fabrik 0 Опубликовано: 2011-05-14 00:01:49 Share Опубликовано: 2011-05-14 00:01:49 Подскажите советом! Просьба не пинать, только начинаю разбираться! Поставил сервер на FreeBSD 8.2 с пакетом quagga, по идее же надо файервол настроить? Ifpw для этого сгодится? Или как? Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2011-05-14 00:08:33 Share Опубліковано: 2011-05-14 00:08:33 Сгодится. Главное, если вы начинающий, не делать этого удаленно - плохая примета (к дороге). Хотя там и защищать наверное покачто нечего... Если на сервере кроме quagga ничего нету то достаточно поставить надежные пароли на квагу и на ssh. Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-14 09:04:55 Автор Share Опубліковано: 2011-05-14 09:04:55 состряпал такие правила для ipfw: ipfw add 100 pass all from any to any via lo0 ipfw add 200 deny all from any to 127.0.0.0/8 ipfw add 300 deny ip from 127.0.0.0/8 to any ipfw add 500 skipto 10000 ip from me to any ipfw add 501 skipto 10000 ip from any to me ipfw add 502 skipto 10000 ip from any to X.X.X.X/X # ipfw add 1000 allow ip from any to any # Allow from me ipfw add 10000 check-state ipfw add 10005 allow tcp from any to any established # CVSUP ipfw add 10020 allow log tcp from me to any setup keep-state uid root # SSH ipfw add 10034 allow log tcp from me to any dst-port 22 setup # Mail ipfw add 10040 allow log tcp from me to any dst-port 25 setup # NTP ipfw add 10100 allow log udp from any to me dst-port 123 ipfw add 10101 allow log udp from me to any dst-port 123 keep-state # SNMP ipfw add 10200 allow log udp from any to me dst-port 161 ipfw add 10201 allow log udp from me to any dst-port 161 keep-state # DNS ipfw add 10310 allow log udp from me to any dst-port 53 keep-state # BGP ipfw add 10320 allow log tcp from any to me dst-port 179 setup ipfw add 10321 allow log tcp from me to any dst-port 179 setup ipfw add 10325 allow log udp from any to me dst-port 179 ipfw add 10325 allow log udp from me to any dst-port 179 keep-state Подскажите, ошибок нет? Может что-то добавить или убрать? Или если не сложно рабочий конфиг! Премного благодарен! Ссылка на сообщение Поделиться на других сайтах
mlevel 52 Опубліковано: 2011-05-14 09:30:24 Share Опубліковано: 2011-05-14 09:30:24 /etc/hosts.allow налаштуйте. В кінці у Вас є правило deny ip from any to any? Більшість правил просто не потрібні. Для чого робити firewall закритого типу? Для чого все забороняти? allow ip from any to any via lo0 deny ip from any to 127.0.0.0/8 deny tcp from any to any dst-port 137-139,445 deny udp from any to any dst-port 137-139,445 deny ip from any to 255.255.255.255 deny ip from 127.0.0.0/8 to any Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубліковано: 2011-05-14 18:49:59 Share Опубліковано: 2011-05-14 18:49:59 а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х Ссылка на сообщение Поделиться на других сайтах
VitalyMoiseev 112 Опубліковано: 2011-05-14 20:46:38 Share Опубліковано: 2011-05-14 20:46:38 а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х тогда уже лучше сразу 4.8 ставить Ссылка на сообщение Поделиться на других сайтах
jack 25 Опубліковано: 2011-05-15 00:02:51 Share Опубліковано: 2011-05-15 00:02:51 может тогда вообще не ставить? Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-17 11:31:42 Автор Share Опубліковано: 2011-05-17 11:31:42 а скажите, если добавляется аплинк, то в базе райпа надо добавить поля import, export ? или надо еще что-то добавить(изменить)? Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-05-17 11:48:14 Share Опубліковано: 2011-05-17 11:48:14 а скажите, если добавляется аплинк, то в базе райпа надо добавить поля import, export ? или надо еще что-то добавить(изменить)? Для основных настроек этого достаточно. Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-17 11:54:18 Автор Share Опубліковано: 2011-05-17 11:54:18 будьте добры, скажите как скоро вступают в силу изменения? Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-05-17 12:01:05 Share Опубліковано: 2011-05-17 12:01:05 будьте добры, скажите как скоро вступают в силу изменения? Моментально. Ссылка на сообщение Поделиться на других сайтах
Ajar 92 Опубліковано: 2011-05-17 12:52:52 Share Опубліковано: 2011-05-17 12:52:52 , в райпе мгновенно , а вот фильтры народ обновляет неспешно , обычно 2 раза в сутки . Уаикс уже обновил фильтры Subject: [ix-tech] UA-IX: filters have changed (2011-05-17) From: xxxx Date: 13:38 To: ix-tech@ix.net.ua Body: Hello, there are changes in filters on peers with: . AS3254 . AS3255 . AS3261 . AS6846 . AS8788 . AS12294 . AS12530 . AS12773 . AS12883 . AS12963 . AS13249 . AS15497 . AS15738 . AS20850 . AS21011 . AS21219 . AS24703 . AS25229 . AS28858 . AS29491 . AS29632 . AS34867 . AS35297 . AS35320 . AS35795 . AS44600 . AS48278 . AS48533 -- Cool Robot -- regards, Serge Pershin Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-18 20:27:59 Автор Share Опубліковано: 2011-05-18 20:27:59 появился вопрос такого плана: бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру: speedtest.ru ya.ru zyxel.ru www.fast-torrent.org и т.д. Подскажите что может быть не так? Ссылка на сообщение Поделиться на других сайтах
MEDVED 0 Опубліковано: 2011-05-21 11:30:53 Share Опубліковано: 2011-05-21 11:30:53 появился вопрос такого плана: бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру: speedtest.ru ya.ru zyxel.ru www.fast-torrent.org и т.д. Подскажите что может быть не так? Используйте looking glass, возможно кто-то не обновил фильтры... Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 12:00:33 Автор Share Опубліковано: 2011-05-21 12:00:33 (відредаговано) проблема в следующем: 2 аплинка, каждый отдает мир+юа, с обоих маршруты принимаю(даже те, в которые нет пингов с клиентских машин), через 2ой аплинк трафик пока вообще не хочет идти, но суть пока не в этом. Для начала разберусь с первым, итак: пинг с клиентской машины к примеру на speedtest.net вообще не идет, но вот с сервера с quagga идет, в чем трабл? Кстати после передергивания quagga 5-10 пингов прорывается, но не всегда Відредаговано 2011-05-21 12:01:56 fabrik Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2011-05-21 12:08:44 Share Опубліковано: 2011-05-21 12:08:44 Зебры нет. Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 12:33:38 Автор Share Опубліковано: 2011-05-21 12:33:38 zebra стоит вот конфиг: ! ! Zebra configuration saved from vty ! 2011/05/14 01:59:40 ! hostname zebra-router log file /var/log/quagga/zebra.log log stdout ! interface em0 ipv6 nd suppress-ra ! interface fwe0 ipv6 nd suppress-ra ! interface fwip0 ipv6 nd suppress-ra ! interface lo0 ! interface re0 ip address 10.10.10.254/24 ipv6 nd suppress-ra ! interface igb0 ipv6 nd suppress-ra ! interface igb1 ipv6 nd suppress-ra ! ip route 10.0.0.0/8 Null 254 ip route 172.16.0.0/12 Null 254 ip route 192.168.0.0/16 Null 254 ip route X.X.X.0/22 10.10.10.254 ! ip forwarding ! line vty exec-timeout 0 0 ! rc.conf gateway_enable="YES" keymap="ru.koi8-r" sshd_enable="YES" ifconfig_igb0="up" ifconfig_igb1="up" defaultrouter="NO" cloned_interfaces="vlan80 vlan81 vlan370 vlan371" ifconfig_vlan80="" ifconfig_vlan81="" ifconfig_vlan370="" ifconfig_vlan371="" ifconfig_re0="inet 10.10.10.254 netmask 255.255.255.0" ifconfig_lo0="inet 127.0.0.1 netmask 255.0.0.0" ifconfig_lo0_alias0="inet x.x.x.1 netmask 255.255.255.255" quagga_enable="YES" quagga_daemons="zebra bgpd" watchquagga_enable="YES" watchquagga_flags="-dz -R '/usr/local/sbin/zebra -d;' /usr/local/sbin/bgpd -d' bgpd" quagga_flags="-d -A 127.0.0.1" snmpd_enable="YES" может где ошибка есть? или чего не написал? Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2011-05-21 12:44:04 Share Опубліковано: 2011-05-21 12:44:04 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 12:57:56 Автор Share Опубліковано: 2011-05-21 12:57:56 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l ps -ax | grep quagga 1874 0 R+ 0:00.00 grep quagga я же говорю маршруты получаю: BGP router identifier x.x.x.1, local AS number ##### RIB entries 657567, using 40 MiB of memory Peers 4, using 10080 bytes of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd y.y.y.y 4 21219 1757 7 0 0 0 00:01:18 5299 x.x.x.x 4 21219 59663 7 0 0 0 00:01:14 353400 a.a.a.a 4 12507 60517 6 0 0 0 00:01:06 355448 b.b.b.b 4 12507 1503 6 0 0 0 00:01:12 4482 Total number of neighbors 4 Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2011-05-21 13:00:08 Share Опубліковано: 2011-05-21 13:00:08 ответ увидел? покажи то что я прошу то что ты маршруты получаеш, еще не означает что они строятся Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 13:05:42 Автор Share Опубліковано: 2011-05-21 13:05:42 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l на это пусто, а вот на: ps -ax | grep quagga 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Ссылка на сообщение Поделиться на других сайтах
dir1212 9 Опубліковано: 2011-05-21 13:06:53 Share Опубліковано: 2011-05-21 13:06:53 конфиг bgpd в студию Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2011-05-21 13:11:39 Share Опубліковано: 2011-05-21 13:11:39 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Это говорит о том что у тебя построено 355770 марщрутов, сноси фаервол и проверяй. Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают netstat -rn|less думаю что у тебя все работает, разреши все в фаерволе. Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 13:17:03 Автор Share Опубліковано: 2011-05-21 13:17:03 конфиг bgpd в студию bgpd.conf router bgp ##### bgp router-id x.x.2.1 network x.x.2.0/24 network x.x.3.0/24 network x.x.4.0/24 network x.x.5.0/24 neighbor 1.1.1.x remote-as xxxx1 neighbor 1.1.1.x description 1(UA-IX) neighbor 1.1.1.x soft-reconfiguration inbound neighbor 1.1.1.x route-map Network out neighbor 1.1.1.x weight 7000 neighbor 1.1.1.x prefix-list default in neighbor 1.1.1.z remote-as xxxx1 neighbor 1.1.1.z description 1(World) neighbor 1.1.1.z soft-reconfiguration inbound neighbor 1.1.1.z route-map Network out neighbor 1.1.1.z weight 1000 neighbor 1.1.1.z prefix-list default in neighbor 2.2.2.a remote-as xxxx2 neighbor 2.2.2.a description 2(World) neighbor 2.2.2.a soft-reconfiguration inbound neighbor 2.2.2.a route-map Network out neighbor 2.2.2.a weight 4000 neighbor 2.2.2.a prefix-list default in neighbor 2.2.2.b remote-as xxxx2 neighbor 2.2.2.b description 2(UA-IX) neighbor 2.2.2.b soft-reconfiguration inbound neighbor 2.2.2.b route-map Network out neighbor 2.2.2.b weight 9000 neighbor 2.2.2.b prefix-list default in ! access-list 1 remark Localhost only access-list 1 permit 127.0.0.1 ! ip prefix-list default seq 5 deny 0.0.0.0/0 ip prefix-list default seq 10 permit any ip prefix-list mynets permit x.x.2.0/24 ip prefix-list mynets permit x.x.3.0/24 ip prefix-list mynets permit x.x.4.0/24 ip prefix-list mynets permit x.x.5.0/24 ! route-map Network permit 50 match ip address prefix-list mynets ! line vty access-class 1 ! Ссылка на сообщение Поделиться на других сайтах
fabrik 0 Опубліковано: 2011-05-21 13:22:46 Автор Share Опубліковано: 2011-05-21 13:22:46 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Это говорит о том что у тебя построено 355770 марщрутов, сноси фаервол и проверяй. Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают netstat -rn|less думаю что у тебя все работает, разреши все в фаерволе. фаервол ipfw 65535 1228772 1037467726 allow ip from any to any на часть ресурсов без проблем хожу, как сейчас на local.com.ua, часть не видится вообще, из под сервера вижу Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас