Перейти до

Инсталяция под CentOS (i386)

vitiv

Автор: vitiv,
в Розробка Stargazer

 Share Подписчики 2

Рекомендованные сообщения

Serjio

Serjio 19

Опубліковано:
Опубліковано:

что такое CASH - как правильно понять связку всех функций?

 

Cash – количество денежных средств на персональном счету клиента.

Я бы Вам рекомендовал изучить вот этот документ (pdf), он откроет Вам тайные значения в конфигурационных файлах.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 64
  • Створено
  • Остання відповідь

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

что такое CASH - как правильно понять связку всех функций?

 

Cash – количество денежных средств на персональном счету клиента.

Я бы Вам рекомендовал изучить вот этот документ (pdf), он откроет Вам тайные значения в конфигурационных файлах.

Ок, спасибо - как раз его сейчас изучаю :blink:

Ссылка на сообщение
Поделиться на других сайтах
madf

madf 279

Опубліковано:
Опубліковано:

Логика следующая:

- файрвол делает NAT для юзеров;

- файрвол по умолчанию запрещает доступ юзерам, -P DROP гарантирует это;

- файрвол по умолчанию открывает юзерам доступ на порт атворизатора;

- Stargazer ожидает авторизации от пользователей;

- при успешной авторизации и наличии денег на счету Stargazer выполняет скрипт OnConnect, передавая ему описанные выше параметры;

- при отключении пользователя Stargazer выполняет скрипт OnDisconnect;

- при изменении параметров пользователя Stargazer выполняет скрипт OnChange;

- при добавлении нового пользователя Stargazer выполняет скрипт OnUserAdd;

- при удалении пользователя Stragazer выполняет скрипт OnUserDel.

 

Скрипт OnConnect должен получить от Stargazer'а как минимум IP пользователя и разрешить ему доступ.

Скрипт OnDisconnect должен получить от Stragazer'а как минимум IP пользователя и запретить ему доступ.

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Благодарю за доступное разъяснение...

Логика следующая:

- файрвол делает NAT для юзеров;

- файрвол по умолчанию запрещает доступ юзерам, -P DROP гарантирует это;

- файрвол по умолчанию открывает юзерам доступ на порт атворизатора;

Вот момент ожидания - где и как он должен выглядеть? Видимо общее понятие?

- Stargazer ожидает авторизации от пользователей;

выше перечисленное работает успешно

далее авторизация проходит успешно - наличие денег на счету есть

- при успешной авторизации и наличии денег на счету Stargazer выполняет скрипт OnConnect, передавая ему описанные выше параметры;

- при отключении пользователя Stargazer выполняет скрипт OnDisconnect;

- при изменении параметров пользователя Stargazer выполняет скрипт OnChange;

- при добавлении нового пользователя Stargazer выполняет скрипт OnUserAdd;

- при удалении пользователя Stragazer выполняет скрипт OnUserDel.

судя из происходящего Onconnect не получает от Stargazer данных для своей работы

Пользователи создаются и данные для них заполняются в БД

Скрипт OnConnect должен получить от Stargazer'а как минимум IP пользователя и разрешить ему доступ.

Скрипт OnDisconnect должен получить от Stragazer'а как минимум IP пользователя и запретить ему доступ.

Хочется добавить что установка пользователя Всегда Online тоже не даёт никакого результата -

Тарифный план есть - деньги на счёту есть - коннект Подключён

причина невыполнения InetAccess - > Stargazer -> OnConnect не поднимает скрипт...причину не понимаю - права выданы...

p/s клиентская машина настроена теперь так

IP 192.168.1.35
mask 255.255.255.0
GW 192.168.1.5
DNS 139.0.0.1  #шлюз роутера на инет

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Скрипт OnConnect

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

с ним были опробованы варинты закрытия функций начиная с LOGIN, результат нулевой

в ручную от IP данный выполняется...

Ссылка на сообщение
Поделиться на других сайтах
madf

madf 279

Опубліковано:
Опубліковано:

Добавь в OnConnect echo $IP >> /var/log/onconnect.log перед вызовами iptables и выполни авторизацию.

После этого посмотри лог. Stargazer отдает скрипту все необходимые для его работы параметры.

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Добавь в OnConnect echo $IP >> /var/log/onconnect.log перед вызовами iptables и выполни авторизацию.

После этого посмотри лог. Stargazer отдает скрипту все необходимые для его работы параметры.

Добавил, в данный момент для удобства все логи(stargazer's) собираю в /var/stargazer

OnConnect

#!/bin/bash

# Login
LOGIN=$1

# User IP
IP=$2

# Cash
CASH=$3

# User ID
ID=$4

echo $IP >> /var/stargazer/onconnect.log

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

onconnect.log пустой - вот такие дела

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Авторизация точно выполняется?

Деньги на счету точно есть?

Пользователь не отключен и не заморожен?

Всё так и есть - всё точно

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Авторизация точно выполняется?

Деньги на счету точно есть?

Пользователь не отключен и не заморожен?

Всё так и есть - всё точно

ранее - те в самом начале когда только начинал изучать - логи заполнялись это точно

 

теперь немного зная переустановлю всё заново отпишу по всем вопросам

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Install CentOS 5.2

Скачиваем Инсталяция под CentOS (i386)

Терминал - сервера(CentOS 5.2) - для удобства устанавливаем midnight commander

под root

yum install mc

устанавливаем Stargazer

rpm -i /[путь где уложен инсталл]/stargazer-2.405.9.8.centos.i386.rpm

Основные директории Satrgazer

/etc/stargazer
/var/stargazer

не выходя из терминала открываем командой mc - midnight commander и заходим в /etc/stargazer

в ней видим файлы

OnChange (chmod 750)
OnConnect (chmod 750)
OnDisconnect (chmod 750)
OnUserAdd (chmod 750)
OnUserDel (chmod 750)
first (chmod 755)
last (chmod 755)
rules (chmod 640)
stargazer.conf (chmod 640)

открываем (F4) поочереди (кроме first last rules stargazer.conf) и раскомментируем в каждом строчку начинающуюся с echo тем самым предоставляем возможность создаваться логам по указанным направлениям типа в /var/stargazer директория БД сервера. Не забываем сохранить (F2)

В удобном для Вас месте создадим основные правила iptables назовём файл fw

#!/bin/bash

# Интерфейс смотрящий во внешний мир
iface_world=eth0

# Подсеть клиентов
net_cli=192.168.1.0/24

#Адреса роутера
server0=192.168.1.5

#Порты, на которых работает конфигуратор и авторизатор
conf_port=5555
user_port1=5555
user_port2=5555

# IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Очищаем правила файрвола 
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X

# Политика по умолчанию DROP: всем всё запрещено
/sbin/iptables -t filter -P FORWARD DROP

# Разрешаем пингам ходить всюду и всегда
#/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
#/sbin/iptables -t filter -A FORWARD -p icmp -j ACCEPT
#/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# Разрешаем всё на локальном интерфейсе
/sbin/iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Stargazer configurator
/sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport $conf_port -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport $conf_port -j ACCEPT

# UDP stargazer InetAccess
/sbin/iptables -t filter -A INPUT -p udp -s $net_cli --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -d $net_cli --dport $user_port1 -s $server0 -j ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

насчёт пингов - на Ваше усмотрение как впрочем и сами правила

далее с помощью mc вставляем созданный файл fw /etc/stargazer выдать права (chmod 750)

далее в том же mc открываем(F4) OnConnect и ниже строчки echo "C `date +%Y.%m.%d-%H.%M.%S` $IP $CASH" >>

добавляем дополнительные правила 

# Add iptables rules
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT

сохраняем (F2)

таким же способом обрабатываем OnDisconnect

# Delete iptables rules
/sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -s $IP -j ACCEPT
done

/sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
while [ $? -eq 0 ]
do
   /sbin/iptables -t filter -D FORWARD -p all -d $IP -j ACCEPT
done

