[lms] Re: i.NET

23 Lis 2004


      OK ... :) To piszemy... skrypty nie sa moze w 100% dopracowane... mam 
troche zastrzezen sam do siebie... nalezalo by jeszcze troche 
dopracowac...:)
Wiec generuje wszystko z lms-mgc:
[mgc]
instances       = fire-mac fire-nat fire-qos fire-other bind-lan rev-lan 
bind-biuro rev-biuro
; shaperd-2 shaperd-3 shaperd-4 bind-lan rev-lan
// Czesc odpowiedzialna za generowanie mac+ip (dostep do netu)
[mgc:fire-mac]
outfile=/etc/rc.d/firewall/rc.fire_mac
outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header          =<<EOT
#------------------------------
#       (rc.fire_mac)
#------------------------------
#       ip_addr-mac
#
EOT
network_header=%IFACE
grantednode_publ =<<EOT
%IP-%MAC
EOT
grantednode_priv =<<EOT
%IP-%MAC
EOT
// czesc odp za natowanie + connlimit
[mgc:fire-nat]
outfile=/etc/rc.d/firewall/rc.fire_nat
outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header          =<<EOT
#------------------------------
#       (rc.fire_nat)
#------------------------------
#       ip_addr-max_conn
#
EOT
network_header=#%IFACE
grantednode_publ =<<EOT
%IP:%CLIMIT
EOT
grantednode_priv =<<EOT
%IP:%CLIMIT
EOT
// przekierowanie portow... tego z lms nie potrafie uzyskac...
[mgc:fire-port]
outfile=/etc/rc.d/firewall/rc.fire_port
outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header          =<<EOT
#------------------------------
#       (rc.fire_port)
#------------------------------
#       protocol:port:local_ip:port:external_ip
#
EOT
network_header=#%IFACE
grantednode_publ =<<EOT
EOT
grantednode_priv =<<EOT
EOT
//HTB (tu musialem zrobic mala poprawke w rc.htb, ale o tym dalej)
[mgc:fire-qos]
outfile=/etc/rc.d/firewall/rc.fire_qos
outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header          =<<EOT
#------------------------------
#       (rc.fire_qos)
#------------------------------
#       ip:down_rate:down_ceil:up_rate:up_ceil
#
EOT
network_header=#%IFACE
grantednode_publ =<<EOT
%IP:%DOWNRATE:%DOWNCEIL:%UPRATE:%UPCEIL
EOT
grantednode_priv =<<EOT
%IP:%DOWNRATE:%DOWNCEIL:%UPRATE:%UPCEIL
EOT
// DOdatkowe polecenia iptables
[mgc:fire-other]
networks = szkola oliwa
outfile=/etc/rc.d/firewall/rc.fire_other
outfile_perm=700
ignore = 10.74.100.1 10.74.101.1 10.74.98.1 10.74.98.4 10.74.98.4 10.74.98.6
header          =<<EOT
#------------------------------
#       (rc.fire_other)
#------------------------------
#
//tu sa jakies tam dla mnie potrzebne rzeczy (np siec w biurze ma 
nieograniczony dostep (nie jest sprawdzany mac+ip))
iptables -I INPUT -p tcp --dport 900 -j ACCEPT
iptables -I INPUT -s 10.74.98.0/29 -j ACCEPT
iptables -I INPUT -d 10.74.98.0/29 -j ACCEPT
iptables -I FORWARD -s 10.74.98.0/29 -j ACCEPT
iptables -I FORWARD -d 10.74.98.0/29 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.74.98.0/29 -j SNAT --to 83.16.244.238
iptables -I FORWARD -s 10.74.101.2/27 -j ACCEPT
iptables -I FORWARD -d 10.74.101.2/27 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.74.101.2/27 -j SNAT --to 83.16.244.238
EOT
network_header=#%IFACE
//odlaczone kompy maja redirect na stronke z info :)
deniednode_publ =<<EOT
iptables -t nat -A PREROUTING -m mac --mac-source %MAC -p tcp --dport 80 
-j REDIRECT --to-port 200
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 139 -j REJECT
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 900 -j ACCEPT
EOT
deniednode_priv =<<EOT
iptables -t nat -A PREROUTING -m mac --mac-source %MAC -p tcp --dport 80 
-j REDIRECT --to-port 200
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 139 -j REJECT
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 200 -j ACCEPT
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 900 -j ACCEPT
EOT
// i wszyskie kompy nie wpisane w baze
dhcpnode_priv = iptables -t nat -A PREROUTING -p tcp -s %IP -j REDIRECT 
--to-port 200
w rc.htb w lini 90 dodalem cos takiego:
     DOWN_NORMAL_GENERAL=30
     UP_NORMAL_GENERAL=5
zle mi generowal htb tzn rate dawal (np na p2p) 23926943E10kb :)
co by trzeba bylo zrobic jeszcze :)
1. Przepisac rc.firewall tak aby przy przekroczonym connlimit 
przkierowywal na jakas stronke z info o mozliwym wirusie lub 
zaagresywnym korzystaniu z lacza.
2. Z tego co pamietam kompy nie poieraja IP (dhcp) jezeli nie sa wpisane 
w baze, nalezalo by nad tym pomyslec. W sumie z tego co pamietam jak 
komp nie jest wpisany w baze wogule nie widzi serwera, ale da sie to ew 
zrobic w rc.fire_other.
Wywolywanie skryptow:
lms-traffic-logiptables
lms-traffic
lms-mgc
lms-makedhcpconf
/etc/rc.d/firewall/rc.firewall start
/etc/rc.d/firewall/rc.htb start
/etc/rc.d/firewall/rc.fire_other
killall -9 dhcpd
dhcpd eth1 eth2
lms-traffic-logiptables (dlatego 2 razy poniewaz rc.firewall robie 
iptables -F)
-- 
Przemysław Broniszewski (SGM)
Administrator serwera netfinity.warsztat.net.pl
email: broneq@warsztat.net.pl
tel: /0-58/ 559-89-83