Инсталация на TOR:

Първо трябва да добавите TOR repository в вашата система. Добавете следващия ред в /etc/apt/sources.list и сменете lenny с вашата дситрибуция

За да можете това repository да използвате без проблем, трябва да добавите PGP ключ в вашата система.

Обновете repositories и инсталирайте TOR

Ако искате да използвате TOR с OpenSSH, трябва да инсталирате друга програма наричана connect-proxy

Настройка на OpenSSH да използва TOR за всички връзки:

Добавете този блок най горе на вашия ~/.ssh/config файл

Настройка на OpenSSH да използва TOR за определена връзка:

Добавете този блок в вашия ~/.ssh/config файл. И трябва да смените mydomain с вашия IP адрес или домейн име и myaccount с вашето потребителско име.

Настройка на OpenSSH да използва TOR за няколко връзки:

TOR може да настроите за повече от една връзка… Погледнете примерната конфигурация как работи.

Използването на тази статия е на ваш риск.

Линкове:

• Vincent

Ползваме същите пакети, като вместо firestarter ползваме пакета webmin и посредством него

# Generated by webmin
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth1 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A OUTPUT -o eth1 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth1 -j LOG  --log-level 7 --log-prefix BANDWIDTH_IN:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT
-A INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A FORWARD -j REJECT
-A INPUT -p udp -m udp -m state --dport 443 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport 8080 --state NEW -j ACCEPT
-A INPUT -j REJECT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
  REROUTING ACCEPT [0:0]
  OSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
  REROUTING DROP [0:0]
  OSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
# svetla
-A PREROUTING -s 192.168.1.204 -j ACCEPT
# filopov
-A PREROUTING -s 192.168.1.200 -j ACCEPT
# irina
-A PREROUTING -s 192.168.1.201 -j ACCEPT
# kostadin
-A PREROUTING -s 192.168.1.202 -j ACCEPT
# direktor
-A PREROUTING -s 192.168.1.205 -j ACCEPT
# canko
-A PREROUTING -s 192.168.1.206 -j ACCEPT
# canko1
-A PREROUTING -s 192.168.1.227 -j ACCEPT
# vania
-A PREROUTING -s 192.168.1.228 -j ACCEPT
# market
-A PREROUTING -s 192.168.1.209 -j ACCEPT
# marii
-A PREROUTING -s 192.168.1.210 -j ACCEPT
# tania
-A PREROUTING -s 192.168.1.211 -j ACCEPT
# anatoli
-A PREROUTING -s 192.168.1.212 -j ACCEPT
# hristov
-A PREROUTING -s 192.168.1.213 -j ACCEPT
# lab
-A PREROUTING -s 192.168.1.214 -j ACCEPT
# schet
-A PREROUTING -s 192.168.1.218 -j ACCEPT
# velo
-A PREROUTING -s 192.168.1.219 -j ACCEPT
# velo
-A PREROUTING -s 192.168.1.220 -j ACCEPT
# tihomir
-A PREROUTING -s 192.168.1.203 -j ACCEPT
COMMIT
# Completed

Тук решението е без DHCP като е разрешен nat само на точно определени IP разрешени са само базовите портове, основните неща. Който иска относно защитата може да се заиграе още.

Ето и как трябва да изглежда /etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

sysctl -w net.ipv4.ip_forward=1

exit 0

Ето и само най-необходимото в файла upload, който направихме да се стартира с пускането на системата.

#!/bin/sh

TC=/sbin/tc
IPT=/sbin/iptables

$TC qdisc add dev eth0 root handle 10: cbq bandwidth 10Mbit avpkt 1000 mpu 64
$TC class add dev eth0 parent 10:0 classid 10:1 cbq rate 200kbit weight 20 allot 1514 prio 1 avpkt 1000 bounded
$TC filter add dev eth0 parent 10:0 protocol ip handle 3 fw flowid 10:1

$IPT -t mangle -A FORWARD -s 192.168.1.206 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.227 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.228 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.212 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.213 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.214 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.202 -j MARK --set-mark 3
$IPT -t mangle -A FORWARD -s 192.168.1.204 -j MARK --set-mark 3

exit 0

Много ще се радвам ако това е било полезно на някого

Трафик Контрол решение на Ubuntu 8.10

• Той може да се свързва с други IPv6 хостове
• Други IPv6 хостове може да се свърже с него. IPv6 ще има още по голямо значение в бъдеще. Тъй като се смята че до 2010-2011 година вече няма да има свободни IPv4 адреси.

Затова време е да научим IPv6. Този документ е без гаранция от какъвто и да е вид! Аз не давам никакви гаранции, че това ще работи за вас!

1 Забележка

В тази документация съм използвал Debian сървър в локална мрежа който е свързан с интерфейс eth0 и IPv4 адрес 192.168.0.100 към интернет чрез рутър. С IPv6 други системи може да се свържат дирекно с Debian системата, независимо от рутър и NAT. Това описание ще работи с системи които са свързани дирекно с интернет.

За да може да използваме IPv6 трябва да конфигурираме тунел който ще свързва нашата IPv6 Debian система с IPv6 hardware в другия край и по този начин към IPv6 backbone.

Този тунел е необходимо, тъй като повечето Интернет доставчици не поддържат директна IPv6 свързаност и те не отдават значение да рутират IPv6 трафик през IPv4 мрежа, защото маршрутизаторите не знаят какво да правя с този трафик.

Има няколко тунел брокери които предоставят IPv6 адреси на безплатно (като http://tunnelbroker.net/, http://go6.net/4105/freenet.asp, http://www.sixxs.net/). Тези тунел брокери са свързани с IPv6 backbone и тунела свързва нашата Debian Etch система към техния IPv6 hardware и следователно ни свързва към IPv6 backbone.

Това са детайлите за този тест тунел

Запишете си някъде Server IPv4 address (216.66.80.30), IPv6 address (2001:0470:1f0a:cc0::1) и client IPv6 address (2001:0470:1f0a:cc0::2). Ще ни потрябват.

3 Конфигуриране на Debian системата

Влезте в вашата Debian система и хвърлете поглед на:

server1:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:A5:5B:93
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fea5:5b93/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71 errors:0 dropped:0 overruns:0 frame:0
TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7789 (7.6 KiB) TX bytes:5809 (5.6 KiB)
Interrupt:169 Base address:0×1400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:560 (560.0 b) TX bytes:560 (560.0 b)

server1:~#

Нищо специално, но наличието на inet6 addr означава че системата е готова за IPv6 състояние.
Сега ще конфигурираме нашия нов IPv6 публичен адрес и тунела.

Ето го вече. Обърнете внимание на

ще видите две нови интерфейса sit0 и sit1 които са ни нужни за тунела

server1:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:A5:5B:93
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fea5:5b93/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:145 errors:0 dropped:0 overruns:0 frame:0
TX packets:163 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:12833 (12.5 KiB) TX bytes:19303 (18.8 KiB)
Interrupt:169 Base address:0×1400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:560 (560.0 b) TX bytes:560 (560.0 b)

sit0 Link encap:IPv6-in-IPv4
inet6 addr: ::127.0.0.1/96 Scope:Unknown
inet6 addr: ::192.168.0.100/96 Scope:Compat
UP RUNNING NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

sit1 Link encap:IPv6-in-IPv4
inet6 addr: 2001:470:1f0a:cc0::2/64 Scope:Global
inet6 addr: fe80::c0a8:64/64 Scope:Link
UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

server1:~#

Сега ще се оптиаме дали можем да пингваме IPv6 на тунел сървъра

server1:~# ping6 -c4 2001:0470:1f0a:cc0::1
PING 2001:0470:1f0a:cc0::1(2001:470:1f0a:cc0::1) 56 data bytes
64 bytes from 2001:470:1f0a:cc0::1: icmp_seq=1 ttl=64 time=16.8 ms
64 bytes from 2001:470:1f0a:cc0::1: icmp_seq=2 ttl=64 time=40.5 ms
64 bytes from 2001:470:1f0a:cc0::1: icmp_seq=3 ttl=64 time=37.5 ms
64 bytes from 2001:470:1f0a:cc0::1: icmp_seq=4 ttl=64 time=37.5 ms

— 2001:0470:1f0a:cc0::1 ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 16.880/33.135/40.550/9.466 ms
server1:~#

изглежда добре.

На адрес http://www.ipv6.org/v6-www.html има списък от IPv6 хостове. Нека изберем един и да направим пинг тест.

server1:~# ping6 -c4 www.ipv6.uni-muenster.de
PING www.ipv6.uni-muenster.de(tolot.ipv6.uni-muenster.de) 56 data bytes
64 bytes from tolot.ipv6.uni-muenster.de: icmp_seq=1 ttl=57 time=29.3 ms
64 bytes from tolot.ipv6.uni-muenster.de: icmp_seq=2 ttl=57 time=38.7 ms
64 bytes from tolot.ipv6.uni-muenster.de: icmp_seq=3 ttl=57 time=60.4 ms
64 bytes from tolot.ipv6.uni-muenster.de: icmp_seq=4 ttl=57 time=23.1 ms

— www.ipv6.uni-muenster.de ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 23.194/37.940/60.454/14.127 ms
server1:~#

До тук сме добре. Пингването на други хостове работи идеално. Но нека да пробваме да пингнем нашия публичен IPv6 хост. За целта отваряме тази страница http://www.berkom.blazing.de/tools/ping.cgi и поставяме нашия публичен IPv6 адрес. Ако всичко върви както трябва изходът ще е:

Конфигурацията IPv6 вече работи в вашата система.
Ако не искате всеки път когато рестартирате системата да конфигурирате ръчно sit0 и sit1 можете да създадете файл etc/network/if-up.d/ipv6 с следното съдържание:

#!/bin/sh

PATH=/sbin:/bin

ifconfig sit0 up
ifconfig sit0 inet6 tunnel ::216.66.80.30
ifconfig sit1 up
ifconfig sit1 inet6 add 2001:0470:1f0a:cc0::2/64
route -A inet6 add ::/0 dev sit1

Замeнete IPv4 и IPv6 адреси с вашите собствени стойности!
И направете файла изпълним:

Сега когато и да рестартнете системата sit0 и sit1 автоматично ще се стартират.

4 Връзки

• Debian: http://www.debian.org/
• Основен: Falko Timme

eth0 – internet
eth1 – local

Настройваме мрежовите карти в etc/network/interfaces

След това инсталираме пакетите:

Изтегляме си пакета Shaper, който може да се намери за Убунту 8.04 и по стари версии.

В etc/shaper си правим съответните файлове с ограниченията за download.

Активираме във firestarter функцията NAT на eth1.

Ако всичко е наред вече имаме интернет на другите машини в локалната мрежа и те имат съответните ограничения посредством Shaper и необходимите правила посредством firestarter

За ограничаване на upload използваме следният скрипт, като го правим да се зарежда със стартирането на системата:

Ще ви опиша два подхода, които аз знам , като MAC адреса, може да си видите, като изпълните:

Първият
Инсталирате macchanger, като изпълните

Ето някои опции, които може да са ви от полза:
-h, -help

Показва всички опции.

-V, -version

Показва версия на програмата.

-e, -endding

Да не се променят фабричните битове.

-a, -another

Задаване на произволен MAC от същият тип.

-A
Задаване на прозиволен MAC от всякакъв вид.

-r, -random

Задаване на напълно прозиволен MAC.

-l, -list[=keyword]

Показва списък с познатите прозиводители

-m, –mac XX:XX:XX:XX:XX:XX

Задаване на точно определен MAC, т.е. XX:XX:XX:XX:XX:XX

Примери:

Вторият
Този начин е много по-труден
Трябва да се редактира файла /etc/network/interfaces (трябва да сте с root права), като се добави pre-up ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX в iface блока, т.е. ако сте със статично IP, то би трябвало да изглежда така

Важно
Преди да променяте MAC адреса, трябва да си спрете мрежата, т.е.

След като сте задали новият MAC, пускането на мрежата става като изпълните:

Пример: Имаме малка локална мрежа и искаме да и присвоим домейн (нерегистриран) който освен това е невалиден за да предпазим останалата част от света от грешките или експериментите които ще направим.

Целта е на нашият рутер, ДНС да присвоим невалиден домейн от типа internal.tld

За целта ще използваме комбинация от bind, dhcpd и малко мислене )

Следват конфигурации с малко обяснения в самите конфигурации

Конфигурация за DHCPD

#
# Sample configuration file for ISC dhcpd for Debian
#
# $Id: dhcpd.conf,v 1.4.2.2 2002/07/10 03:50:33 peloy Exp $
#

authoritative;
default-lease-time 14400;
max-lease-time 86400;

# описваме мрежата от която ще раздаваме адреси
subnet 192.168.0.0 netmask 255.255.255.0 {
  range 192.168.0.10 192.168.0.200;
# нашият собствен DNS може да се добавят и други
  option domain-name-servers 192.168.0.1;
# Нашият домейн (фалшив в случая)
  option domain-name "internal.tld";
# Рутера (gateway)
  option routers 192.168.0.1;
# маска и разни други дреболии за да ни е малко по спокоен живота
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.0.1;
  option default-ip-ttl 64;
  option default-tcp-ttl 64;
  option time-offset 7200;
  option netbios-name-servers 192.168.0.1;
  option netbios-node-type 8;
}

Като цяло тази конфигурация дефинира обхват от адреси които ще се раздават от нашият dhcp сървър като той подава и допълнителна информация. За справка какво точно значат/правят опциите

man dhcp
man dhcpd
man dhcpd.conf
http://www.isc.com/dhcp

Следват конфигурациите на bind. Както ще забележите използвал съм една от възможностите на bind и по точно така наречените изгледи. Това спомага за хостването на различни домейни в зависимост от къде идва заявката.

