Oleg2018 0 Опубликовано: 2019-06-05 09:50:23 Share Опубликовано: 2019-06-05 09:50:23 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь? Ссылка на сообщение Поделиться на других сайтах
JohnC 19 Опубліковано: 2019-06-05 10:42:45 Share Опубліковано: 2019-06-05 10:42:45 50 minutes ago, Oleg2018 said: Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь? http://wiki.ubilling.net.ua/doku.php?id=faq Quote Q: А как же Linux? У нас тут Debian/Ubuntu/Gentoo/Centos/Slackware/Arch/OpenSUSE/Fedora[ну или еще какой-то из сотни популярных дистрибутивов] A: Да, пожалуйста без проблем - у многих вполне себе отлично все работает на Linux. В самом Ubilling платформозависимого кода практически нет. Но вникать в «особенности» каждого конкретного дистрибутива у нас нету никакого желания. Поэтому рекомендуемой и поддерживаемой нами системой все равно остается только FreeBSD. Все специфичные проблемы, возникающие на Linux - будут вашими личными проблемами. http://wiki.ubilling.net.ua/doku.php?id=setuplinux Quote В очередной раз стоит заметить, что в текущий момент ни один из дистрибутивов Linux не является официально поддерживаемым и рекомендуемым для установки Ubilling. Стоит отдавать себе отчет, что все платформо-специфичные проблемы, которые у вас могут возникнуть будут вашими личными проблемами, и на какую-либо помощь с нашей стороны вы можете не рассчитывать. Ссылка на сообщение Поделиться на других сайтах
a_n_h 590 Опубліковано: 2019-06-05 12:28:06 Share Опубліковано: 2019-06-05 12:28:06 1 час назад, JohnC сказал: http://wiki.ubilling.net.ua/doku.php?id=faq http://wiki.ubilling.net.ua/doku.php?id=setuplinux ТС вроде претензий не предъявлял, просит помочь... Ссылка на сообщение Поделиться на других сайтах
vop 370 Опубліковано: 2019-06-05 12:58:52 Share Опубліковано: 2019-06-05 12:58:52 (відредаговано) 30 minutes ago, a_n_h said: ТС вроде претензий не предъявлял, просит помочь... Ну и вопрос далеко не биллинговый. PS Хотя, может кто поможет своими настройками. Відредаговано 2019-06-05 12:59:11 vop Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2019-06-05 14:32:43 Share Опубліковано: 2019-06-05 14:32:43 2 часа назад, a_n_h сказал: ТС вроде претензий не предъявлял, просит помочь... Учить его как с фаерволом обращаться? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2019-06-05 15:58:20 Share Опубліковано: 2019-06-05 15:58:20 1 час назад, l1ght сказал: Учить его как с фаерволом обращаться? нет, с линуксом Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-06-06 06:54:59 Автор Share Опубліковано: 2019-06-06 06:54:59 Блин почему на самый простой вопрос идет наброс "доброжелателей",это уже наверное менталитет Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-06-06 07:35:03 Автор Share Опубліковано: 2019-06-06 07:35:03 Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2019-06-06 08:33:15 Share Опубліковано: 2019-06-06 08:33:15 (відредаговано) 58 минут назад, Oleg2018 сказал: Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд Я даже не хочу спрашивать чего такого вы хотели "реализовавывать" на фре... на биллинговом сервере... Очевидно на линуксе вы тоже не можете реализовать, другие, базовые задачи. Переход на систему, где вы даже не представляете как работает фаер.... Умно. Відредаговано 2019-06-06 08:34:07 nightfly Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2019-06-06 08:34:58 Share Опубліковано: 2019-06-06 08:34:58 54 минуты назад, Oleg2018 сказал: Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд Ну в линуксе вы их тоже не можете реализовать, тогда в чем смысл? Если вы не понимаете банальных вещей и даже не способны загуглить как настроить фаервол + tc\sc? Или как настроить сеть? 1 Ссылка на сообщение Поделиться на других сайтах
vop 370 Опубліковано: 2019-06-06 13:23:57 Share Опубліковано: 2019-06-06 13:23:57 Если во фре использовались таблички, то в линуксе, видимо, есть смысл использовать... ipset? Ну и надо не забывать, что во фре фаер линейный, в линуксе - "древовидно-процедруный". Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-06-08 05:24:49 Автор Share Опубліковано: 2019-06-08 05:24:49 Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так : auto eth1 iface eth1 inet static address 10.78.10.1 netmask 255.255.255.0 auto eth1:1 iface eth1:1 inet static address 10.78.11.1 netmask 255.255.255.0 Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP . А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее. Ссылка на сообщение Поделиться на других сайтах
vop 370 Опубліковано: 2019-06-09 00:23:31 Share Опубліковано: 2019-06-09 00:23:31 (відредаговано) По DHCP все написано в ман-ах. Что-то типа такого: shared-network "kuku" { subnet 10.78.10.1 netmask 255.255.255.0 { .... } subnet 10.78.11.1 netmask 255.255.255.0 { .... } } По рабочим примерам не подскажу. Я как бы от "конкурентов", да и не знаю, как оно там устроено. PS Не понял, зачем огород с алиасами интерфейса. Відредаговано 2019-06-09 00:25:30 vop Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-06-10 06:29:47 Автор Share Опубліковано: 2019-06-10 06:29:47 Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно #!/bin/bash #set -x /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp # Обьявляем где у нас лежит IPTABLES IPT="/sbin/iptables" IPS="/sbin/ipset" # Включаем пересылку пакетов нашим роутером case $1 in start) # удаляем все имеющиеся правила $IPT -F $IPT -X #$IPS -N blacklist iphash $IPS -N FORW iphash $IPS -N DISCON iphash # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP #При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная, $IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP ####Module conf_sg brut $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP ##### $IPT -A INPUT -m state --state INVALID -j DROP ############################################################### ######################## FORWARD ############################## ############################################################### $IPT -A FORWARD -i lo -j ACCEPT #$IPT -A FORWARD -m set --match-set blacklist dst -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP $IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT $IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT ############################################################### ######################## NAT ################################## ############################################################### ######### Все обращения на 80 порт перебрасываем на UHW #$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80 ######### отключенных абонов редиректим на личный кабинет #$IPT -t nat -A PREROUTING -m set --match-set DISCON src --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port $IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1 #######нат в пул адрессов #$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten /etc/shaper.sh start #$IPS -A FORW 192.168.64.0/24 ;; stop) # удаляем все имеющиеся правила $IPT -F $IPT -X $IPT -F -t nat $IPT -F -t mangle $IPT -F -t filter #$IPS -F blacklist #$IPS -X blacklist $IPS -F FORW $IPS -X FORW $IPS -F DISCON $IPS -X DISCON # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP /etc/shaper.sh stop ;; *) echo "use start or stop" esac Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-06-10 08:59:47 Автор Share Опубліковано: 2019-06-10 08:59:47 IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1 нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас