instalacia debian servera

Založil rumy, 18. 10. 2010, 16:36:13

Předchozí téma - Další téma

rumy

ahojte:
tak na uvod by som len par slov chcel dat preco som vytvoril toto vlakno
kedze som v linuxe novacik tak a snazim sa postavit daky vlasny server ktory mi bude bezat v mojej dielni tak som sa rozhodoval aky system vyberem kedze microsoft server 2003 ovladam ako tak.. tak ma moc neoslovil stoho hladiska ze by som si musel kupit.. tak som sa rozhodol pre volbu DEBIANU:.
preto by som chcel riesit v tomto mojom vlakne moje problemy ktore si nebudem vediet vyriesit tak to budem davat sem a verim tomu ze sa daka dobra dusa najde co mi pomoze Smile

kedze v uvode som napisal ze si chcem postavit server od ktoreho ocakavam:
pridelovanie ip adries na zakladne DHCP
obmedzenie internetu v urcitom case
a filtrovanie klientov na zaklade MAC

obmedzeni internetu by malo vyzerat takto
ziaci ktory budu obmedzeni casovo a vysokoskolaci ktory budu neobmedzene na nete.
cize
skupina1 (stredoskolak) by sa prihlasil do siete a dostal by ip adresu z rozsahu (192.168.6.40 - 192.168.6.120) tento rozsah by mal dostat na zakladne MAC adresi v tomto rosahu by mu internet siel iba od 06:00 do 21:30 kazdy pracovny den

skupina2(vysokoskolak) by sa prihlasil do siete a dostal by ip adresu z rozsahu (192.168.6.121 - 192.168.6.254) tento rozsah tiez dostane na zaklade mac adresi.. a net by mu siel neobmedzene

ak by sa niekto pripojil do mojej siete a ja nebudem mat jeho mac adresu tak mu nepojde net voobec..

najde sa tu nejaka dobra dussa co by mi toto pomohla spravit ?
pri najlepsiom aspon dat dake rady ako zaca

ja len dodam ze dhcp mi uz ide ide mi aj filtrovanie mac adresies ..cize ked sa pripojim s pc ktoreho nemam zapisanu mac adresu tak nejde net.. lenze problem u mna nastal ze ked uz chcem konkretne urcite skupinu jedna a skupinu dva tak mi to uz nejde..
prikladam aj obr..

Palo M.

Tvoj plan ma podla mna velku slabinu. MAC adresa sa da sfalsovat (naklonovat). A takisto niekto moze manualne nastavit IP adresu a obist tak uplne DHCP server. Takze na to by som sa nespoliehal pri filtrovani pristupu.
Skor by som v danom pripade skusil proxy server s autorizaciou. Ak teda "pristup na internet" v tvojom pripade znamena browsovanie stranok (hlavne http, https), tak sa mi proxy zda dobry napad. Priamy pristup von by bol z vnutornej siete uplne zakazany, povoleny by bol pristup na proxy (a proxy moze ist von). Na proxy treba zadat meno/heslo, takze individualne mozes riesit pristupove prava pre jednotlivych uzivatelov. S proxy sa potom daju riesit aj dalsie detaily (napriklad uplne zakazanie pristupu na neziaduce stranky).

rumy

len nezabudaj nato ze heslo si zaiaci mozu medzi sebou dat

lime

Tu mas to co potrebujes http://www.ipcop.org/index-pn.php, proste klikacka cez web rozhranie, nieco podobne ako HW router ;), ak to chces na freebsd tak potom http://www.pfsense.org/

rumy

ipcop som mal aj smoothwall ale ani jedno nieje dobre podla mna.. co som skusal.. ale aj tak dakujem za info

lime

Mozes tam vopchat este jednu eth a ulahci ti to vela roboty aj s QoS, pekne si odseparujes obe skupiny ;)

Palo M.