/etc/bind/named.conf

// This is the primary configuration file for the BIND DNS server named.
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

include "/etc/bind/named.conf.local";

/etc/bind/named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you might need to uncomment the query-source
        // directive below.  Previous versions of BIND always asked
        // questions using port 53, but BIND 8.1 and later use an unprivileged
        // port by default.

        query-source address * port 53;

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

//      forwarders {
//              0.0.0.0;
//      };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { none; };
        recursion no;
};

/etc/bind/named.conf.local – реално тук са нашите конфигурации

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

// ограничения кой може да задава въпроси
acl internal {
        192.168.0.0/24;
        127.0.0.0/8;
};

view "internal" {
        match-clients { 192.168.0.0/24; };
        // позволяваме рекурсия за да обслужваме заявки за домейни които не хостваме
        recursion yes;

        zone "internal.tld" {
        // реалната зона която ние си създаваме (с фалшив TLD)
                type master;
                file "/etc/bind/internal.tld-forward";
                // описанието на самата зона (правата)
                allow-transfer { internal; };
                allow-update { internal; };
        };

        zone "0.168.192.in-addr.arpa" {
                type master;
                file "/etc/bind/internal.tld-reverse";
                // обратната зона
                allow-transfer { internal; };
                allow-update { internal; };
        };
        // prime the server with knowledge of the root servers
        zone "." {
                type hint;
                file "/etc/bind/db.root";
        };

        // be authoritative for the localhost forward and reverse zones, and for
        // broadcast zones as per RFC 1912

        zone "localhost" {
                type master;
                file "/etc/bind/db.local";
        };

        zone "127.in-addr.arpa" {
                type master;
                file "/etc/bind/db.127";
        };

        zone "0.in-addr.arpa" {
                type master;
                file "/etc/bind/db.0";
        };

        zone "255.in-addr.arpa" {
                type master;
                file "/etc/bind/db.255";
        };
};

В случая нямаме публичен изглед но след време и това ще стане. Ще забележите че във изгледа са добавени няколко специфични локални зони (те са налични в оригиналната конфигурация). Сложени са там за да се покрие изискването, когато се ползват изгледи всички зони да са в определен изглед. Не би било проблем да се създаде изглед само за тях но това не е необходимо. Като допълнителен бонус или мотиватор може да се отбележи че така изчезва едно предупреждение в журналният файл.

Следват самите зони:

/etc/bind/internal.tld-forward

; BIND db file for internal.tld

$TTL 86400

@       IN      SOA     vratar.internal.tld.      root. (
                        2006091701      ; serial number YYMMDDNN
                        28800           ; Refresh
                        7200            ; Retry
                        864000          ; Expire
                        86400           ; Min TTL
                        )
                NS      vratar.internal.tld.

$ORIGIN internal.tld.

vratar  IN      A       192.168.0.1
spitfire        IN      A       192.168.0.2

/etc/bind/internal.tld-reverse

; BIND reverse data file for internal.tld

$TTL    86400
@       IN      SOA     vratar.internal.tld. root. (
                     2006091701         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                          86400 )       ; Negative Cache TTL

@       IN      NS      vratar.internal.tld.
1       IN      PTR     vratar.
2       IN      PTR     spitfire.

Зоните са малко постни но поне дават добра идея какво и защо се прави. Надявам се да ви е полезно )

Източник: Getoto

• DHCP сървър за предоставяне на адреси на машини в локалната мрежа
• DNS сървър за разрешаване / resolve имена на домейни
• Gateway с Iptables за достъп до интернет
• Защитна стена (Firewall) с Iptables

Тъй като машината ще работи като рутер / защитна стена това ръководство се основава на Debian Etch 4,0 R3, минимално инсталиране на мрежата.

Машината има два мрежови интерфейси:

• eth0: 192.168.10.2 и който е свързан към интернет (макар и не директно, но това е полето, което е за маршрутизация на трафика към интернет за тази LAN)
• eth1: 192.168.2.1, това е интерфейсът свързан към нашата локалната мрежа, която ще предаде на трафика от и към интернет.

Също така, ще се управлява домейн lan.sasa.local, така че всяка машина ще могат да комуникират един с друг с помощта на своите хост.

Така че, първо, нека започнем със създаването на bind9

1. DNS сървър

За DNS сървър ще се използва bind9, тя ще бъде конфигурирана за разрешаване/resolv на име на хост за нашата мрежа lan.sasa.local.

DNS сървърът също ще разрешава динамично DNS обновяване от нашия DHCP сървър.

В това ръководство ще използвам динамичен DNS възможността на bind.

1.1. Инсталиране на DNS сървър

# apt-get install bind9

1.2. Конфигуриране на DNS сървър

За да запазим дефаулт инсталираните файлове чисти ще редактираме само /etc/bind/named.conf.local . В този файл ще разрешим DNS update чрез използването на „rndc-key“ (което идва с инсталацията на bind9) от локал хост.

