Сбербанк клієнт і шлюз на Linux і Як зробити кидок портів?
Проблема наступна, варто Плющевий модем від Таттелеком (найперший який вони давали - ZTE), за ним Ubuntu Server 10.04, варто як шлюз для сітки 10.10.10.0, він же ДНС сервер (Bind), він же проксі (Squid), він же samba для файлопомойка. Головбух цієї контори звернувся з проханням настройіть клієнт-банк від Ощадбанку для роботи через шлюз (я його піднімав когд ато). Чесно кажучи вглаза не бачив це банк клієнт, до купи мені САМА зателефонувала техпідтримка місцевого Ощад в особі якогось Діми і попросила прокинути 87 UDP порт :)) Полазив в неті з цього приводу взагалі зрозумів що клієнт-банк від Ощад саммммий тупущій софт. сам днями настарівал на СКВИДов роботу Клієнт-Банку для АКІБАНК. всього три рядки (Але це на мій оффициально роботі). Вообщем питання чи можна налаштувати Squid що б цей Клієнт-Банк від Ощадбанку працював, або можна струму на IPTables, модем працює в режимі роутера, на кшталт нат на ньому теж працює. допустимо я відкрию все в IPtables ну типу так
iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
на перший час. ))?
виходить що клієнт-банк буде працювати за 2-ма натамі. За руками сервак..но вже у мене вдома (його мені привезли) .. але він не в робочій мережі тоесть польових випробувань не провести
Якщо хто стикався з такою задачей..отпішітесь плиз
З.И. Конфіги собсно ось
ifconfig
eth0 Link encap: Ethernet HWaddr 00: e0: 18: d4: 52: f5
inet addr: 192.168.1.2 Bcast: 192.168.1.255 Mask: 255.255.255.0
inet6 addr: fe80 :: 2e0: 18ff: fed4: 52f5 / 64 Scope: Link
UP BROADCAST RUNNING MULTICAST MTU 1500 Metric: 1
RX packets: 334 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 217 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen 1000
RX bytes: 56919 (56.9 KB) TX bytes: 27025 (27.0 KB)
Interrupt: 20
eth1 Link encap: Ethernet HWaddr 00: 05: 5d: 75: e5: 95
inet addr: 10.10.10.1 Bcast: 10.10.10.255 Mask: 255.255.255.0
UP BROADCAST MULTICAST MTU 1500 Metric: 1
RX packets: 0 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 0 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen 1000
RX bytes: 0 (0.0 B) TX bytes: 0 (0.0 B)
Interrupt: 18
lo Link encap: Локальна петля (Loopback)
inet addr: 127.0.0.1 Mask: 255.0.0.0
inet6 addr. 1/128 Scope: Host
UP LOOPBACK RUNNING MTU: 16436 Metric: 1
RX packets: 50 errors: 0 dropped: 0 overruns: 0 frame: 0
TX packets: 50 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 0 txqueuelen: 0
RX bytes: 3986 (3.9 KB) TX bytes: 3986 (3.9 KB)
cat /etc/squid/squid.conf
http_port 10.10.10.1:3128 transparent
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^ Apache
broken_vary_encoding allow apache
cache_mem 50 MB
access_log /var/log/squid/access.log squid
dns_nameservers 10.10.10.1
hosts_file / etc / hosts
refresh_pattern ^ ftp 1440 20% 10080
refresh_pattern ^ gopher 1440 0% 1440
refresh_pattern. 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl kontora_net src 10.10.10.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access allow localhost
http_access allow kontora_net
http_access deny all
icp_access allow all
cache_mgr [email protected]
visible_hostname pdc.kontora
dns_testnames google.ru yandex.ru
append_domain .kontora
always_direct allow all
coredump_dir / var / spool / squid
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
root @ pdc: / etc / squid # iptables -L
WARNING: All config files need .conf: /etc/modprobe.d/alsa-base, it will be ignored in a future release.
WARNING: All config files need .conf: /etc/modprobe.d/blacklist-modem, it will be ignored in a future release.
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
manofring, неділя, вечір, що ти очікував?
у мну в бухгалтерії є клієнт-банк від Ощадбанку Татарстан. самий хріновий з усіх які бачив.
наскільки пам'ятаю, їх клієнт, під Вендом, організовує типу ВПН-каналу.
при цьому клієнт, змінює настройки мережі. б-р-р, як згадаю так Здригніться. ребут вирішує.
налаштовували їх технарі. працює все через (|).
пробував налаштовувати через squid, плюнув і пустив через NAT. чого і тобі бажаю.
самого клієнта, нехай краще налаштовують технарі з Ощад.
Ги, а мені щастило з банк клієнтами. у всіх був звичайний https. Було б чудово, есілі б ви по кроках розписали настройку для Ощад.
Я ставив і налаштовував цей банк клієнт - жах - такий що що ні в життя сказати ні пером.
Далі найпростіше перевірити що піднімається ВПН тунель - це перший крок.
Далі - спробувати з'єднатися з сервером клієнтом - і спробувати зробити запит - якщо дані не йдуть, але клієнт коннектітся - то вимагати відв'язування клієнта від всіх прив'язок (кодове слово). Іноді цей крок - потрібно ще до установки ВПН тунелю.
в Ощад - є Ірина - він там сама розумна по видимому.
І ще - перевірте що всі документи у них в Ощад - є і що вони знайшли все доки і держут їх в руках - нехай оприлюднять список документів, а то нас спершу підключили а потім з'ясували що втратили документи і відключили - і довелося налаштовувати все повторно.
Вобщем повна веселуха.
Телефонувати до них до речі дуже складно.
Марат, дай ти свої 2 рядки з iptables для Ощадбанку, які не скупіться! :)
там і UDP і TCP прописані.
Був би дуже вдячний. Правда я не знаю тут користувача Марат.
Хто небудь зустрічав путнє опісаніе..ну типу уроки із завданнями в мережі по iptables?
До речі admin, а чи не створити на опенказан Вікі. У тебе на сайті достатньо інформації. навіть по розділах. Жлако що 90% копіпаст. але. було б круто. А то іноді струму гугл допомагає знайти тут що-то.
:)))
> Правда я не знаю тут користувача Марат.
fart
> А чи не створити на опенказан Вікі
ось самого не раз такі думки відвідують.
Зараз просто з хостингом проблеми. треба сайт перенести на новий. як перенесу, так wiki поставимо
поки можете обговорювати движек який ставити :) тільки бажано з drupal сумісний (ну через API / плагіни). Щоб користувачі і тут й там не логін 2 рази
> Правда я не знаю тут користувача Марат.
fart
> А чи не створити на опенказан Вікі
ось самого не раз такі думки відвідують.
Зараз просто з хостингом проблеми. треба сайт перенести на новий. як перенесу, так wiki поставимо
поки можете обговорювати движек який ставити :) тільки бажано з drupal сумісний (ну через API / плагіни). Щоб користувачі і тут й там не логін 2 рази
> А чи не створити на опенказан Вікі
ось самого не раз такі думки відвідують.
Зараз просто з хостингом проблеми. треба сайт перенести на новий. як перенесу, так wiki поставимо
поки можете обговорювати движек який ставити :) тільки бажано з drupal сумісний (ну через API / плагіни). Щоб користувачі і тут й там не логін 2 рази
Ну нафіг це друпал. У попередньому обговоренні спливав той самий livestreet, чому не адекватна заміна Друпалу? + Wiki можна не піднімати буде.
Так чому ж сірий то? в конторі eth1 сірий eth0 - білий, банківський сервак як бачиш теж на білому.
Воно працює вже років 5-6 точно)))
P.S. fart просто полінувався і не описав кінцівку правил, а я вже й не пам'ятаю що там було))
Всім привіт !
Спробував правила які мені скинув fart
ніфіка нічого не спрацювало: ((
2taho
ситуація така
ADSL модем. на ньому працює NAT, модем працює в режимі роутера його IP 192.168.1.1, далі йде Linux сервер він працює як шлюз, його eth0 підключений до порту модему, eth1 сервера це локалка 10.10.10.0/24. Хлопчик Діма ниче осудного не сказав, єдино що обматюкав свою контору яка купила цей шлак (ощадний банк-клієнт). По всьому вишенапісанного я ніфіка нічо не зрозумів. (((Діма говорив про якийсь VPN тунель, який створюється між банком і клієнтом. IP буховской машини 10.10.10.10. Взагалі прохід через 2 ната можливий в даній ситуації?
Може хто кине готовими правилами. а не двома рядками?
З.И. як все це причепити в Ubuntu Server 10.04, є там пакет iptables-persistent, яке мабуть тупо вантажить правила з файлу / etc / iptables / rules. скока туди правила не писав. iptables -L показує порожнечу.
:))
P.S. каптча страшна
WTF?
> P.S. каптча страшна
> WTF?
нерівна боротьба з кетайскім спамом
> ADSL модем. на ньому працює NAT, модем працює в режимі роутера його IP 192.168.1.1, далі йде Linux сервер він працює як шлюз, його eth0 підключений до порту модему, eth1 сервера це локалка 10.10.10.0/24.
Тобто у тебе 2 ната. Модем або в бридж чи також потрібен портфорвард 87 порту на модемі. Я б зробив в бридж.
Давай включимо вже напевно мозок (це така штучка вище шиї). З постановки задачі ясно що
1) потрібен доступ на порт 87
2) створюється тунель
До речі squid там не в transparent режимі працює. хоча опція включена в конфіги.
Так, є мережа з якимсь шлюзом, на якому потрібно налаштувати, щоб все, що приходить на нього по udp на 87 порт кидалося на 87-й udp порт у внешк? Все залежить від ситуації, а вона не зовсім повно розписана. Особисто я роблю SNAT. MASQUERADE використовується, якщо з'єднання динамічне, тобто ключ --to-source не вказується. І [b] taho [/ b] прав, в першому випадку. Якщо я правильно зрозумів ситуацію, то потрібно всього-то додати 1 рядок в iptables. Якщо криво налаштований Squid, то 2-3 рядки.
root @ pdc: / etc # cat / etc / nat
#! / Bin / sh
# Включаємо форвардного пакетів
echo 1> / proc / sys / net / ipv4 / ip_forward
# Дозволяємо трафік на loopback-інтерфейсі
iptables -A INPUT -i lo -j ACCEPT
# Дозволяємо доступ з внутрішньої мережі назовні
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаємо NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.10/32 -j MASQUERADE
# Забороняємо доступ зовні у внутрішню мережу
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
root @ pdc: / etc # cat /etc/rc.local
#! / Bin / sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# Value on error.
#
# In order to enable or disable this script just change the execution
# Bits.
#
# By default this script does nothing.
UPD
Пробував SNAT, проц як був максимум на 0.10-0.15 в top завантажений так і є. Ніка різниці, дбаю нафік все..переделав DLS в BRIDGE. і знову включив маськарадінг, все клієнт банки встали: (((. Часу Сніф не було, бухі дали вікно в 15 хвилин :(
плюнув повернув все до старої схеми. да нафік.
Зате перевірив вхідну швидкість з Таттелекома налаштував ddns клієнт. засмучений: ((Видаленого уппавленіе хоча б по ssh не бачити відвалюється. Лагга большіе..відімо таттелекомвци блочат сукі..по принаймні було два модему від мегафона і мтс. грошей в них по саме нехочу..скорость начебто 200 кубиків. вообщем дивно як це. або просто для юр осіб таттелеом спеціально Блоч трафік входить
root @ pdc: / etc # cat / etc / nat
#! / Bin / sh
# Включаємо форвардного пакетів
echo 1> / proc / sys / net / ipv4 / ip_forward
# Дозволяємо трафік на loopback-інтерфейсі
iptables -A INPUT -i lo -j ACCEPT
# Дозволяємо доступ з внутрішньої мережі назовні
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаємо NAT
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.10/32 -j MASQUERADE
# Забороняємо доступ зовні у внутрішню мережу
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
root @ pdc: / etc # cat /etc/rc.local
#! / Bin / sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# Value on error.
#
# In order to enable or disable this script just change the execution
# Bits.
#
# By default this script does nothing.