Debian fórum

Dotazy => Server => Téma založeno: rumy kdy 18. 10. 2010, 16:36:13

Název: instalacia debian servera
Přispěvatel: rumy kdy 18. 10. 2010, 16:36:13
ahojte:
tak na uvod by som len par slov chcel dat preco som vytvoril toto vlakno
kedze som v linuxe novacik tak a snazim sa postavit daky vlasny server ktory mi bude bezat v mojej dielni tak som sa rozhodoval aky system vyberem kedze microsoft server 2003 ovladam ako tak.. tak ma moc neoslovil stoho hladiska ze by som si musel kupit.. tak som sa rozhodol pre volbu DEBIANU:.
preto by som chcel riesit v tomto mojom vlakne moje problemy ktore si nebudem vediet vyriesit tak to budem davat sem a verim tomu ze sa daka dobra dusa najde co mi pomoze Smile

kedze v uvode som napisal ze si chcem postavit server od ktoreho ocakavam:
pridelovanie ip adries na zakladne DHCP
obmedzenie internetu v urcitom case
a filtrovanie klientov na zaklade MAC

obmedzeni internetu by malo vyzerat takto
ziaci ktory budu obmedzeni casovo a vysokoskolaci ktory budu neobmedzene na nete.
cize
skupina1 (stredoskolak) by sa prihlasil do siete a dostal by ip adresu z rozsahu (192.168.6.40 - 192.168.6.120) tento rozsah by mal dostat na zakladne MAC adresi v tomto rosahu by mu internet siel iba od 06:00 do 21:30 kazdy pracovny den

skupina2(vysokoskolak) by sa prihlasil do siete a dostal by ip adresu z rozsahu (192.168.6.121 - 192.168.6.254) tento rozsah tiez dostane na zaklade mac adresi.. a net by mu siel neobmedzene

ak by sa niekto pripojil do mojej siete a ja nebudem mat jeho mac adresu tak mu nepojde net voobec..

najde sa tu nejaka dobra dussa co by mi toto pomohla spravit ?
pri najlepsiom aspon dat dake rady ako zaca

ja len dodam ze dhcp mi uz ide ide mi aj filtrovanie mac adresies ..cize ked sa pripojim s pc ktoreho nemam zapisanu mac adresu tak nejde net.. lenze problem u mna nastal ze ked uz chcem konkretne urcite skupinu jedna a skupinu dva tak mi to uz nejde..
prikladam aj obr..
(http://img257.imageshack.us/img257/101/struktura.jpg)
Název: Re: instalacia debian servera
Přispěvatel: Palo M. kdy 19. 10. 2010, 09:50:26
Tvoj plan ma podla mna velku slabinu. MAC adresa sa da sfalsovat (naklonovat). A takisto niekto moze manualne nastavit IP adresu a obist tak uplne DHCP server. Takze na to by som sa nespoliehal pri filtrovani pristupu.
Skor by som v danom pripade skusil proxy server s autorizaciou. Ak teda "pristup na internet" v tvojom pripade znamena browsovanie stranok (hlavne http, https), tak sa mi proxy zda dobry napad. Priamy pristup von by bol z vnutornej siete uplne zakazany, povoleny by bol pristup na proxy (a proxy moze ist von). Na proxy treba zadat meno/heslo, takze individualne mozes riesit pristupove prava pre jednotlivych uzivatelov. S proxy sa potom daju riesit aj dalsie detaily (napriklad uplne zakazanie pristupu na neziaduce stranky).
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 19. 10. 2010, 11:38:37
len nezabudaj nato ze heslo si zaiaci mozu medzi sebou dat
Název: Re: instalacia debian servera
Přispěvatel: lime kdy 19. 10. 2010, 11:39:46
Tu mas to co potrebujes http://www.ipcop.org/index-pn.php (http://www.ipcop.org/index-pn.php), proste klikacka cez web rozhranie, nieco podobne ako HW router ;), ak to chces na freebsd tak potom http://www.pfsense.org/ (http://www.pfsense.org/)
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 19. 10. 2010, 11:51:55
ipcop som mal aj smoothwall ale ani jedno nieje dobre podla mna.. co som skusal.. ale aj tak dakujem za info
Název: Re: instalacia debian servera
Přispěvatel: lime kdy 19. 10. 2010, 11:57:36
Mozes tam vopchat este jednu eth a ulahci ti to vela roboty aj s QoS, pekne si odseparujes obe skupiny ;)
Název: Re: instalacia debian servera
Přispěvatel: Palo M. kdy 19. 10. 2010, 16:27:43
Citace od: rumy kdy 19. 10. 2010, 11:38:37
len nezabudaj nato ze heslo si zaiaci mozu medzi sebou dat
"This is not a bug, it's a feature." To je zakladna vlastnost hesla, ze overuje uzivatela tym, co uzivatel vie...
Ked nedoverujes vysokoskolakom a myslis si, ze daju svoje hesla stredoskolakom, tak potom im mozu umoznit pristup aj inym sposobom. Taketo nieco sa snazit 100% osetrit technickymi prostriedkami je prilis nakladne... Jednoducha hrozba bananu je omnoho ucinnejsia (zistim, ze si dal svoje heslo zobakom - dosurfoval si aj ty). Takisto heslo do proxy nemusi byt samostatne, ale moze byt vyuzite heslo do celej infrastruktury (fileserver, maily atd.) a to uz ma clovek hned zabrany dat niekomu heslo ku vsetkemu.

