OK ... :) To piszemy... skrypty nie sa moze w 100% dopracowane... mam troche zastrzezen sam do siebie... nalezalo by jeszcze troche dopracowac...:) Wiec generuje wszystko z lms-mgc:
[mgc] instances = fire-mac fire-nat fire-qos fire-other bind-lan rev-lan bind-biuro rev-biuro ; shaperd-2 shaperd-3 shaperd-4 bind-lan rev-lan
// Czesc odpowiedzialna za generowanie mac+ip (dostep do netu) [mgc:fire-mac] outfile=/etc/rc.d/firewall/rc.fire_mac outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header =<<EOT #------------------------------ # (rc.fire_mac) #------------------------------ # ip_addr-mac # EOT
network_header=%IFACE
grantednode_publ =<<EOT %IP-%MAC EOT
grantednode_priv =<<EOT %IP-%MAC EOT
// czesc odp za natowanie + connlimit [mgc:fire-nat] outfile=/etc/rc.d/firewall/rc.fire_nat outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header =<<EOT #------------------------------ # (rc.fire_nat) #------------------------------ # ip_addr-max_conn # EOT
network_header=#%IFACE
grantednode_publ =<<EOT %IP:%CLIMIT EOT
grantednode_priv =<<EOT %IP:%CLIMIT EOT
// przekierowanie portow... tego z lms nie potrafie uzyskac... [mgc:fire-port] outfile=/etc/rc.d/firewall/rc.fire_port outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header =<<EOT #------------------------------ # (rc.fire_port) #------------------------------ # protocol:port:local_ip:port:external_ip # EOT
network_header=#%IFACE
grantednode_publ =<<EOT EOT
grantednode_priv =<<EOT EOT
//HTB (tu musialem zrobic mala poprawke w rc.htb, ale o tym dalej) [mgc:fire-qos] outfile=/etc/rc.d/firewall/rc.fire_qos outfile_perm=600
ignore = 10.74.100.1 10.74.101.1 10.74.98.1
header =<<EOT #------------------------------ # (rc.fire_qos) #------------------------------ # ip:down_rate:down_ceil:up_rate:up_ceil # EOT
network_header=#%IFACE
grantednode_publ =<<EOT %IP:%DOWNRATE:%DOWNCEIL:%UPRATE:%UPCEIL EOT
grantednode_priv =<<EOT %IP:%DOWNRATE:%DOWNCEIL:%UPRATE:%UPCEIL EOT
// DOdatkowe polecenia iptables [mgc:fire-other] networks = szkola oliwa outfile=/etc/rc.d/firewall/rc.fire_other outfile_perm=700
ignore = 10.74.100.1 10.74.101.1 10.74.98.1 10.74.98.4 10.74.98.4 10.74.98.6
header =<<EOT #------------------------------ # (rc.fire_other) #------------------------------ # //tu sa jakies tam dla mnie potrzebne rzeczy (np siec w biurze ma nieograniczony dostep (nie jest sprawdzany mac+ip)) iptables -I INPUT -p tcp --dport 900 -j ACCEPT iptables -I INPUT -s 10.74.98.0/29 -j ACCEPT iptables -I INPUT -d 10.74.98.0/29 -j ACCEPT iptables -I FORWARD -s 10.74.98.0/29 -j ACCEPT iptables -I FORWARD -d 10.74.98.0/29 -j ACCEPT iptables -t nat -I POSTROUTING -s 10.74.98.0/29 -j SNAT --to 83.16.244.238 iptables -I FORWARD -s 10.74.101.2/27 -j ACCEPT iptables -I FORWARD -d 10.74.101.2/27 -j ACCEPT iptables -t nat -I POSTROUTING -s 10.74.101.2/27 -j SNAT --to 83.16.244.238 EOT
network_header=#%IFACE //odlaczone kompy maja redirect na stronke z info :) deniednode_publ =<<EOT iptables -t nat -A PREROUTING -m mac --mac-source %MAC -p tcp --dport 80 -j REDIRECT --to-port 200 iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 139 -j REJECT iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 900 -j ACCEPT EOT
deniednode_priv =<<EOT iptables -t nat -A PREROUTING -m mac --mac-source %MAC -p tcp --dport 80 -j REDIRECT --to-port 200 iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 139 -j REJECT iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 200 -j ACCEPT iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 22 -j ACCEPT iptables -A INPUT -m mac --mac-source %MAC -p tcp --dport 900 -j ACCEPT EOT // i wszyskie kompy nie wpisane w baze dhcpnode_priv = iptables -t nat -A PREROUTING -p tcp -s %IP -j REDIRECT --to-port 200
w rc.htb w lini 90 dodalem cos takiego: DOWN_NORMAL_GENERAL=30 UP_NORMAL_GENERAL=5
zle mi generowal htb tzn rate dawal (np na p2p) 23926943E10kb :)
co by trzeba bylo zrobic jeszcze :)
1. Przepisac rc.firewall tak aby przy przekroczonym connlimit przkierowywal na jakas stronke z info o mozliwym wirusie lub zaagresywnym korzystaniu z lacza. 2. Z tego co pamietam kompy nie poieraja IP (dhcp) jezeli nie sa wpisane w baze, nalezalo by nad tym pomyslec. W sumie z tego co pamietam jak komp nie jest wpisany w baze wogule nie widzi serwera, ale da sie to ew zrobic w rc.fire_other.
Wywolywanie skryptow: lms-traffic-logiptables lms-traffic lms-mgc lms-makedhcpconf /etc/rc.d/firewall/rc.firewall start /etc/rc.d/firewall/rc.htb start /etc/rc.d/firewall/rc.fire_other killall -9 dhcpd dhcpd eth1 eth2 lms-traffic-logiptables (dlatego 2 razy poniewaz rc.firewall robie iptables -F)
uczestnicy (1)
-
Przemysław Broniszewski