Belépés
Levelezés tűzfal mögül
Sziasztok Barátok !
Segítséget szeretnék kérni. Tehát a problémám:
Van egy routerem amin kábelmodemen netet kapok:
192.168.1.1 ip címen és a router dhcp-re van állítva
A router "után" 8.04 server 2 db hálókártyával.
-------------------------------------------------------------------------------------
/etc/network/interfaces
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
ahol az eth0 kap tehát a routertől ip-t
---------------------------------------------------------------------------------
A két hálókártya működik ifconfig-gal ellenőríztem.
Továbbá :
/proc/sys/net/ipv4 mappában
ip_forward 1 -re van állítva
----------------------------------------------------------------------------------
Az Ubuntu szerver eth1 hálókártyájára csatlakozik egy Win XP-és gép
192.168.1.20 ip-vel nincs megadva sem átjáró sem dns
Ezen a gépen van egy Thunderbird levelező kliens beállított postafiókkal
SMTP port 26, POP3 port 110
Ezzel a beállítással amennyiben közvetlenül a routerre csatlakozok a levelező
működik, tehát tudok levelet küldeni és fogadni.
Amennyiben viszont a szerverre kapcsolódok az eth1-en keresztül nem látja a
levelező szervert /az interneten/. Továbbá ekkor a szerver eth1 hálókártyáját tudom pingelni de már az eth0-t meg a routert sem tudom.
-----------------------------------------------------------------------------------
Az alábbi tűzfal script indul az Ubuntu szerveren:
#!/bin/sh
#
# iptables firewall script for sharing
# broadband Internet, with no public services
#
# From Linux Networking Cookbook, by Carla Schroder, O'Reilly, 2007
#
# NOTE!!! Forwarding will not work unless
# /proc/sys/net/ipv4/ip_forward == '1'
# preferably set not here but through /etc/sysctl.conf
# define variables
ipt="/sbin/iptables"
mod="/sbin/modprobe"
WAN_IFACE="eth0"
LAN_IFACE="eth1"
#basic set of kernel modules
$mod ip_tables # now compiled into kernel as of f10
$mod ip_conntrack # now compiled into kernel as of f10
$mod iptable_filter # now compiled into kernel as of f10
$mod iptable_nat
$mod iptable_mangle
$mod ipt_LOG
$mod ipt_limit
$mod ipt_state # now compiled into kernel as of f10
$mod ipt_MASQUERADE
#add these for IRC and FTP
$mod ip_nat_ftp
$mod ip_nat_irc
$mod ip_conntrack_ftp
$mod ip_conntrack_irc
# Flush all active rules and delete all custom chains
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X
#Set default policies
$ipt -P INPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -P OUTPUT ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P POSTROUTING ACCEPT
#Enable IP masquerading
$ipt -t nat -A POSTROUTING -o $WAN_IFACE -j MASQUERADE
Mint az látható teljesen le van "butítva". Mind az INPUT/OUTPUT/FORWARD lánc
engedélyezett azonkívül már csak az álcázás van beállítva.
------------------------------------------------------------------------------------
Persze nem ezzel a tűzfal scripttel "szeretném" használni a szervert de kínomban már
idáig butítottam de sajnos ezzel sem megy a levelező kliens. Egyébként végiggugliztam
a világot :-) komoly tanulmányokat folytattam a Linux tűzfalak lelkivilágát illetően, persze
valószínűleg emellett sem ismerek egy csomó alapvető dolgot...mint az ábra mutatja. Ja és az Ubuntu szerveren megy a Squid proxy, meg Webmin is van rá már telepítve amiket elérek a Wines gépről illetve a proxyn keresztül megy a Wines gépen a net is.
Na csak ennyi, szóval levelezés...
Előre is köszönöm a segítségeteket!
- A hozzászóláshoz regisztráció és belépés szükséges
Állítsd csak be az Xp-s gépen az átjárót, különben honnan tudná, merre keresse a netet.
Egyébként meg nem tudom, minek úgy eldugni, ott a router, ugyan a típusát nem írtad meg, de szerintem azon is van tűzfal.
(smtp port: 25; de ez biztos csak elírás)
L.
Próbáltam úgy is hogy az XP-és gépen átjárót adtam meg. Mégpedig minden variációt kipróbáltam, tehát még a routert is meg bármelyik szerver kártya ip-jét. Mindhiába. Egyébként ahogy írtam csak azt a kártyát tudom pingelni a szerveren az XP-s gépből amihez fizikailag csatlakozik. Ez normális ?!
Ez a konfiguráció egyébként csak tesztelés miatt kell. Biztos én bénázok el valamit...
Egyéb ötlet ?
Ja a port nem elírás mert az e-mail szerver szolgáltató adta meg a 26-os portot és direkt internet elérés esetén az működik is. /Gondolom biztonság technikai megfontolás miatt./
Luighy
Luighy
Ezt olvastad?
L.
