que vc me falou, :D , Será que falta muito pro pf vir pro Linux ? :D

Vamo cria esse topico ae mesmo.
Back to top
View user's profile Send private message
pilla
Bodhisattva
Bodhisattva


Joined: 07 Aug 2002
Posts: 7729
Location: Underworld

PostPosted: Fri Jul 16, 2004 8:39 pm    Post subject: Reply with quote

Mais um tópico sticky? Já temos 7 aqui no Portuguese.
_________________
"I'm just very selective about the reality I choose to accept." -- Calvin
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Fri Jul 16, 2004 8:50 pm    Post subject: Reply with quote

pilla wrote:
Mais um tópico sticky? Já temos 7 aqui no Portuguese.

Temos bastante, mas alguns não são tão úteis quanto esse. O concurso de idéias para o gentoopt.org está parado desde fevereiro. Imagine quantos não estão atrás nem sequer de um simples firewall.
Back to top
View user's profile Send private message
Kobal
Guru
Guru


Joined: 12 Feb 2004
Posts: 323
Location: Brasil / Brazil / Brésil / Brasilien / el Brasil

PostPosted: Fri Jul 16, 2004 9:55 pm    Post subject: Reply with quote

Poderia remover esse:

Sticky: [PT-DOC] - Gentoo Weekly Newsletter
Back to top
View user's profile Send private message
Karma_Police
n00b
n00b


Joined: 14 Jun 2004
Posts: 26
Location: Portugal

PostPosted: Fri Jul 16, 2004 9:56 pm    Post subject: Reply with quote

E que tal criar um sticky com links para os howtos daqui do forum português? Podia-se por uma pequena descrição do howto seguido do link. Assim não subiam o número de stickys, e parece-me que seria util para todos os novatos.
_________________
This is what you get, when you mess with us!
Back to top
View user's profile Send private message
Kobal
Guru
Guru


Joined: 12 Feb 2004
Posts: 323
Location: Brasil / Brazil / Brésil / Brasilien / el Brasil

PostPosted: Fri Jul 16, 2004 9:57 pm    Post subject: Reply with quote

Esse tb ( Sticky: [ Poll ] Aviso aos navegadores ) acho que esse poderia descer, ja que aqui nunca tem briga.
Back to top
View user's profile Send private message
codemaker
Guru
Guru


Joined: 03 Jun 2004
Posts: 398
Location: Lisboa, Portugal

PostPosted: Fri Jul 16, 2004 10:10 pm    Post subject: Reply with quote

Karma_Police wrote:
E que tal criar um sticky com links para os howtos daqui do forum português? Podia-se por uma pequena descrição do howto seguido do link. Assim não subiam o número de stickys, e parece-me que seria util para todos os novatos.


Um sticky -> vários how-to. Parece-me uma excelente ideia para poupar no número de threads coladas ;)
Back to top
View user's profile Send private message
fernandotcl
Veteran
Veteran


Joined: 20 Nov 2003
Posts: 1396
Location: Sao Paulo, Brazil

PostPosted: Fri Jul 16, 2004 10:28 pm    Post subject: Reply with quote

Acho que os stickys precisam de uma limpeza. A idéia do Karma_Police é boa. Talvez possamos un-stickar alguns tópicos, escrever how-tos (inclusive o do iptables) e publicar num site como o GentooBR e linkar num só sticky. E fazemos um tópico convencional para discutirmos o conteúdo do how-to do iptables. O que vocês acham?
Back to top
View user's profile Send private message
Kobal
Guru
Guru


Joined: 12 Feb 2004
Posts: 323
Location: Brasil / Brazil / Brésil / Brasilien / el Brasil

PostPosted: Fri Jul 16, 2004 10:59 pm    Post subject: Reply with quote

Quote:
O que vocês acham?


Eu acho a ideia boa, criar um como o codemaker disse e outro como o fernandotcl disse pro comentarios.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Portuguese All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum