Sokrat, 10.12.2003 09:25:57:postfix, exim, qmail - только не sendmail.
BrAB, 10.12.2003 11:25:15:УФ! как в анекдоте -колдун Сократ однако!
мда, и действитель, как я хотел одним гейтом обойтись?
Вот такой вопрос: кидаю с машины с ip 192.168.0.76 192.168.4.1 команду
ping -I еth0 192.168.4.45
и теперь вторая часть вопроса - как собирать объём инфы, прошедшей через линуховый сервер на определёные ip адреса? В FreeBSD это решалось посредством count в ipfw + скидывание скриптом куда - нибудь. А тут как?
BrAB, 10.12.2003 11:25:15:и теперь вторая часть вопроса - как собирать объём инфы, прошедшей через линуховый сервер на определёные ip адреса? В FreeBSD это решалось посредством count в ipfw + скидывание скриптом куда - нибудь. А тут как?
Pazke, 10.12.2003 11:54:41:На любом правиле в ipchains есть счетчики пакетов и байтов. Поглядеть их можно ipchains -L -v -x, опция -Z сбрасывает все счетчики в ноль. Т.е. пишете скрипт который разбирает вывод команды ipchains -L -v -n -Z и вперед.
BrAB, 10.12.2003 15:16:20:Хм, как-то переборщили в Линухе...
в BSD просто ipfw add 3 count ip from 192.168.0.23 to any via rl0
и всё считает.
непонятно, нужны ли они вообще, и как сделать так, чтобы сеть 192.168.4.0 не видела сети 192.168.0.0 и наоборот?
Sokrat, 11.12.2003 09:14:27:Не вижу принципиальной разницы.непонятно, нужны ли они вообще, и как сделать так, чтобы сеть 192.168.4.0 не видела сети 192.168.0.0 и наоборот?
"Ты скажи, ты скажи, чё те надо, чё надо..."
Полностью задачу изложите, пожалуйста.
BrAB, 11.12.2003 14:27:49:При этом сеть 192.168.4.0 не должна иметь доступа к 192.168.0.0, т. е. в идеале сети не могкт пинговать и трасировать друг-друга, но главное, они не должны видеть друг друга. Т. е. из одной сети нельзя было бы подключится к манине другой. Сделать это необходимо в целях безопастности, т. к. 192.168.0.0 - это сеть моей организации, а в сети 192.168.4.0 будут сидеть соседи по этажу, которым мы отдаём инет.
BrAB, 11.12.2003 14:27:49:Вообщем. нужно, чтобы сеть 192.168.4.0 (см. рис) имела доступ в инет (http,ftp,smtp,pop3,icq). При это трафик проходящий на и от ip адресов должен считаться счётчиками выковырить из них значения это не проблема, я на подобной операции на BSD собаку съел (ходя парился долго, попутно изучая Перл).
При этом сеть 192.168.4.0 не должна иметь доступа к 192.168.0.0, т. е. в идеале сети не могкт пинговать и трасировать друг-друга, но главное, они не должны видеть друг друга. Т. е. из одной сети нельзя было бы подключится к манине другой. Сделать это необходимо в целях безопастности, т. к. 192.168.0.0 - это сеть моей организации, а в сети 192.168.4.0 будут сидеть соседи по этажу, которым мы отдаём инет.
Sokrat, 12.12.2003 00:01:38:Ага, теперь понятно. Все, что Вам требуется - 4 правила в цепочке FORWARD:
192.168.4.x -> 192.168.0.x DROP
192.168.0.x -> x.x.x.x DROP
192.168.4.x -> x.x.x.x ACCEPT
x.x.x.x -> 192.168.4.x ACCEPT
И политика по умолчанию DROP.
Траффик снимать, естественно, только с ACCEPT правил. Будьте внимательны к порядку правил.
И, как уже сказали, лучше использовать iptables. Русский перевод весьма подробного туториала. Как прочтете - стоит подтюнить защиту, например, закрыть от врагов INPUT на самом сервере и пропускать в 192.168.4.x только ответные пакеты (ESTABLISHED,RELATED)...
Mishka, 12.12.2003 02:13:05:Я бы еще привязался к интерфейсу, а то умники из 192.168.4.0/24 могут поставить еще и другие адреса. Т.е. с их интерфейса я бы принимал бы только 192.168.4.0/24.
Ну и соответсвенно, с вашего интерфейса я бы не разрешал бы ходить другим, чем 192.168.0.0/24.
Mishka, 13.12.2003 08:37:33:Сижу я на ветке 192.168.4.0 и ставлю себе новый адрес на виртуальном ли интерфейсе или ставлю еще одну карточку - не важно, но адрес 192.168.5.0/24 - и все, по этим правилам, я могу уже достучаться до сети 192.168.0.0/24. Сосуществование разных логических сетей на одном физическом сегменте сейчас вполне возможно. Вот про это я и говорю.
Mishka, 13.12.2003 08:37:33:Сижу я на ветке 192.168.4.0 и ставлю себе новый адрес на виртуальном ли интерфейсе или ставлю еще одну карточку - не важно, но адрес 192.168.5.0/24 - и все, по этим правилам, я могу уже достучаться до сети 192.168.0.0/24.
Sokrat, 13.12.2003 13:04:10:Да ну? А внимательней посмотреть? Ни в одно из 4х правил Вы не попадете - зато попадете в политику по умолчанию и будете дропнуты.
В этой простейшей конфигурации только одна небольшая дырочка (и то она закроется при "пропускать в 192.168.4.x только ответные пакеты (ESTABLISHED,RELATED)") - если в сети 192.168.0.0 кто-то поставит IP 192.168.4.x, то он сможет отправлять пакеты в сеть 192.168.4.0, но назад ему все равно ничего не вернется...
Vale, 11.12.2003 17:05:27:А почему не поставить ДВЕ подсетки? И объединять их на одной финальной машине, которая будет делать NAT для них обоих?
Pazke, 10.12.2003 11:54:41:На любом правиле в ipchains есть счетчики пакетов и байтов. Поглядеть их можно ipchains -L -v -x, опция -Z сбрасывает все счетчики в ноль. Т.е. пишете скрипт который разбирает вывод команды ipchains -L -v -n -Z и вперед.
BrAB, 15.12.2003 15:24:57:Есть проблема: ipchains -L -v не хочет выдавать правила по одному. По номеру - не видит. По имени - перебрал кучу вариантов, так и не нашёл того, которое он примет. Доки прочитал. Всё равно ругается. А ведь можно наверно как-то вывести ОДНО правило.
P. S. если объяснил непонятно. В BSD это делается командой ipfw show 3| например.
Pazke, 15.12.2003 15:58:38:Вот такой он ipchains подлый
Придется вам разбирать все правила скопом.