No ale ked to chces cez dhcp, tak si to tak sprav, ja som ta len upozornil na nevyhody.
Predpokladam, ze mas dhcp3, tak do dhcpd.conf by si mal dat nieco taketo (nekompletny priklad, treba doplnit podla potreby):

subnet 192.168.6.0 netmask 255.255.255.0 {
  option routers 192.168.6.1;
  pool {
    range 192.168.6.40 192.168.6.120;
    deny unknown-clients;
    host stredoskolak1 {
      hardware ethernet 00:11:22:33:44:55;
    }
    host stredoskolak2 {
      hardware ethernet 11:22:33:44:55:66;
    }
    # atd, dalsi stredoskolaci
  }
  pool {
    range 192.168.6.121 192.168.6.254;
    deny unknown-clients;
    host vysokoskolak1 {
      hardware ethernet 22:33:44:55:66:77;
    }
    host vysokoskolak2 {
      hardware ethernet 33:44:55:66:77:88;
    }
    # atd, dalsi vysokoskolaci
  }
}

Tym docielis, ze kazdemu priradi adresu z daneho rozsahu (a neuvedenym MAC nepriradi nic).

No a potom na routeri nastavis firewallove pravidla pre jednotlive rozsahy IP a casy. Firewallov je vela a kazdy sa nastavuje inak...
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 19. 10. 2010, 21:56:36
dakujem uz toto riesenie mam este musim doladit casove obmedzenie
Název: Re: instalacia debian servera
Přispěvatel: Erich Stark kdy 20. 10. 2010, 11:08:15
Citace od: rumy kdy 19. 10. 2010, 21:56:36
dakujem uz toto riesenie mam este musim doladit casove obmedzenie


ked budes hotovy mohol by si sa podelit zo vsetkym co a ako si riesil :)
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 20. 10. 2010, 11:12:23
kebyze mam byt uprimny vecina linuxakov od ktorych som chcel helfnut sa na mna .... ze nech sa strapim oni sa to tiez museli naucit..
ale ja taky niesom a chcem spracovat navod ktomu a hodim ho aj sem ale to dam len vtedy ked to bude sto percentne.. preto by som bol rad kebyze mam problem a najde sa tu ze daky dobry linuxak aby mi pomohol..
Název: Re: instalacia debian servera
Přispěvatel: lime kdy 20. 10. 2010, 13:33:30
Casove obmedzenie uz nie je problem exituje modul time pre iptables napr.

/sbin/iptables -A INPUT -p tcp --dport 22 -m time --timestart 09:00 --timestop 18:00 --days Wed,Thu,Fri -j ACCEPT

len musis patch iptables http://www.netfilter.org/projects/patch-o-matic/pom-external.html (http://www.netfilter.org/projects/patch-o-matic/pom-external.html) potom je to uz iba na tebe ako si to nascriptujes ;)


Název: Re: instalacia debian servera
Přispěvatel: lime kdy 20. 10. 2010, 13:42:35
Nemussi pachovat :) je to implementovane len sa zmenilo --days na --weekdays testoval som to na

iptables v1.4.2 Debian GNU/Linux 5.0

/sbin/iptables  -A INPUT -p TCP --dport 21 -m time --timestart 17:00 --timestop 23:59 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 20. 10. 2010, 16:13:19
este mam otazku ked chcem na zakladne iprange.. tak nemusim pouzit input ale forward ze?
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 20. 10. 2010, 19:56:42
zistil som jeden problem moje nastavenie dhcp je asi takeho co sa tyka filtracie mac
class "ziaci" {
match if (substring (hardware, 1, 6) = 00:21:00:62:4D:CB) or
     (substring (hardware, 1, 6) = 00:24:03:EC:71:48);

}
class "vysokoskolak" {
match if (substring (hardware, 1, 6) = 00:21:00:62:4D:CB) or
     (substring (hardware, 1, 6) = 00:24:03:EC:71:48);

}

subnet 192.168.6.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 192.168.6.1;
option broadcast-address 192.168.6.255;

pool {
range 192.168.6.2 192.168.6.35;     
allow members of "zaci";
}
pool {
range 192.168.6.36 192.168.6.66;
allow members of "vysokoskolak";
}
}

no ked niekto nema zadanu v tomto zozname moj ip adresu tak mu neprida ip adresu to je super.. lenze ked si nadefinujem mac adresu v class ziaci tak ok prida mu ip .. potom v squide chcem nastavit rozsah tych ip adries ktore ma blokovat to uz mi ide tiez ale prisiel som na dost velky problem.. ze ked nastavim na pevno ip adresu z ineho rozsahu ako je urceny pre class ziaci napr z rozdahu ip adries pre vysokoslak tak mi aj tak ide net :( a to som si myslel ze ked tam nastavi inu ip adresu tak ze si to dhcp overi ci mac adresa sedi v zozname..ziaci..

Název: Re: instalacia debian servera
Přispěvatel: lime kdy 21. 10. 2010, 08:59:53

zbytocne si komplikujes zivot vsetko sa da pekne urobit cez netfilter ak chces aj shapovat dane IPcky + IMQ

ukazem ti ako by som to riesil ja na jednoduchom priklade, pisem to z hlavy takze je to len priklad viac man iptables

IPTABLES="/sbin/iptables"

LIMIT=""-m limit --limit 12/h --limit-burst 50"

BCAST="192.168.6.255/32"
........

vytvoris si pravidlo pre eth1 - LAN karta

$IPTABLES -N ip_6_2-ot
$IPTABLES -A ip_6_2-ot -p icmp -j RETURN
$IPTABLES -A ip_6_2-ot -m state --state ESTABLISHED,RELATED -j RETURN
$IPTABLES -A ip_6_2-ot $LIMIT -j LOG --log-prefix "ip_6_2-ot: "
$IPTABLES -A ip_6_2-ot -j DROP



# eth1
$IPTABLES -N eth1in
$IPTABLES -A eth1in -m mac --mac-source 00:00:12:12:12:12 -s 192.168.6.2 -j RETURN
$IPTABLES -A eth1in -s $BCAST -j RETURN
$IPTABLES -A eth1in $LIMIT -j LOG --log-prefix "eth1in: "
$IPTABLES -A eth1in -j DROP

$IPTABLES -N eth1ot
$IPTABLES -A eth1ot -d 192.168.6.2 -j ip_6_2-ot
$IPTABLES -A eth1ot -d 192.168.6.2 -j RETURN

........

$IPTABLES -A FORWARD -i eth1 -j eth1in
$IPTABLES -A FORWARD -o eth1 -j eth1ot

$IPTABLES -A FORWARD -s 192.168.6.0/24 -d 192.168.6.0/24 $LIMIT -j LOG --log-prefix "NETtoNET: "
$IPTABLES -A FORWARD -s 192.168.6.0/24 -d 192.168.6.0/24 -j DROP

$IPTABLES -A FORWARD $LIMIT -j LOG --log-prefix "FORWARD: "
$IPTABLES -A FORWARD -j ACCEPT

.....

$IPTABLES -t nat -A POSTROUTING -s 192.168.6.2 -o eth0 -j SNAT --to 193.87.172.x #pustis net pre danu IP

.......

$IPTABLES -A INPUT -i eth1 -j eth1in
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# povolis broadcast
$IPTABLES -A INPUT -i eth0 -d 193.87.172.255 -j ACCEPT #alebo broadcast moze byt 193.87.172.127 kedze maska je 25 bitova

$IPTABLES -A INPUT $LIMIT -j LOG --log-prefix "INPUT: "
$IPTABLES -A INPUT -j DROP

..........

$IPTABLES -A OUTPUT -o eth1 -j eth1ot
$IPTABLES -A OUTPUT $LIMIT -j LOG --log-prefix "OUTPUT: "
$IPTABLES -A OUTPUT -j ACCEPT

takze zhruba takto  snad ti to pomoze, kludne mozes zapracovat aj time modul to uz je brnkacka + shaper len musis patch IMQ ( ci si zvolis htb, cbq ...) je uz na tebe aky shaper, vsetko sa da pekne automatizovat + zapojit databazu proste ako si to urobis tak to budes mat ;), len musis vediet BASH, Perl alebo iny cli aj v php sa to da ;)

Vela zdaru ;)



Název: Re: instalacia debian servera
Přispěvatel: Palo M. kdy 21. 10. 2010, 09:20:34
Citace od: rumy kdy 20. 10. 2010, 11:12:23
kebyze mam byt uprimny vecina linuxakov od ktorych som chcel helfnut sa na mna .... ze nech sa strapim oni sa to tiez museli naucit..
ale ja taky niesom a chcem spracovat navod ktomu a hodim ho aj sem ale to dam len vtedy ked to bude sto percentne.. preto by som bol rad kebyze mam problem a najde sa tu ze daky dobry linuxak aby mi pomohol..
Blbe, co?
A teraz vazne: Myslim, ze v tejto teme tu na fore sa zatial nemas na co stazovat. Za tych par dni odkedy si ju otvoril si uz dostal niekolko odpovedi.
Este by som ti dal vseobecnu radu: Skus lepsie formulovat svoje otazky. Urcite potom dostanes viac odpovedi a aj kvalitnejsich. Napriklad vo svojom prvom poste si napisal "lenze problem u mna nastal ze ked uz chcem konkretne urcite skupinu jedna a skupinu dva tak mi to uz nejde..", z coho som ja usudil, ze ti pridelovanie rozsahov DHCP-serverom nejde podla tvojich predstav - tak som ti napisal priklad konfiguracie, ale tu si nepotreboval... takze si sice dostal odpoved, ale ta ti velmi nepomohla. Skratka ked sa opytas neurcito, tak aj dostanes neurcitu odpoved (alebo odpoved na nieco ine, ako to co ta zaujima).
No a este jedna rada zadarmo (ked uz som sa rozbehol): Skus si po sebe precitat post predtym, ako ho definitivne odosles a oprav v nom chyby. Su k tomu najmenej dva prakticke dovody: 1. Niektori ludia maju problem porozumiet textu pisanemu s preklepmi a gramatickymi chybami. Je to porucha vnimania (podobne ako dyslexia), za ktoru nemozu - skratka zacnu citat text a nerozumeju mu. Nebudu bojovat so svojim hendikepom a lustit to ako hlavolam, skratka to nedocitaju a idu dalej. Oni nepotrebuju odpovedat na niecie otazky, ty si ten co chce odpoved. 2. Ked clovek vidi otazku a v nej je spusta preklepov, vacsina ludi si podvedome pomysli, ze tomu pytajucemu sa asi az tak nezalezi na odpovedi, ked si nedal zalezat ani na otazke.
Aby bolo jasne, toto nebola kritika tvojej osoby, to boli rady.

Citace od: rumy kdy 20. 10. 2010, 19:56:42
ale prisiel som na dost velky problem.. ze ked nastavim na pevno ip adresu z ineho rozsahu ako je urceny pre class ziaci napr z rozdahu ip adries pre vysokoslak tak mi aj tak ide net :( a to som si myslel ze ked tam nastavi inu ip adresu tak ze si to dhcp overi ci mac adresa sedi v zozname..ziaci..
Myslim, ze si prave narazil na to, na co som predtym upozornoval: "A takisto niekto moze manualne nastavit IP adresu a obist tak uplne DHCP server." A v tom je ten figel, ze ked si niekto na masine nastavi IP-adresu, tak jeho stroj DHCP-server vobec nekontaktuje. DHCP server teda nema ako a co kontrolovat...

Do iptables ale mozes dat aj pravidla na kontrolu MAC-adries. Ale aj tak potom budes celit dalsiemu uskaliu, na ktore som upozornoval: "MAC adresa sa da sfalsovat (naklonovat)." A takisto, firewall pri vacsom pocte klientov bude dost nabobtnaly a nehodi sa to velmi na dynamicke zmeny.
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 21. 10. 2010, 13:51:35
to:Palo M.
ja sa nejdem urazat to je vec nazoru atd.. a postrehu.. to ze spravim chybu alebo preklep, vedie niekedy aj za nasledok, to ze clovek je v urcitom strese..a nevie to tak napisat ako povedat z oci do oci.. treba sa aj na take veci pozriet..ale to je len na tuto reakciu a nikomu nic neberem.. nikoho tu neobvinujem alebo nieco podobne ludia ktory sa tu najdu tak pomozu...vies mam uz co to for precitanych a poviem ti 50% ludi robi chybu  ci uz v pisani alebo sformulovani otazok..
tak to je zase vsetko s mojej strany ja sa tu neurazam len som si tiez povedal svoj nazor.. lebo niekdy treba brat ohlad nato ci ta osoba vobec vie sformulovat otazku ci ta osoba nieje v strese..atd

a teraz spet k mojmu problemu este ma napadla takato vec :
v iptables by sa malo dat nastavit to ze aby si kontroloval mac z nejakeho suboru? ze napr : napisem si do suboru vsetky mac a v iptables by sa potom iba dako odvolal na tento subor stym, ze ak tu nieje mac adresa zapisana tak ju zahod alebo nieco take.. priznam sa ze ten prikaz co si tam napisal pre iptables mi vela nehovori :(
Název: Re: instalacia debian servera
Přispěvatel: Palo M. kdy 22. 10. 2010, 04:38:52
Citace od: rumy kdy 21. 10. 2010, 13:51:35
v iptables by sa malo dat nastavit to ze aby si kontroloval mac z nejakeho suboru? ze napr : napisem si do suboru vsetky mac a v iptables by sa potom iba dako odvolal na tento subor stym, ze ak tu nieje mac adresa zapisana tak ju zahod alebo nieco take.. priznam sa ze ten prikaz co si tam napisal pre iptables mi vela nehovori :(
Take nieco by nesedelo s principom kernel firewallu. Fakt by si si mal nastudovat tutorial k iptables. V skratke: Sucastou linuxoveho jadra su netfilter moduly, ktore robia filtrovanie siete. To filtrovanie sa deje pomocou pravidiel a tie pravidla nastavuje prikaz iptables. Keby mal kernel citat pravidla zo suboru pri kazdom jednom sietovom pakete, to by asi velmi rychle nebolo, ze? Monitorovanie suboru s pravidlami (ci sa nahodou nezmenili) je tiez na dlhe lakte...

Ak chces mat zoznam MAC-adries v subore, da sa to urobit jednoducho napriklad takto:
1. Jeden subor s MAC-adresami, povedzme meno allowed_macs
2. Jeden skript na aplikovanie firewallovych pravidiel (obsahuje vela riadkov s prikazom iptables, podobny ako napisal lime). Tento skript bude citat subor allowed_macs a nastavi pravidla pre vsetky MAC-adresy. Bude sa volat povedzme firewall_on.sh
3. Zakazdym, ked zmenis subor allowed_macs, musis spustit aj firewall_on.sh, aby sa nastavili aktualne pravidla.

