Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Sapa - 14.02.08 - klo:18.10
-
Hei!
Vaihdoin tuossa vihdosta ja viimein noin kuukausi sitten Mandrakesta Kubuntuuun (Feisty) ja sain samalla käsiini toisen verkkokortin.
Nyt tarvittais jonkun gurun neuvoja mitenkäs saapi nuo verkkokortit tajuamaa mitä mie haluan.
taustaa..
Eli aloitetaan rautapuolelta. Telewellin ADSL modeemi, jossa 4 porttia(1&2 windows koneet, 3 kubuntu LAN, 4 suoraan netissä)
Raimon loistavan mini-howto ohjeitten mukaisesti asetin iptablesit piiloon ja tarvittavat portit auki, aika helppoa kun on edes haju asiasta.
Kaikki toimii juuri niinkuin pitää, kun on eth0(eli adsl modeemin 4 portissa oleve) piuhoissa. Lisätään eth1:lle piuha ja kaikki menee sekaisin.
Selain käyttää eth1, mistään edes auki olevasta portista ei pääse sisään eth0:n ip:llä.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- 192.168.0.0/24 anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:14534
ACCEPT tcp -- anywhere anywhere tcp dpt:51234
ACCEPT udp -- anywhere anywhere udp dpt:8767
ACCEPT tcp -- anywhere anywhere tcp dpt:webmin
ACCEPT tcp -- anywhere anywhere tcp dpt:auth
ACCEPT tcp -- anywhere anywhere tcp spt:6881
ACCEPT udp -- anywhere anywhere udp spt:4444
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT 0 -- anywhere 192.168.0.0/24
tuossa on mitä seisoo iptables säännöissä, rivit 2 INPUT ja OUTPUT ketjuissa on kokeilu rajoittaa eth1 vain sisäisiin ip osoitteisiin.
Kertokee hyvät gurut missä olen astunut harhaan.
Kiitos etukäteen.
-
Hieman etsiskelemällä ja googlettamalla törmäsin toiseen reittiin lähestyä tätä, mutta kun tämä menee hieman yli ymmäryksen niin pitää kysyä ensin ja kokeilla sitten.
Jos siirtää koko eth1 osan eth0:n jälkeen niin toimisiko se?
/etc/network/interfaces
auto lo
iface lo inet loopback
address 127.0.0.1
netmask 255.0.0.0
iface eth1 inet dhcp
auto eth1
iface eth0 inet dhcp
post-up iptables-restore < /etc/iptables.up.rules
auto eth0
Eipä toiminut tuo, eikä tämä seuraavakaan :(
rivit 2 INPUT:ssa ja 1 OUTPUT:ssa on määritetty kyllä eth1, mutta jostai syystä se ei näy tuolla.
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT 0 -- anywhere anywhere
2 ACCEPT 0 -- 192.168.0.0/24 anywhere
3 ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
4 ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
5 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
6 ACCEPT tcp -- anywhere anywhere tcp dpt:14534
7 ACCEPT tcp -- anywhere anywhere tcp dpt:51234
8 ACCEPT udp -- anywhere anywhere udp dpt:8767
9 ACCEPT tcp -- anywhere anywhere tcp dpt:webmin
10 ACCEPT tcp -- anywhere anywhere tcp dpt:auth
11 ACCEPT tcp -- anywhere anywhere tcp spt:6881
12 ACCEPT udp -- anywhere anywhere udp spt:4444
Chain FORWARD (policy DROP)
num target prot opt source destination
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT 0 -- anywhere 192.168.0.0/24
2 ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED
-
Kaikki toimii juuri niinkuin pitää, kun on eth0(eli adsl modeemin 4 portissa oleve) piuhoissa. Lisätään eth1:lle piuha ja kaikki menee sekaisin.
Mitä oikein haluat tuolla toisella kortilla tehdä? Kahdella kortilla voit toki reitittää liikennettä, mutta, kun käytössäsi on jo reititin, mitä liikennettä toisella kortilla reitität ja mihin verkkoon.
-
eth0 on tarkoitus näkyä ja olla tavoitettavissa internetistä, eth1 on tarkoitus olla vain paikallisen verkon käytössä(samba & printteri jaot yms).
Eli yritän rajoittaa eth1 liikenteen vain lähiverkko ip osoitteisiin.
Jostain syystä vaan kaikki selaimet yms käyttää eth1:stä eikä eth0:llaa, joten palvelin ohjelmat(teamspeak, SSH) kuuntelee väärää verkkokorttia eikä kuule toiseltä tulevia kutsuja.
Ainiin, olisi varmaan pitänyt jo aluksi mainita, että ADSL portit 1-3 on NATin takana ja pääsevät sieltä suoraan nettiin.