Citace od: rumy kdy 19. 10. 2010, 11:38:37
len nezabudaj nato ze heslo si zaiaci mozu medzi sebou dat
"This is not a bug, it's a feature." To je zakladna vlastnost hesla, ze overuje uzivatela tym, co uzivatel vie...
Ked nedoverujes vysokoskolakom a myslis si, ze daju svoje hesla stredoskolakom, tak potom im mozu umoznit pristup aj inym sposobom. Taketo nieco sa snazit 100% osetrit technickymi prostriedkami je prilis nakladne... Jednoducha hrozba bananu je omnoho ucinnejsia (zistim, ze si dal svoje heslo zobakom - dosurfoval si aj ty). Takisto heslo do proxy nemusi byt samostatne, ale moze byt vyuzite heslo do celej infrastruktury (fileserver, maily atd.) a to uz ma clovek hned zabrany dat niekomu heslo ku vsetkemu.

No ale ked to chces cez dhcp, tak si to tak sprav, ja som ta len upozornil na nevyhody.
Predpokladam, ze mas dhcp3, tak do dhcpd.conf by si mal dat nieco taketo (nekompletny priklad, treba doplnit podla potreby):

subnet 192.168.6.0 netmask 255.255.255.0 {
  option routers 192.168.6.1;
  pool {
    range 192.168.6.40 192.168.6.120;
    deny unknown-clients;
    host stredoskolak1 {
      hardware ethernet 00:11:22:33:44:55;
    }
    host stredoskolak2 {
      hardware ethernet 11:22:33:44:55:66;
    }
    # atd, dalsi stredoskolaci
  }
  pool {
    range 192.168.6.121 192.168.6.254;
    deny unknown-clients;
    host vysokoskolak1 {
      hardware ethernet 22:33:44:55:66:77;
    }
    host vysokoskolak2 {
      hardware ethernet 33:44:55:66:77:88;
    }
    # atd, dalsi vysokoskolaci
  }
}

Tym docielis, ze kazdemu priradi adresu z daneho rozsahu (a neuvedenym MAC nepriradi nic).

No a potom na routeri nastavis firewallove pravidla pre jednotlive rozsahy IP a casy. Firewallov je vela a kazdy sa nastavuje inak...

rumy

dakujem uz toto riesenie mam este musim doladit casove obmedzenie

Erich Stark

Citace od: rumy kdy 19. 10. 2010, 21:56:36
dakujem uz toto riesenie mam este musim doladit casove obmedzenie


ked budes hotovy mohol by si sa podelit zo vsetkym co a ako si riesil :)
" The box said that I needed to have Windows XP or better ... so I installed Debian ."

rumy

kebyze mam byt uprimny vecina linuxakov od ktorych som chcel helfnut sa na mna .... ze nech sa strapim oni sa to tiez museli naucit..
ale ja taky niesom a chcem spracovat navod ktomu a hodim ho aj sem ale to dam len vtedy ked to bude sto percentne.. preto by som bol rad kebyze mam problem a najde sa tu ze daky dobry linuxak aby mi pomohol..

lime

Casove obmedzenie uz nie je problem exituje modul time pre iptables napr.

/sbin/iptables -A INPUT -p tcp --dport 22 -m time --timestart 09:00 --timestop 18:00 --days Wed,Thu,Fri -j ACCEPT

len musis patch iptables http://www.netfilter.org/projects/patch-o-matic/pom-external.html potom je to uz iba na tebe ako si to nascriptujes ;)



lime

Nemussi pachovat :) je to implementovane len sa zmenilo --days na --weekdays testoval som to na

iptables v1.4.2 Debian GNU/Linux 5.0

/sbin/iptables  -A INPUT -p TCP --dport 21 -m time --timestart 17:00 --timestop 23:59 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

rumy

este mam otazku ked chcem na zakladne iprange.. tak nemusim pouzit input ale forward ze?

rumy

zistil som jeden problem moje nastavenie dhcp je asi takeho co sa tyka filtracie mac
class "ziaci" {
match if (substring (hardware, 1, 6) = 00:21:00:62:4D:CB) or
     (substring (hardware, 1, 6) = 00:24:03:EC:71:48);

}
class "vysokoskolak" {
match if (substring (hardware, 1, 6) = 00:21:00:62:4D:CB) or
     (substring (hardware, 1, 6) = 00:24:03:EC:71:48);