Ked ale nemas nastudovane iptables, tazko sa ti bude vytvarat funkcny firewall_on.sh. Analogicky, kto nema nastudovane zaklady C++, ten tazko vytvori v C++ funkcny program...
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 22. 10. 2010, 08:40:29
jj suhlasim stebou.. a bohuzial ja ani hlavu na c++ a celkove kodenie nemam. :( ale nevadi este daco nastudujem a skusim nieco ine.. mam v hlave par napadov ktore by som vyskusal
Název: Re: instalacia debian servera
Přispěvatel: lime kdy 22. 10. 2010, 10:55:24
Kodit ani vela nemusis staci ti jeden for ;), aplikoval som to na svoj priklad a presne tak ako povedal Palo ;) stale musis pustit script, ale mas dve varianty bud cron a mas, alebo ked to chces ihned tak to spustis manualne ;)

v allowed_macs by bol, kazdy novy zapis do noveho riadocku ;), to iste mozes urobit aj pre pustenie IP do netu ;) bud v jednom cykle alebo urobis dalsi ;)

root#cat /etc/allowed_macs/allowed_macs

00:00:12:12:12:12 -s 192.168.6.2
00:00:12:12:10:10 -s 192.168.6.3

for mac in $(cat /etc/allowed_macs/allowed_macs);do

$IPTABLES -A eth1in -m mac --mac-source $mac -j RETURN

done

takze takto pri kazdom *nix systeme musis vediet scriptovat bez toho to nepojde, aky jazyk si zvolis je uz na tebe ale princip je rovnaky, hlavne je si danu problematiku dobre navrhnut a nastudovat popri tvorbe :D
Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 25. 10. 2010, 23:33:28
takze mensia rekapitulacia co uz mam vsetko rozbehnute..:
1. operacny system je debian (instalacia bez desktopu alebo ako sa to vola)
2. dve sietove karty jedna je LAN-eth1 a druha WAN-eth0
3. nainstalovany ssh
4. nainstalovany mc
5. nainstalovany dhcp3-server
6. nainstalovany squid

konfiguracia..
1. nastavenie v dhcp.conf pre filtrovanie MAC na zaklade definovanych uzivatelov
2. nastavenie v IPTABLES INPUT, OUTPUT, FORWARD stym ze je to zabezpecene co sa tyka povelnych portov a zaroven aj obmedzenie ostatnych PC na zakladne MAC (tzv:. klient ktory sa chce pripojit do mojej siete nedostane IP adresu pokial nezadam jeho MAC do dhcp.conf, ak by si nastavil aj na pevno ip adresu a nebudem mat jeho mac zapisanu ...ostane iba v lokalnej sieti do internetu sa nedostane)
3. nastavenie SQUID.... je tu zadefinovane transparentne proxy a zadefinovany IPRANGE pre tych jednotlivych uzivatelov... ziaci v case 06:00-22:00 maju povoleny internet ako nahle pride desiata hodina net sa im vypne.. ostany uzivatelia nespadaju do tohto pravidla..

co by som chcel este od serva je FUP proste aby som obmedzil net niekomu ked bude stahovat velkou rychlostou a vela dat .. mate niekto dake napady?

Název: Re: instalacia debian servera
Přispěvatel: rumy kdy 06. 01. 2011, 12:05:27
Citace od: lime kdy 20. 10. 2010, 13:42:35
Nemussi pachovat :) je to implementovane len sa zmenilo --days na --weekdays testoval som to na

iptables v1.4.2 Debian GNU/Linux 5.0

/sbin/iptables  -A INPUT -p TCP --dport 21 -m time --timestart 17:00 --timestop 23:59 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
chcem sa spytat a da sa v iptables nastavit tento cas aj pre urcity rozsah ip adries? aby vtom case bol zablokovany port 80 443..dikes za info