Почти всё - если всё сделали и недопустили ошибок можно начать проверку

запускаем вручную в терминале по root fw

/etc/stargazer/fw

проверяем поднялся ли фаерфол

/sbin/iptables -nL
/sbin/iptables -t nat nL

у меня вот такой вид пока без пользователя

[root@localhost install]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:5555 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp spt:5555 dpt:5555 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:5555 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp dpt:5555 
[root@localhost install]# /sbin/iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       0.0.0.0/0           
MASQUERADE  all  --  0.0.0.0/0            192.168.1.0/24      

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Клиентская машина WIN XP имеет 

IP 192.168.1.35 # адрес принадлежности сети
mask 255.255.255.0 # маска сети
gw 192.168.1.5 # ваш сервер stargazer
DNS 139.0.0.1 # это место очень интересное должен по идее быть ип вашего сервера но т.к пок не настроен DNS сервер будем использовать 
IP провайдера либо как уменя IP роутера(ADSL)которым беру инет

Устанавливаем Stargazer Configurator и InetAccess

запускаем Stargazer Configurator входим Login: admin Paswword: 123456

создаём пользователя тип user_1, пароль, добавляем денежек и принудительно кнопочкой на панеле

обновляем и проверяем наличие пользователей Stargazer Configurator

далее открываем InetAccess вписываем данные пользователя и пробуем соединиться -

по идее если всё сделано как описано вверху должно сразу соединиться-при этом зелёным Подключен

Проверяем сервер - терминал

[root@localhost install]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:5555 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp spt:5555 dpt:5555 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.35         0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            192.168.1.35        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:5555 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp dpt:5555

В средней строке появился пользователь 192.168.1.35

Отключаем InetAccess 

[root@localhost install]# /sbin/iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:5555 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp spt:5555 dpt:5555 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:5555 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp dpt:5555

скрипт вернулся в исходное состояние

теперь осталось автоматизировать (fw)

для этого открываем в mc /etc/rc.d/rc.local (F4)

вписываем в тело 

/etc/stargazer/fw

сохраняем (F2)

 

REBOOT - Ваш сервер готов выполнять роль биллинговой системы с простыми правилами подключения и учёта.

=====================================================================================================================

Особая благодарность за участие в помощи Drool madf Serjio niidil спасибо! не прощаюсь!

 

p/s данное не претендует на оригинальность - просто было интересно - подниму DNS Bind 9 расскажу как пробросить и его...

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Установка и настройка в качестве кеширующего сервера Bind9 на CentOS 5.2

========================================================================

yum install bind bind-utils

ещё рекомендуют для безопасности сервера установить bind-chroot,

 

Но! Для начала, чтобы не запутаться мы этого делать не станем, но позже вернёмся к данному файлу...

если установка сервера Bind прошла успешно, приступим к его настройке - у меня сервер под иксами так,

что с запуском и остановкой проблем не будет.

Установленный на этой оси Bind теперь будет называться named видимо разработчикам так было прикольнее...

 

Нам потребуются некоторые конфигурационные файлы - берём для рассмотрения и использования в ->

/usr/share/doc/bind-9.3.6
/sample/etc/named.conf
/sample/var/named/named.local
/sample/var/named/named.root

 

отправляем - копируем их соответсвенно в рабочие директории сервера

/etc/named.conf
/var/named/named.local
/var/named/named.root

named.conf

options {
directory "/var/named";
forwarders { 127.0.0.1; 139.0.0.1; };
forward only;
};

// a caching only nameserver config
zone "." in {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.local";
allow-update { none; };
};

forwarders - 139.0.0.1 - DNS провайдера, в моём случае шлюз ADSL роутера с которого беру инет

named.local

$TTL 86400
@   IN   SOA   localhost.   root.localhost. (
                  2010011502 ; Serial
                  28800 ; Refresh
                  14400 ; Retry
                  3600000 ; Expire
                  86400 ) ; Minimum
   IN   NS    localhost.