Също ще дефинираме две зони:

• lan.sasa.local : нашият локален домейн
• 2.168.192.in-addr.arpa : IP зона локалната мрежа

Нека сега да редактираме /etc/bind/named.conf.local и да добавим:

#allow dns updates from localhost with key "rndc-key"
include "/etc/bind/rndc.key";
controls {
  inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};

#defines lan.sasa.local
zone "lan.sasa.local" {
  type master;
    file "db.lan.sasa.local";
    allow-update { key "rndc-key"; };
};

#defines our local subnet 192.168.2.0/24
zone "2.168.192.in-addr.arpa" {
  type master;
  notify no;
  file "db.2.168.192";
  allow-update { key "rndc-key"; };
};

Сега трябва да създадем тези два файла /var/cache/bind/db.lan.sasa.local и /var/cache/bind/db.2.168.192

Първият ще се използва за resolv на имената и второто ще се използва за reverse name lookup

/var/cache/bind/db.lan.sasa.local ще изглежда така:

;
; Zone file for lan.sasa.local
;
; The full zone file
;
$TTL 3D
@       IN      SOA     ns.lan.sasa.local. postmaster.lan.sasa.local. (
    200806281; serial, todays date + todays serial #
    8H              ; refresh, seconds
    2H              ; retry, seconds
    4W              ; expire, seconds
    1D )            ; minimum, seconds
;
    NS      ns              ; Inet Address of name server
    MX      10 mail         ; Primary Mail Exchanger
;
    A 192.168.2.1  ; IP address
;
router A   192.168.2.1
ns    CNAME router
dhcp  CNAME ns.lan.sasa.local.
*     A       192.168.2.1

А пък /var/cache/bind/db.2.168.192 ще изглежда така:

$TTL 3D
@       IN      SOA     lan.sasa.local. postmaster.lan.sasa.local. (
  200806281 ; serial, todays date + todays serial #
  8H              ; refresh, seconds
  2H              ; retry, seconds
  4W              ; expire, seconds
  1D )            ; minimum, seconds
;
@       IN      NS      ns.lan.sasa.local.
@ IN  PTR lan.sasa.local.

1 IN PTR  router.lan.sasa.local.

В lan.sasa.local дефинирахме стандартен bind header и накои статични хостове в нашата мрежа.Като: router, ns, dhcp
В зона 2.168.192.in-addr.arpa дефинирахме reverse lookup name за IP 192.168.2.1

Трабва да сте уверени че папката която съдържа дб файловете да е writable. Защото ще имаме нужда да създадем журнални файлове за да
заработи DDNS.

На последно място само трябва да рестартирате bind9. Ако нещо не е наред най добрият ви приятел е /var/log/syslog заедно с google

/etc/init.d/bind9 restart

2. DHCP сървър

С цел да предоставим IP адреси на другите машини в мрежата трябва да използваме DHCP сървър.

2.1. Инсталация на DHCP сървър

Ще инсталираме DHCP сървъра пакета което е под името dhcp3-server . За инсталация просто напишете следната команда в конзолата:

# apt-get install dhcp3-server

Уверете се че инсталирате dhcp3-server пакета а не само dhcp. Защото по нататък няма да има поддръжка за обновяване на динамичен DNS.

2.2. Конфигурация на DHCP сървър

Цялата конфигурация е под /etc/dhcp3/dhcpd.conf

В нашата конфигурация ние искаме range 192.168.2.0/24 и за домейн име да ни е lan.sasa.local

За DHCP ние ще слушаме само eth1 интерфейса. За тази цел трябва да редактираме /etc/default/dhcp3-server и да сме сигурни че INTERFACES променливата е зададена като следното:

...
...
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".

INTERFACES="eth1"

Също редактираме и /etc/dhcp3/dhcpd.conf трябва да изглежда като следното:

#naming the server
# and enabling ddns
server-identifier router;
authoritative;

ddns-update-style interim;

include "/etc/bind/rndc.key";

# Use what key in what zone
zone lan.sasa.local. {
  primary 127.0.0.1;
  key "rndc-key";
}

#Standard DHCP info
option domain-name "lan.sasa.local";
option domain-name-servers ns.lan.sasa.local;

default-lease-time 600;
max-lease-time 7200;

log-facility local7;

subnet 192.168.2.0 netmask 255.255.255.0 {
  range 192.168.2.5 192.168.2.200;
  option routers  router.lan.sasa.local;
  zone    2.168.192.in-addr.arpa. {
    primary ns.lan.sasa.local;
    key             "rndc-key";
  }
  zone    lan.sasa.local. {
    primary ns.lan.sasa.local;
    key             "rndc-key";
  }

}

Което казва че ние осигуряваме IP от диапазона 192.168.2.5 до 192.168.2.200, както и трафика за тази мрежа ще бъде отправено чрез router.lan.sasa.local

Според тази конфигурация домейн името е lan.debuntu.local и за сървър се използва ns.lan.debuntu.local

Сега вече нашият DHCP сървър е готов. Време е да го рестартираме.

# /etc/init.d/dhcp3-server restart

Ако нещо се обърка и не бъде наред /var/log/messages, /var/log/syslog и /var/log/daemon.log са твоите най добри прятели.

На този етап нашата машина е в състояние да предостави IP адреси на всички хостове в мрежата. Да им предостави домейн име за обслужване и всички компютри в мрежата трябва да могат да комуникират един с дръг чрез хост имената си.

