18. januar 2014 - 21:36Der er
17 kommentarer og 1 løsning
Linux CENTOS hjælp tak
Vi har et projekt på skolen med VWware og centos. Vi har oprettet følgende computere hosts:
Firewall Mail Samba Web Client
Hvordan skal nameserver se på hver især på alle sammen. Under: vim /etc/resolv.conf
Search har jeg fået til selve projektet men hvad skal nameservere være da jeg skal have det sat korrekt op på alle sammen.
Som standard i starte stod der: 10.0.0.102 og 10.0.0.104 da det skulle sættes op, men hvad bruger man så til at få det hele til at virke af IP adresse og skal der kun være 1 nameserver på hver.
; generated by /sbin/dhclient-script search e307.datamek.dk nameserver 192.168. et eller andet. ~
Det skal være jeres DNS server. Har i ikke en intern, så brug en ekstern, såfremt serverne er på nettet. Er der ingen DNS server tilgængelig, er det fuldstændig underordnet om konfigurationen ændres.
Der kan specificeres flere navne/dns servere Eks.:
Jeg har gjort det at jeg har har clonet alle computerne i Vmware fra master´eren af.
Så har jeg fået disse her: Firewall Mail Samba Web Client
Bagefter har jeg så gået ind i firewall og opsat netmask, network, gateway, ipaddr.
Og så skal vi opsætte DNS på mail host computeren mail host har 192.168.10.2 som stod i opgaven jeg skulle bruge som ip adresse. Men hvad når du mener intern ip adresse eller ektern er det så eth1 eller eth2 eller eth0 jeg skal bruge. på firewall host computeren er der åbnet op for 3 netværkskort med bridge, vmnet3, vmnet2.
I opgaven har de delt det op sådan at vi har web og mail host på den ene side af firewallen, og på den anden side samba og client client skal kører dynamisk så den skal jeg vist ikke pille nået ved.
Men på firewall, web, mail, samba ved jeg ikke om der skal angives det samme nameserver oplysninger, så jeg kan pinge google.dk med navn eller ip adresse. Jeg kan godt pinge alt internt rundt i LAN på hver sin side af firewall, men ikke videre.
Jeg har en ip adresse til hver host som er angivet. og 1 ip adresse til interface eth2 og interface eth1 på hver sin side af firewallen. og ud af til eth0 10.15.7.126 ved ikke lige hvordan det resolv.conf så skal sættes op og hvor mange nameserver ip adresser som skal sættes ind på hver pc under resolv.conf da jeg har 4 forskellige som skal stå korrekt.
Jeg ved ikke hvad der er LAN og hvad der er WAN i dit setup :)... (Hvis det overhoved er opdelt sådanne) ?? Men det er nu heller ikke så vigtigt hvad angå resolv.conf filen!
Kan du overhoved tilgå nettet fra disse maskiner, på nogen af dem ? Har i en intern DNS ?
Man skal normaltvis kun bruge én nameserver i resolv.conf, MEN ligesom på alle andre systemer angiver man gerne en failover eller 2. Hvis denne DNS server skal fejle.
Hvis det ikke er meningen i de skal kunne tilgå nettet skal der bruges en intern DNS server. Hvis maskinerne kan tilgå nettet kan i bare indsætte IP'en fra jeres ISP eller bruge googles 8.8.8.8
Hvad vil i opnå ved at indsætte addresser i resolv.conf ? Hvis det er til et internt test setup, og i ikke skal bruge navneopslag er det ligegyldigt. :)
Jeg har prøvet mig frem her i nattetimerne. på firewall host pc fik jeg liv ud til internettet, jeg må indrømme at jeg ikke lige forstår hvad som gik galt. Men jeg kan pinge google.com via firewall hosten nu.
Jeg kan også ping ip adresserne rundt om i LAN fra firewall og ud til samba, web, mail, og omvendt tilbage igen til firewall host pc.
Det som driller mig ufatteligt meget, er at jeg så skal have sæt forbindelse op således at:
mail host,web host går videre til wnnet3 som så går videre til interface eth2 netværkort og videre til interface eth0 10.15.7.126 ud i skyen.
På den anden side af firewallen har jeg: samba som skal gå videre til vmnet2 og videre til firewall og videre til interface etho 10.15.7.126
Men jeg går udfra at jeg på web,mail,samba skal opsætte en korrekt ip adresse som kan gå igennem firewallen på nameserver i etc/resolv.conf filen ellers ved jeg ikke hvor man ellers gør det.
lassebm vi skal kunne pinge på ip adresse og navn, det vil sige søge på ping google.com eller via en ip adresse test et sted på nettet.