-
En nyt oikein saa otetta että minkälaista verkkoa oikein rakentelet. Eli käsitinkö nyt oikein että Linux koneen eth0 on modeemin portissa 4 kiinni ja eth1 modeemin portissa 3????? Miltä näyttää kun ajat netstat -rn komentoriviltä ja kummatkin eth0 ja eth1 ovat kytkettyinä????
-
En nyt oikein saa otetta että minkälaista verkkoa oikein rakentelet. Eli käsitinkö nyt oikein että Linux koneen eth0 on modeemin portissa 4 kiinni ja eth1 modeemin portissa 3????? Miltä näyttää kun ajat netstat -rn komentoriviltä ja kummatkin eth0 ja eth1 ovat kytkettyinä????
tarkoitit varmaan "netstat -r" ?
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
91.153.160.0 * 255.255.240.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
default adsli.purkki 0.0.0.0 UG 0 0 0 eth1
default a91-153-160-1.e 0.0.0.0 UG 0 0 0 eth0
liitteenä karkea kuva aiotusta verkosta ja muutin topikkia sopivammaksi
[ylläpito on poistanut liitteen]
-
Ihan aluksi voisit konffata sen eth1:n staattisille asetuksille, niin ettei se käytä tuota adsl-modeemia oletusreittinä, elikkä /etc/network/interfaces
iface eth1 inet static
address 192.168.0.215
netmask 255.255.255.0
215 on ihan heitto tuossa, käytä jotain osoitetta joka on alueella josta modeemin dhcp ei jaa osoitteita.
Luulisin, että ongelmana on, että kone kommunikoi yhteyden ottajalle väärän yhdyskäytävän kautta, älä siis laita tuolle nattiverkolle mitään yhdyskäytävää, kun kuitenkin haluat kommunikoida ulkomaailmaan eth0:n avulla.
-
Pitääpä kokeilla tuota kun pääsee töistä poies. Kiitos.
Mutta kun on tyhmä niin pitää kysyä.
Pitänee varmaan myös ottaa telewellin dchp serveristä linukan verkkokortti määritykset?
Tällä hetkellä se jakaa kiinteät ip:t MAC osoitteen perusteella NAT:n sisällä.
-
Kiinteä ip oli se avain, kiitosta.
Nyt näyttäis reitittävän ihan niinkuin pitääkin, mutta sambaan en pääse nyt jostain syystä käsiksi.
Se näkyy kyllä windowsilla, muttei päästä sisään.
EDIT: En ole kyllä ihan satavarma mitä muutin mutta nyt se vaan taitaa toimia. Nyt en kyllä koske mihkään asetukseen vähään aikaan :P
ipconfig sanoo tätä
eth0 Link encap:Ethernet HWaddr 00:jne
inet addr:91.153.***.*** Bcast:91.153.175.255 Mask:255.255.240.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:143256 errors:0 dropped:0 overruns:0 frame:0
TX packets:129354 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:52105809 (49.6 MB) TX bytes:16623374 (15.8 MB)
Interrupt:9 Base address:0x6f80
eth1 Link encap:Ethernet HWaddr 00:jne
inet addr:192.168.0.88 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3364 errors:0 dropped:0 overruns:0 frame:0
TX packets:3350 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1564865 (1.4 MB) TX bytes:537167 (524.5 KB)
Interrupt:5 Base address:0xae00
netstat -r sanoo näin
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
91.153.160.0 * 255.255.240.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
default a91-153-160-1.e 0.0.0.0 UG 0 0 0 eth0
/etc/network/interfaces sisältää:
auto lo
iface lo inet loopback
address 127.0.0.1
netmask 255.0.0.0
pre-up iptables-restore < /etc/iptables.up.rules
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 192.168.0.88
netmask 255.255.255.0
ja iptables säännöt(on tehty webminillä joten saattaa näyttää sekavalta)
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*raw
:PREROUTING ACCEPT [3758:541441]
:OUTPUT ACCEPT [3534:317512]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*nat
:PREROUTING ACCEPT [165:18663]
:POSTROUTING ACCEPT [119:13741]
:OUTPUT ACCEPT [119:13741]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*mangle
:PREROUTING ACCEPT [3758:541441]
:INPUT ACCEPT [3716:537571]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3534:317512]
:POSTROUTING ACCEPT [3678:338844]
COMMIT
# Completed on Thu Feb 14 19:51:35 2008
# Generated by iptables-save v1.3.6 on Thu Feb 14 19:51:35 2008
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 20,21
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 14534 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 51234 -j ACCEPT
-A INPUT -p udp -m udp --dport 8767 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
# samba
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --sports 135,139,445
# samba
-A INPUT -p udp -m udp -m multiport -j ACCEPT --sports 137,138
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
COMMIT
# Completed on Thu Feb 14 19:51:35 2008