Но с изключение на gateway-a нито един от хостовете не може да се свърже към интернет. Това вече е ролята на Iptables което ще го опишем в следващия раздел.

3. Пренасочване на интернет трафика с IPtables

IPtables се използва комбинирано да действа като защитна стена и също за преминаващи пакети от една мрежа в друга.

3.1. Активиране на IP forwarding

IP forwarding е активиран като kernel level. Един от начините е да активирате /proc/sys/net/ipv4/ip_forward променливата да бъде 1

Това може да постигнете като напишете на конзолата следното:

# echo 1 > /proc/sys/net/ipv4/ip_forward

За да бъдат промените в сила трябва машината да рестартирате като дадете reboot и да се уверите че файлът /etc/sysctl.conf е като следното:

net.ipv4.conf.default.forwarding=1
net.ipv4.conf.all.forwarding=1

3.2. Задаване на iptables правила:

Следващата стъпка е да зададем правила за iptables. Тук трябва да кажем на кернел какво трябва да направи с пакети в зависимост от правилата.

Тази защитна стена ще разреши само SSH конекциите идващи от WAN. Каквото и да е от локалната мрежа и порт 2222 от WAN ще бъде пренасочен към машината 192.168.2.2 на порт 22.

Ето и скрипта:

#!/bin/sh
#
# this script requires iptables package to be
# installed on your machine

# Where to find iptables binary
IPT="/sbin/iptables"
# The network interface you will use
# WAN is the one connected to the internet
# LAN the one connected to your local network
WAN="eth0"
LAN="eth1"
# First we need to clear up any existing firewall rules
# and chain which might have been created
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X

# Default policies: Drop any incoming packets
# accept the rest.
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# To be able to forward traffic from your LAN
# to the Internet, we need to tell the kernel
# to allow ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Masquerading will make machines from the LAN
# look like if they were the router
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 2222 -j DNAT --to-destination 192.168.2.2:22
$IPT -A FORWARD -i $WAN -p tcp  --dport 22 -m state --state NEW -j ACCEPT

# Do not allow other new or invalid connections to reach your internal network
$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP

# Accept any connections from the local machine
$IPT -A INPUT -i lo -j ACCEPT
# plus from your local network
$IPT -A INPUT -i $LAN -j ACCEPT

# log those packets and inform the sender that the packet was rejected
$IPT -N Rejectwall
$IPT -A Rejectwall -m limit --limit 10/minute -j LOG --log-prefix "Rejectwall: "
$IPT -A Rejectwall -j REJECT
# use the following instead if you want to simulate that the host is not reachable
# for fun though
#$IPT -A Rejectwall -j REJECT  --reject-with icmp-host-unreachable

$IPT -A INPUT -p icmp -j ACCEPT

# Accept ssh connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT

# or only accept from a certain ip
#$IPT -A INPUT -i $WAN -s 125.124.123.122 -p tcp --dport 22 -j ACCEPT

# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Drop netbios from the outside, no log, just drop
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP

# Finally, anything which was not allowed yet
# is going to go through our Rejectwall rule

$IPT -A INPUT -j Rejectwall

Сега стартираме скрипта:

# sh iptables.sh

Всички хостове в локалната мрежа вече ще имат достъп до интернет. Сега трабва да се уверим дали промените след рестарт ще са трайни.

3.3. Устойчивост на iptables правилата

Ето и скрипт за лесно стартиране и спиране на iptables чрез изполването на init.d

Ето и скрипта което може да го копирате на /etc/init.d/iptables :

#!/bin/sh

IPTABLES="/sbin/iptables"

# load options
if [ -f /etc/default/iptables ] ; then
  . /etc/default/iptables
else
  exit 1
fi

# Check for daemon presence
test -x ${IPTABLES} || exit 0

# Get lsb functions
. /lib/lsb/init-functions
. /etc/default/rcS

# Check for saved state
if [ x$1 != "xsave" ] && [ x$1 = "xstart" ] && ! test -r ${IPTABLES_SAVE}; then
  log_warning_msg "Skipping iptables configuration..."
  exit 0
fi

flush() {
  if [ -f /proc/net/ip_tables_names ] ; then
    for table in `cat /proc/net/ip_tables_names`; do
      ${IPTABLES} -F -t $table
      ${IPTABLES} -X -t $table
      if [ $table = nat ]; then
        ${IPTABLES} -t nat -P PREROUTING ACCEPT
        ${IPTABLES} -t nat -P POSTROUTING ACCEPT
        ${IPTABLES} -t nat -P OUTPUT ACCEPT
      elif [ $table = mangle ]; then
        ${IPTABLES} -t mangle -P PREROUTING ACCEPT
        ${IPTABLES} -t mangle -P INPUT ACCEPT
        ${IPTABLES} -t mangle -P FORWARD ACCEPT
        ${IPTABLES} -t mangle -P OUTPUT ACCEPT
        ${IPTABLES} -t mangle -P POSTROUTING ACCEPT
      elif [ $table = filter ]; then
        ${IPTABLES} -t filter -P INPUT ACCEPT
        ${IPTABLES} -t filter -P FORWARD ACCEPT
        ${IPTABLES} -t filter -P OUTPUT ACCEPT
      fi
    done
  fi
  return 0
}