}

subnet 192.168.6.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 192.168.6.1;
option broadcast-address 192.168.6.255;

pool {
range 192.168.6.2 192.168.6.35;     
allow members of "zaci";
}
pool {
range 192.168.6.36 192.168.6.66;
allow members of "vysokoskolak";
}
}

no ked niekto nema zadanu v tomto zozname moj ip adresu tak mu neprida ip adresu to je super.. lenze ked si nadefinujem mac adresu v class ziaci tak ok prida mu ip .. potom v squide chcem nastavit rozsah tych ip adries ktore ma blokovat to uz mi ide tiez ale prisiel som na dost velky problem.. ze ked nastavim na pevno ip adresu z ineho rozsahu ako je urceny pre class ziaci napr z rozdahu ip adries pre vysokoslak tak mi aj tak ide net :( a to som si myslel ze ked tam nastavi inu ip adresu tak ze si to dhcp overi ci mac adresa sedi v zozname..ziaci..


lime


zbytocne si komplikujes zivot vsetko sa da pekne urobit cez netfilter ak chces aj shapovat dane IPcky + IMQ

ukazem ti ako by som to riesil ja na jednoduchom priklade, pisem to z hlavy takze je to len priklad viac man iptables

IPTABLES="/sbin/iptables"

LIMIT=""-m limit --limit 12/h --limit-burst 50"

BCAST="192.168.6.255/32"
........

vytvoris si pravidlo pre eth1 - LAN karta

$IPTABLES -N ip_6_2-ot
$IPTABLES -A ip_6_2-ot -p icmp -j RETURN
$IPTABLES -A ip_6_2-ot -m state --state ESTABLISHED,RELATED -j RETURN
$IPTABLES -A ip_6_2-ot $LIMIT -j LOG --log-prefix "ip_6_2-ot: "
$IPTABLES -A ip_6_2-ot -j DROP



# eth1
$IPTABLES -N eth1in
$IPTABLES -A eth1in -m mac --mac-source 00:00:12:12:12:12 -s 192.168.6.2 -j RETURN
$IPTABLES -A eth1in -s $BCAST -j RETURN
$IPTABLES -A eth1in $LIMIT -j LOG --log-prefix "eth1in: "
$IPTABLES -A eth1in -j DROP

$IPTABLES -N eth1ot
$IPTABLES -A eth1ot -d 192.168.6.2 -j ip_6_2-ot
$IPTABLES -A eth1ot -d 192.168.6.2 -j RETURN

........

$IPTABLES -A FORWARD -i eth1 -j eth1in
$IPTABLES -A FORWARD -o eth1 -j eth1ot

$IPTABLES -A FORWARD -s 192.168.6.0/24 -d 192.168.6.0/24 $LIMIT -j LOG --log-prefix "NETtoNET: "
$IPTABLES -A FORWARD -s 192.168.6.0/24 -d 192.168.6.0/24 -j DROP

$IPTABLES -A FORWARD $LIMIT -j LOG --log-prefix "FORWARD: "
$IPTABLES -A FORWARD -j ACCEPT

.....

$IPTABLES -t nat -A POSTROUTING -s 192.168.6.2 -o eth0 -j SNAT --to 193.87.172.x #pustis net pre danu IP

.......

$IPTABLES -A INPUT -i eth1 -j eth1in
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# povolis broadcast
$IPTABLES -A INPUT -i eth0 -d 193.87.172.255 -j ACCEPT #alebo broadcast moze byt 193.87.172.127 kedze maska je 25 bitova

$IPTABLES -A INPUT $LIMIT -j LOG --log-prefix "INPUT: "
$IPTABLES -A INPUT -j DROP

..........

$IPTABLES -A OUTPUT -o eth1 -j eth1ot
$IPTABLES -A OUTPUT $LIMIT -j LOG --log-prefix "OUTPUT: "
$IPTABLES -A OUTPUT -j ACCEPT

takze zhruba takto  snad ti to pomoze, kludne mozes zapracovat aj time modul to uz je brnkacka + shaper len musis patch IMQ ( ci si zvolis htb, cbq ...) je uz na tebe aky shaper, vsetko sa da pekne automatizovat + zapojit databazu proste ako si to urobis tak to budes mat ;), len musis vediet BASH, Perl alebo iny cli aj v php sa to da ;)

Vela zdaru ;)