1   IN   PTR localhost.

named.root

; <<>> DiG 9.5.0b2 <<>> +bufsize=1200 +norec NS . @a.root-servers.net
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7033
;; flags: qr aa; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 20

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;.				IN	NS

;; ANSWER SECTION:
.			518400	IN	NS	D.ROOT-SERVERS.NET.
.			518400	IN	NS	E.ROOT-SERVERS.NET.
.			518400	IN	NS	F.ROOT-SERVERS.NET.
.			518400	IN	NS	G.ROOT-SERVERS.NET.
.			518400	IN	NS	H.ROOT-SERVERS.NET.
.			518400	IN	NS	I.ROOT-SERVERS.NET.
.			518400	IN	NS	J.ROOT-SERVERS.NET.
.			518400	IN	NS	K.ROOT-SERVERS.NET.
.			518400	IN	NS	L.ROOT-SERVERS.NET.
.			518400	IN	NS	M.ROOT-SERVERS.NET.
.			518400	IN	NS	A.ROOT-SERVERS.NET.
.			518400	IN	NS	B.ROOT-SERVERS.NET.
.			518400	IN	NS	C.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET.	3600000	IN	A	198.41.0.4
A.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:503:ba3e::2:30
B.ROOT-SERVERS.NET.	3600000	IN	A	192.228.79.201
C.ROOT-SERVERS.NET.	3600000	IN	A	192.33.4.12
D.ROOT-SERVERS.NET.	3600000	IN	A	128.8.10.90
E.ROOT-SERVERS.NET.	3600000	IN	A	192.203.230.10
F.ROOT-SERVERS.NET.	3600000	IN	A	192.5.5.241
F.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:500:2f::f
G.ROOT-SERVERS.NET.	3600000	IN	A	192.112.36.4
H.ROOT-SERVERS.NET.	3600000	IN	A	128.63.2.53
H.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:500:1::803f:235
I.ROOT-SERVERS.NET.	3600000	IN	A	192.36.148.17
J.ROOT-SERVERS.NET.	3600000	IN	A	192.58.128.30
J.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:503:c27::2:30
K.ROOT-SERVERS.NET.	3600000	IN	A	193.0.14.129
K.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:7fd::1
L.ROOT-SERVERS.NET.	3600000	IN	A	199.7.83.42
M.ROOT-SERVERS.NET.	3600000	IN	A	202.12.27.33
M.ROOT-SERVERS.NET.	3600000	IN	AAAA	2001:dc3::35

;; Query time: 110 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
;; WHEN: Tue Feb 26 15:05:57 2008
;; MSG SIZE  rcvd: 615

файл /etc/resolv.conf приводим к такому содержанию - т.к. мы рассматривали наш сервер со стороны сети IP 192.168.1.5

который и будет являться шлюзом и DNS сервером - замыкаем на себя - после проверки привести в исходное состояние - шлюз Вашего провайдера

search localdomain
nameserver 192.168.1.5

Стартуем наш DNS сервер и оставляем в подключенном состоянии - /etc/rc.d/init.d/named start | stop | restart

[root@dnsserv etc]# /etc/rc.d/init.d/named start
Запускается named:                                         [  OK  ]

Как пример - Останавливаем

[root@dnsserv etc]# /etc/rc.d/init.d/named stop
Останавливается named:                                     [  OK  ]
-------------------------------------------------------------------
[root@dnsserv etc]# /etc/rc.d/init.d/named restart
Останавливается named:                                     [  OK  ]
Запускается named:                                         [  OK  ]

Теперь для чистоты эксперемента и понимания в дальнейшем, создадим файл с названием test

отправим его в директорию со Stargazer - > /etc/stargazer

test (chmod 750)

#!/bin/bash

net_cli=192.168.1.0/24

iface_world=eth0

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -p all -s $net_cli -o $iface_world -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -p all -d $net_cli -o $iface_world -j MASQUERADE

отключим ранее запущенный iptables (fw)

в терминале под root

/etc/rc.d/init.d/iptables restart

Запустим наш test

/etc/stargazer/test

данный файл содержит простые правила фаервола которые необходимы нам для проверки работа-способности DNS -192.168.1.5

 

Как проверить - для этого существует замечательная утилита nslookup

[root@dnsserv etc]# nslookup ya.ru
Server:         192.168.1.5
Address:        192.168.1.5#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.8
Name:   ya.ru
Address: 77.88.21.8
Name:   ya.ru
Address: 93.158.134.8

получили данные ...всё Ок!