case "$1" in
  start)
  log_begin_msg "Loading iptables settings..."
  ${IPTABLES}-restore ${SAVE_RESTORE_OPTIONS} ${IPTABLES_SAVE}
  log_end_msg $?
  ;;
  save)
  log_begin_msg "Saving iptables settings..."
  ${IPTABLES}-save ${SAVE_RESTORE_OPTIONS} > ${IPTABLES_SAVE}
  log_end_msg $?
  ;;
  stop)
  log_begin_msg "Clearing iptables settings..."
  flush
  log_end_msg $?
  ;;
  restart)
  $0 stop
  $0 start
  ;;
  status)
  ${IPTABLES} -L
  ;;
  *)
  log_success_msg "Usage: $0 {start|stop|restart|status|save}"
  exit 1

esac

и друг на /etc/default/iptables :

IPTABLES_SAVE="/etc/iptables-rules"

SAVE_RESTORE_OPTIONS="-c"

На последно място запишете правилата:

# /etc/init.d/iptables save

Също трябва да се уверим че, след рестартиране на системата услугата ще се включи автоматично. Чрез използването на следната команда:

# update-rc.d iptables defaults 20

Ето че имаме работеща машина чрез която имаме пълен достъп към интернет.

4. Проблеми?

Ще намерите лесно за използване да инсталирате пакетите dnsutils, telnet, tcpdump и nmap за да имате представа за ставащото в сървъра.

Вашите най добри приятели ще са /var/log, daemon.log и syslog.

Може да свалите файловете които са използват в статията;

В този пример ще създадем vlan4, vlan5 и vlan101. Моят gateway е в vlan101. И имам само един интерфейс който е eth0

1 – Ако нямаме инсталиран vlan пакета първо си го инсалираме:

#apt-get install vlan

2 – Активираме модула 8021q

#modprobe 8021q

3 – За да бъдем сигурни че след рестартиране модула 8021q ще се активира автоматично трябва да изпълним следния команден ред:

#sh -c ‘grep -q 8021q /etc/modules || echo 8021q >> /etc/modules’

4 – Редактираме /etc/network/interfaces

#nano /etc/network/interfaces

Трябва да изглежда така:

# The loopback network interface
auto lo
iface lo inet loopback

# This is a list of hotpluggable network interfaces.
# They will be activated automatically by the hotplug subsystem.
auto vlan4
auto vlan5
auto vlan101

# VLAN 4
iface vlan4 inet static
address 192.168.0.8
netmask 255.255.255.192
network 192.168.0.0
broadcast 192.168.0.63
mtu 1500
vlan_raw_device eth0

# VLAN 5
iface vlan5 inet static
address 10.0.111.8
netmask 255.255.255.0
network 10.0.111.0
broadcast 10.0.111.255
mtu 1500
vlan_raw_device eth0

# VLAN 101
iface vlan101 inet static
address 172.12.101.8
netmask 255.255.255.0
network 172.12.101.0
broadcast 172.12.101.255
gateway 172.12.101.1
mtu 1500
vlan_raw_device eth0

5 – Рестартирайте мрежата

#/etc/init.d/networking restart

Ще видите нещо подобно:

Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 4 to IF -:eth0:-
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 5 to IF -:eth0:-
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 101 to IF -:eth0:-

IP адресите си ги сменете според вашата конфигурация. Тук vlan101 е интерфейсът който ще го използваме в нашата машина и съдържа нашия gateway. Чрез другите vlan4 и vlan5 може да направите разни неща. Като например може да рътирате интернета и да споделите връзката си с други компютри.

И това е … Успех на всички!

Целта на статията е да се инсталира ftp сървър, като се използват виртуални потребители от MySQL, а не потребители от системата. Също така ще използваме ограничения на upload и download скоростта, както и MD5 на паролата в MySQL.

1. Инсталиране на MySQL и phpmyadmin

Ще ви бъдат зададени въпроси за:
- root акаунт и парола на MySQL
- кой web server искате да се конфигурира автоматично -> задайте apache и apache2
- съгласете се за рестартиране на apache-то

2. Инсталиране на PureFTPd с MySQL поддръжка

Като изберете standalone server и откажете setuid root.

Ще създадеме ftp user sasa и ftp group sasagroup, където всички наши виртуални потребители ще бъдат мапвани. Ще зададем id на потребителя и групата да е 2222, като вие можете да ползвате, които искате, стига да са свободни.