Jeg forstår bare ikke hvorfor jeg kun kan få firewall pc til at virke korrekt i det her setup. vmnet3 har 192.168.10.0 og vmnet2 192.168.1.0
firewall 192.168.1.1
Meningen er at firewall script iptabels skal styrer det hele. og så skal man henvise til firewall hosten for at få internet forbindelse og videre ud på det store internet. I det iptabels script skal man angive de ip adresser som skal gives adgang til med tcp, udp, icmp.
det ser sådan ud og er sikkert ikke korrekt sat op. fw script: #!/bin/bash set -x iptables -F iptables -t nat -F
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
når jeg står på min firewall host pc så kan jeg pinge frem google.dk og pinge alle de andre computere på netværket:
PING google.dk (173.194.65.94) 56(84) bytes of data. 64 bytes from ee-in-f94.1e100.net (173.194.65.94): icmp_seq=1 ttl=46 time=18.4 ms 64 bytes from ee-in-f94.1e100.net (173.194.65.94): icmp_seq=2 ttl=46 time=18.4 ms 64 bytes from ee-in-f94.1e100.net (173.194.65.94): icmp_seq=3 ttl=46 time=18.9 m
Når jeg står på mail host computeren kan jeg kun pinge de andre computere på netværket, men ikke google.dk
Jeg forstår simplehen ikke hvad som er galt er der mulighed for at få jeres hjælp via skype og teamweaver. Jeg er godt træt af det problem her specielt da det haster med at finde en løsning.
Under firewall host computeren er der ændret til fra 0 til 1 i forvejen.
stien: vim /etc/sysctl.conf
# Controls IP packet forwarding net.ipv4.ip_forward = 1
Jeg går ikke udfra, at mail, web, samba computerne skal have nået ændret der også i den forbindelse. Da de helst skulle have deres internet forbindelse kørt igennem firewall computer hosten.
Måske du også mangler flg, men jeg ville starte med at kigge på maquerade delen.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Fra man pagen ESTABLISHED meaning that the packet is associated with a connection which has seen packets in both directions,
RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.
Jeg prøvede at indsætte iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE det virker dog stadig ikke på mail, web, samba computerne.
Det er simpel så problematisk det her, jeg har brug for en som kan gennemgå de firewall, mail, web, samba for fejl jeg kan ikke selv se hvor problemerne ligger.
Ellers kan jeg godt vinke det her projekt farvel og tak før eksamen. Da ingen i klassen heller kan finde ud af det at sætte det korrekt op. Så DNS kører på mail, og firewall styrer internet adgang fra alle sammen.
Har ikke lige tid til at sidde og kigge remote desværre!
1) MEN, er eth0 det netkort der har adgang til internettet på firewallen, ellers skal du bruge dette i masquerade reglen ?
2) Har du prøvet at lave default policien om på firewallen til accept istedet for deny. Det er bare indtil at der kommer hul igennem.
3) Angående manglende netadgang fra de andre maskiner, så skal du stadig have indsat de rigtige ip-addresser i /etc/resolv.conf. De samme IP'er der bliver brugt på firewallen bør virke, da denne kan lave navneopslag.
Alternativt, må du prøve at lave wget/telnet på internet addresser på IP og IKKE DNS navnet!
4) Sæt noget logning op på firewallen (iptables scriptet, så du kan se hvad der sker og ikke sker)
5) Måske at din SNAT regel giver problemer? Jeg kan ikke helt lure hvad den skal gøre godt for? Du kan evt. prøve at fjerne den.
Andre ting du kan checke. Er du sikker på at gatewayen er korrekt på dine "klienter" ? Er du sikker på at trafikken overhoved kommer til din gateway/firewall ? Du kan evt lave et tcpdump på firewallen for at verificere dette.
Det lykkes langt om længe, jeg måtte dog have flere personer ind over før det lykkes til sidst da der var mange ting som gav problemer.
Jeg kan dog sige at jeg bestod eksamen med over gennemsnittet. Så er lykkelig over det naturligvis. Jeg siger tak for alt hjælpen. Sig til hvis der ønskes points udleveret.
Nu står den så på Microsoft Windows server 2012, som jeg lige er start op på et nyt fagmodul med endnu en eksamen snart i februar måned. Er dog lidt usikker på hvor meget jeg skal have gennemgået, vi har fået en bog på flere hundrede sider. Så det bliver nok også en udfordring, da jeg ikke tidligere har haft nået med dette at gøre.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