Далее переходим на клиентский компьютер - вводим ему ip адрес маску шлюз и предпочитаемый DNS

ip 192.168.1.35
mask 255.255.255.0
gw 192.168.1.5
DNS 192.168.1.5

и таким же способом проверяем ответы утилиты nslookup

C:\Documents and Settings\vitiv>nslookup ya.ru
*** Can't find server name for address 192.168.1.5: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.1.5

Non-authoritative answer:
Name:    ya.ru
Addresses:  93.158.134.8, 213.180.204.8, 77.88.21.8

Немного объясню, что это означает - утилита nslookup не нашла название - имя нашего DNS сервера, мы ж его не настраивали в качестве первичного DNS сервера, но при этом определила, что наш сервер без названия по 192.168.1.5 кеширует - предоставляет ответы на запросы у DNS серверов, в данном случае мы получили предупреждение, что информация взята из файла named.root в котором содержатся корневые ссылки DNS серверов...

Если решили сделать полноценный DNS сервер, рекомендую - очень хорошая - доступная статья Сюда

Теперь можно отключить тестовые правила test

Подключить ранее созданный fw - это как мы помним основные правила для работы со Stargazer.

Так же необходимо их дополнить правилами на разрешение подключения и проброса Вашего DNS...

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

К величайшему сожалению предложенные в примере правила у меня не заработали...

# DNS. Замечу, ДНС работает и по TCP и по UDP
/sbin/iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

Эти я написал сам

#DNS TCP/UDP
/sbin/iptables -t filter -A INPUT -p tcp -s $net_cli -d $server0 --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -d $net_cli -s $server0 --sport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp -s $net_cli -d $server0 --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp -d $net_cli -s $server0 --sport 53 -j ACCEPT

Проверка показывает, какие порты открыты для доступа к серверу Stargazer - DNS - Stargazer Configurator - InetAccess

[root@stg stargazer]# /sbin/iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            127.0.0.1           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:53 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp dpt:53 
ACCEPT     tcp  --  192.168.1.0/24       192.168.1.5         tcp dpt:5555 
ACCEPT     udp  --  192.168.1.0/24       192.168.1.5         udp spt:5555 dpt:5555 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.35         0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            192.168.1.35        

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  127.0.0.1            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:53 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp spt:53 
ACCEPT     tcp  --  192.168.1.5          192.168.1.0/24      tcp spt:5555 
ACCEPT     udp  --  192.168.1.5          192.168.1.0/24      udp dpt:5555

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Во избежание различных ошибок при запуске BIND производим дополнительные настройки-

тем самым добавляем дополнительные функции типа удалённое администрирование;

Чтобы решить эту задачу, нам необходимо создать файл конфигурации rndc.conf и

добавить несколько строк в основной конфигурационный файл нашего сервера.

 

Создаём в директории /etc/rndc.conf

Далее в терминале под root выполним команду для генерации данных для этого файла

/usr/sbin/rndc-confgen > /etc/rndc.conf

открываем любым удобным ТХТ редактором и рассматриваем поученный результат - Пример

# Start of rndc.conf
key "rndckey" {
algorithm hmac-md5;
secret "+NCtL8dt3TbPrlimPZXIFQ==";
};

options {
default-key "rndckey";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndckey" {
# 	algorithm hmac-md5;
# 	secret "+NCtL8dt3TbPrlimPZXIFQ==";
# };
# 
# controls {
# 	inet 127.0.0.1 port 953
# 		allow { 127.0.0.1; } keys { "rndckey"; };
# };
# End of named.conf

обращаем внимание на то, что нижняя часть этого файла рекомендована для файла named.conf

копируем содержимое в нижнюю чать - не забываем раскомментировать нужные строки, т.е. в итоге

получаем усовершенствованный named.conf

options {
directory "/var/named";
forwarders { 127.0.0.1; 139.0.0.1; };
forward only;
};

// a caching only nameserver config
zone "." in {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.local";
allow-update { none; };
};

# Use with the following in named.conf, adjusting the allow list as needed:
key "rndckey" {
	algorithm hmac-md5;
	secret "+NCtL8dt3TbPrlimPZXIFQ==";
};

controls {
	inet 127.0.0.1 port 953
		allow { 127.0.0.1; } keys { "rndckey"; };
};
# End of named.conf

Это пример, у Вас скорее всего будут другие ключи...

Проверка - стартуем или рестартуем named -/etc/rc.d/init.d/named start|stop|restart

[root@stg vitiv]# /usr/sbin/rndc status
number of zones: 1
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/1000
tcp clients: 0/100
server is up and running

При помощи утилиты rndc можно делать очень много различных операций с вашим DNS сервером.

Запустите ее без аргументов и увидите список доступных команд.

 

На этом установка и конфигурация вашего кеш DNS сервера закончена.

После ее окончания должен получиться кеширующий DNS сервер, который может обслуживать вашу локальную сеть;

В продолжении обязательно рассмотрим ...

1. Настройка DNS сервера для поддержки доменых имён в сети.

2. Повышение безопасности DNS сервера.

3. Что означают параметры в файле доменной зоны.

Ссылка на сообщение
Поделиться на других сайтах
vitiv

vitiv 1

Опубліковано:
  • Автор
Опубліковано:

Это описание в принципе не имеет отношения к Stargazer(у),

но для полного представления уделим внимание дальнейшей настройке BIND.

Полезно знать всем :(

Настройка DNS сервера для поддержки доменых имён в сети-как полноценная составляющая;

Мои конфиги основной и обратной зон - как пример:

/etc/named.conf

options {
directory "/var/named";
forwarders { 127.0.0.1; 139.0.0.1; };
forward only;
};

// a caching only nameserver config
zone "." in {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "named.local";
allow-update { none; };
};

# Первичная - Основная зона названа по названию сервера - компьютера - stg.local
zone "stg.local" in {
  type master;
     file "stg.local";
     };
# Первичная Основная обратная зона 
     zone "1.168.192.in-addr.arpa" in {
        type master;
           file "1.168.192-stg.local";
           };

# Use with the following in named.conf, adjusting the allow list as needed:
key "rndckey" {
	algorithm hmac-md5;
	secret "+NCtL8dt3TbPrlimPZXIFQ==";
};

controls {
	inet 127.0.0.1 port 953
		allow { 127.0.0.1; } keys { "rndckey"; };
};
# End of named.conf

/var/named/stg.local

@   IN     SOA   www.stg.local.  admin.stg.local. (
                     2010012203 ; Serial
                     86400 ; Refresh
                     7200 ; Retry
                     2592000 ; Expire
                     86400 ) ; Minimum

NS	www.stg.local.
www	600	A	192.168.1.5
hi-tec-lab	600	A	192.168.1.35
vitiv.stg.local.	600	CNAME	hi-tec-lab.stg.local.
hi-tec-lab.stg.local.	600	A	192.168.1.35

/var/named/1.168.192-stg.local

@   IN  SOA   www.stg.local.   admin.stg.local. (
                  2010012203 ; Serial
                  86400 ; Refresh
                  7200 ; Retry
                  2592000 ; Expire
                  86400 ) ; Minimum
NS    www.stg.local.

5      600	 PTR	www.stg.local.
35	600	PTR	hi-tec-lab.stg.local.

небольшой комментарий - теперь имеем основной DNS сервер с основным названием www.stg.local - 192.168.1.5;

клиентский компьютер - hi-tec-lab.stg.local - 192.168.1.35;

так же клиентскому компьютеру -192.168.1.35 выдано имя vitiv.stg.local которое является альтернативным в сети,

в целом не обязательное но достаточно удобное решение...

 

Проверка

C:\Documents and Settings\vitiv>nslookup
Default Server:  www.stg.local
Address:  192.168.1.5

> hi-tec-lab.stg.local
Server:  www.stg.local
Address:  192.168.1.5

Name:    hi-tec-lab.stg.local
Address:  192.168.1.35

> vitiv.stg.local
Server:  www.stg.local
Address:  192.168.1.5

Name:    hi-tec-lab.stg.local
Address:  192.168.1.35
Aliases:  vitiv.stg.local

утилита nslookup определила наш сервер с доменным именем

имеющим основную зону stg.local,

а так же клиентский компьтер с присвоенными ему основным и альтернативным именем в данной зоне...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 2
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...