3. Създаване на база данни за PureFTPd и потребителски акаунт
- логваме се в phpmyadmin (http://localhost/phpmyadmin)
- избираме „Привилегии“ -> „Добавяне на нов потебител“
създаваме:
user-> sasa
host-> localhost
pass-> password

Снимка

Повтаряме процедурата, като променяме само host-а, т.е.:
user-> sasa
host-> localhost.localdomain
pass-> password

Снимка

- избираме „База от данни“ и създаваме нова с име sasaftp

Снимка

П.П. При мен вече е създадена, но при вас няма да е и просто ви показвам откъде се прави

- създаваме таблица ftptable с брой на полетата 9 (при мен отново е създадена )

Снимка

- Задаваме следните настройки
1-во поле: User -> varchar-> 16 -> PRIMARY KEY
2-ро поле: Status-> enum ’0′,’1′ ->default 0
3-то поле: Password-> varchar ->64
4-то поле: UID -> varchar ->11 ->default -1
5-то поле: GID -> varchar -> 11 ->default -1
6-то поле: DIR -> varchar -> 128
7-мо поле: DLBandwidth -> smallint ->5 -> default 0
8-мо поле: ULBandwidth -> smallint ->5 -> default 0
9-то поле: IP -> varchar-> 15 -> *

Снимка

- задаме права на кулу за контрол в/у базата данни sasaftp
* От левият панел избираме HOME и след това от десният панел избираме привилегии
Снимка
* Маркираме sasa и натискаме бутона за редактиране (моливчето )
* От „Привилегии специфични за базата от данни“ избираме БД-то sasaftp
Снимка

* Задаваме следните права: SELECT, INSERT, UPDATE, DELETE, CREATE и DROP
Снимка

Повтаряме процедурата за другият акаунт на sasa с хост local.localdomain

- създаване на потребител, който ще се логва – от левият панел избираме sasaftp и кликаме в/у ftptable; от десният панел кликаме на „Вмъкване“. Създаваме нов потребител със следните параметри:
User: sasa
Status: 1
Password: sasapass
UID 2222
GID 2222
DIR /home/ftp_store
DLBandwidth 200
ULBandwidth 200
IP *

Снимка

4. Нстройка на PureFTPd
- редактирайте /etc/pure-ftpd/db/mysql.conf, като трябва да изглежда по следният начин (ако ползвате друг user вместо sasa , не забравяйте да смените освен MYSQLUser и MYSQLPassword)

- създаваме файла /etc/pure-ftpd/conf/ChrootEveryone със съдържание „yes“.

Така ще накараме pureftpd-то да chroot-ва всеки юзър в собствена домашна папка, с което забраняваме браузването извън неговият home folder

- създаваме файла /etc/pure-ftpd/conf/CreateHomeDir с параметър „yes“.

Така ще се създаде home folder-a на потребителя, ако не съществува при първото логване.

- рестартраме pureftpd

5. Тестване – аз използвам ncftp клинет, който е конзолен и ми е много удобен. Ето го и резултата:

Ще кача една картинка.

За да видим резултата през iceweasel-a въвеждаме следният линк-> ftp://sasa@192.168.0.2, въвеждаме паролата си и трябва да видим качената снимка

Снимка

Източник

Значи IP адреса се разделя с точка между тях на четири части които се наричат „октети“. Всеки октет е 4 бита. И има 5 различни IP класа. Които са:

• Class A адресът започва с (binnary) 0xxx, или с 1 до 126 (decimal)
• Class B адресът започва с (binnary) 10xx, или с 128 до 191 (decimal)
• Class C адресът започва с (binnary) 110x, или с 192 до 223 (decimal)
• Class D адресът започва с (binnary) 1110, или с 224 до 239 (decimal)
• Class E адресът започва с (binnary) 1111, или с 240 до 254 (decimal)

Част от IP адресите показано долу с N в синьо е мрежова network, а показано с n в червено е хост node част

• Class A — NNNNNNNN.nnnnnnnn.nnnnnnnn.nnnnnnnn
• Class B — NNNNNNNN.NNNNNNNN.nnnnnnnn.nnnnnnnn
• Class C — NNNNNNNN.NNNNNNNN.NNNNNNNN.nnnnnnnn

Subnet Masking (Маска)

Маска подразбиране (Default subnet masks):

• Class A – 255.0.0.0 – 11111111.00000000.00000000.00000000
• Class B – 255.255.0.0 – 11111111.11111111.00000000.00000000
• Class C – 255.255.255.0 – 11111111.11111111.11111111.00000000

Клас А подмрежи и Хост IP адреси

(Allowed Class A Subnet and Host IP addresses)

Клас B подмрежи и Хост IP адреси

(Allowed Class B Subnet and Host IP addresses)

Клас C подмрежи и Хост IP адреси

(Allowed Class C Subnet and Host IP addresses)

В интернет има разбира се различни IP калкулатори. Като например:

Online Subnet Калкулатор – http://www.subnet-calculator.com/