Igen, de nem sokra mentem vele. Többek között ezért próbáltam tűzfalat beállítani külön. /Tudom hogy a gond nem a proxy miatt van./ Az első üzenetben szándékaim szerint minden át kellene menjen de sajnos ez valamiért nincs így... De nem tudom az okát.
Nem írtam korábban de most jelzem hogy outlook express-el is próbálkoztam de az sem működik az ubis szerver utáni xp-ről.
/Csak zárójelben jegyzem meg hogy eme kísérleteimet tavaly karácsony után kezdtem.../
Luighy
Pedig éppen azért linkeltem be, mert kíváncsiságból átfutottam a saját levelező programom (Sylpheed) beállításait, és abban sem találtam semmi proxyra vonatkozó dolgot. Viszont a Thunderbird-höz van valami beépülő, dobta a Google (thunderbird+proxy kulcsszóra). Talán az jelenthet megoldást a problémára.
Egyébként gratulálok a kitartásodhoz, de mikor először olvastam a felvetésedet, egy postán olvasott reklámszlogen jutott eszembe: megoldjuk, nem bonyolítjuk, mégpedig olyan összefüggésben, hogy ennek itt pont a fordítottja történik. De nem akarnálak megbántani, magam is fogtam már hasonló kísérletekbe; ha sikerült, örültem, ha nem, maradt a tapasztalat.
L.
Nem bántassz meg, őszintén szólva lényegre törő akartam lenni és az előzmények kit érdekelnek alapon nem írtam arról hogy mit kínlódtam eddig... Hát jó néhány napon ráment az utóbbi majd 2 hónap alatt de nem bánom mert rengeteg dolgot összebányásztam ami nemcsak Linuxos tudás de általánosabb dolgok is pl. a tűzfalak működése elviekben stb. Persze a gyakorlat az más ott aprópénzre kell váltani a tudást ha van :-(
De mostanra kifogytam az ötletekből ezért gondoltam hogy megpróbálok segítséget kérni. Nem vagyok egy feladós típus egyébként.
Visszatérve a problémára alapból annyi lenne a feladat hogy Linuxos gépen squid-et kellene egy cég belső hálózatához "illesztenem" az internet forgalom szabályozására. Egyebet viszont nem kellene borítson a dolog. Erről szólt az első levelem:
NET->MODEM->ROUTER->UBI SERVER+SQIUD PROXY->BELSŐ HÁLÓ /win server + xp terminálok/
1./ Első próbálkozásomkor nem volt az Ubin tűzfal és a router és az Ubi egy alhálózaton voltak 192.168.1.0 A belső "hálózat" egy gép a próbán ez pedig az XP-és gép 192.168.0.0 alhálón. Sikerült üzembe helyeznem a Squidet csakhogy a levelező nem ment nemcsak a Thunderbird de az Outlook Express sem.
2./ Aztán hogy egyre "okosabb" lettem -utánagugliztam- úgy tűnt hogy a tűzfal lehet a dolog nyitja. Persze mondhatod hogy az első variánál nincs is tűzfal. Hát igen de mivel nem tudtam hogy mi a fenét tehetek -miért nem látja a levelező a netet- még arra gondoltam hátha mégis a tűzfal a dolog nyitja.
3./ Beüzemeltem azt a tűzfalat amit az első levelemben írtam -pontosabban egy használhatónak gondolt scriptet- amit végül úgy lebutítottam ami igazából mindent át kellene engedjen. Persze a levelezés nem megy... Lehet hogy már nem látom fától az erdőt :-)
4./ Egyébként nagyon "felkészült" akartam lenni így az Ubi 8..04 LTS server-t telepítettem szimpla konzol módban. Tavalyelőtt már kísérleteztem az asztali változattal kb. 2-3 hónapot szabadidőmben főképp a célból hogy wine alatt hogy lehetne az általam készített ügyviteli programot futtatni. Ennyi előzmény után így 50 előtt nem sokkal úgy tűnik hogy komoly kihívást jelent a probléma.
Najó nem akarok a másik végletbe esni mert kissé el is kanyarodtam a témától.
Köszönöm a válaszodat ha esetleg van konkrét javaslatod a problémára -akár tűzfal nélkül mert végülis ott a router ha az önmagában elegendő- kérlek írd meg.
Luighy
Találtam még egy írást, ami a Te problémáddal igencsak rokon témakört meglehetős alapossággal jár körbe. Belinkelem, hátha van benne számodra segítség.
http://dl.dropbox.com/u/2466209/halozati_kiszolgalo.pdf
Elnézést, ha már meglenne!
L.
Igen, ez hasznos lehet. Áttanulmányozom ha lenne esetleg még e témakörben rejtett tartalékod dobj ide egy linket. Köszi.
Luighy
Íme a korábbi dokumentum melléklete: http://dl.dropbox.com/u/2466209/serverhez1.zip
Mindkettő forrása a II. Rákóczi Ferenc Kárpátaljai Magyar Főiskola honlapja (http://kmf.uz.ua), e helyt is elismeréssel adózva a szerzőnek, Pallay Ferencnek.
L.