Jump to content
Local

Oleg2018

Muggles
  • Content Count

    36
  • Joined

  • Last visited

Community Reputation

0 Обычный

About Oleg2018

  • Rank
    Пролетал Мимо

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1 нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей
  2. Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно #!/bin/bash #set -x /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp # Обьявляем где у нас лежит IPTABLES IPT="/sbin/iptables" IPS="/sbin/ipset" # Включаем пересылку пакетов нашим роутером case $1 in start) # удаляем все имеющиеся правила $IPT -F $IPT -X #$IPS -N blacklist iphash $IPS -N FORW iphash $IPS -N DISCON iphash # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP #При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная, $IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP ####Module conf_sg brut $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP ##### $IPT -A INPUT -m state --state INVALID -j DROP ############################################################### ######################## FORWARD ############################## ############################################################### $IPT -A FORWARD -i lo -j ACCEPT #$IPT -A FORWARD -m set --match-set blacklist dst -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP $IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT $IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT ############################################################### ######################## NAT ################################## ############################################################### ######### Все обращения на 80 порт перебрасываем на UHW #$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80 ######### отключенных абонов редиректим на личный кабинет #$IPT -t nat -A PREROUTING -m set --match-set DISCON src --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port $IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1 #######нат в пул адрессов #$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten /etc/shaper.sh start #$IPS -A FORW 192.168.64.0/24 ;; stop) # удаляем все имеющиеся правила $IPT -F $IPT -X $IPT -F -t nat $IPT -F -t mangle $IPT -F -t filter #$IPS -F blacklist #$IPS -X blacklist $IPS -F FORW $IPS -X FORW $IPS -F DISCON $IPS -X DISCON # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP /etc/shaper.sh stop ;; *) echo "use start or stop" esac
  3. Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так : auto eth1 iface eth1 inet static address 10.78.10.1 netmask 255.255.255.0 auto eth1:1 iface eth1:1 inet static address 10.78.11.1 netmask 255.255.255.0 Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP . А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.
  4. DHCP не выдает ip пишет в логах DHCPDISCOVER from via enp2s0f0: network ourisp: no free leases. При добавлении в конфиг range назначает. В чем проблема?
  5. Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд
  6. Блин почему на самый простой вопрос идет наброс "доброжелателей",это уже наверное менталитет
  7. Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?
  8. Oleg2018

    freebsd php 7.3 ubilling

    Мужики выручайте есть такая проблема. Последний релиз биллинга с версией php 7.0.13. Хочу на этот же сервер поставить и Zabbix да вот проблема при установке фротенда забикса обновляет версию php а это проблема для фротенда биллинга. Какие есть идеи, забикс очень нужен
  9. Oleg2018

    NAS Server Cisco Asr 1002 для Ubilling

    Это я понимаю что через MultiGen интересует сам алгоритм конфигурации асрки
  10. Билинг сейчас поднят на сервере под FreeBSD и используется локальный NAS сервер, все работает замечательно. Есть в наличии аппарат Cisco ASR 1002. Хотелось бы получить информацию как поднять на этой машине NAS сервер для нашего биллинга. Информации по этой модели на форумах в принципе нет.Помогите пожалуйста
  11. При переносе биллинга на новый сервер сделал восстановоление базы строго по инструкции. Все данные получил. Пользователи работают. Но есть проблема, при создание копии базы через вебинтерфейс создается файл с размер 100 килобайт. База при переносе занимала 18 мегабайт. При проверке целосности базы нашел проблему из представлением op_customers выдает ошибку #1449 - The user specified as a definer ('root'@'%') does not exist. Кто решал и как эту проблему
  12. Да абонент получает ип,маску,шлюз,днс. Вот сейас в логах ДХСПЦ появились такие сообщения send_packet: No buffer space available, dhcp.c:1748: Failed to send 300 byte long packet over fallback interface.
  13. На себя все пинги на адреса 10.79.50.1, 193.111.240.9, 193.111.240.1 идут без проблем. Абон по DHCP ип ,шлюз и ДНС получает без проблем. Сейчас подключил к серверу монитор есть такое сообщение dhcp.c:2048 failed to send 300 byte to file packet
  14. Это от сервера на клиента PING 10.79.50.4 (10.79.50.4): 56 data bytes ping: sendto: No buffer space available ping: sendto: No buffer space available ping: sendto: No buffer space available
  15. ipfw list 06000 nat 1 ip from table(2) to not table(9) out xmit bce1 06001 nat 1 ip from any to me in recv bce1 12000 pipe tablearg ip from table(3) to any via bce0 in 12001 pipe tablearg ip from any to table(4) via bce0 out 65533 deny ip from table(2) to any via bce0 65534 deny ip from any to table(2) via bce0 65535 allow ip from any to any
×