Биллинговая система Nodeny

Главная категория => Nodeny 50 => Тема начата: a_eugene от 23 Ноября 2009, 00:01:02



Название: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 23 Ноября 2009, 00:01:02
v50.28
Сервер с ядром 19x.x.x.1
и сателлитом  19x.x.x.2 (в разных местах города)

На сателлите:
#cat ipcad.conf
capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 19x.x.x.2;
rsh root@127.0.0.1 admin;
rsh root@19x.x.x.1 admin;
rsh ttl = 6;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;

# rsh localhost help
Builtin commands: и т.п. ответ есть
#rsh 19x.x.x.2 help
# - в консоли идет переход сразу на новую строку с приглашением

На основном сервере
# rsh 19x.x.x.2 help
долго нет ответа

Подскажите, пожалуйста, пример настройки rc.firewall , чтобы открыть удаленный доступ по rsh (или ccылку на раздел инстукции...)



Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: Efendy от 23 Ноября 2009, 00:43:26
rsh имеет тот же извращенный механизм как и активный фтп - принимат соединение на фиксированный порт, после чего создает на случайном порту и на нем идет обмен данными, так что прописывай:

Код:
${f} add 2070 allow ip from ip_сателлита to any


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 23 Ноября 2009, 21:59:43
Добавил
на основном сервере
#ipfw add 2070 allow ip from ip_сателлита to any

на сателлите
#ipfw add 56 allow ip from ip_ядра to me dst-port 544

На основном сервере

# rsh ip_сателлита help
ip_сателлита: Operation timed out

Что я забыл сделать на сателлите или сделал не так?


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: Lexx от 23 Ноября 2009, 22:11:38
pf используется?
по умолчанию он фильтрует tcp опции
надо разрешить правилом с allow-opts


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 23 Ноября 2009, 23:00:46
Цитировать
pf используется?
#cat pf.nat
set limit states 128000
set optimization aggressive
nat pass on rl0 from 10.0.0.0/8 to any -> rl0

Цитировать
надо разрешить правилом с allow-opts
Не силен я в этом. В какой файл allow-opts прописывается и, если можно, пример с рабочего конфига?  


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: VitalVas от 24 Ноября 2009, 12:59:55
pf используется?
по умолчанию он фильтрует tcp опции
надо разрешить правилом с allow-opts
с етим я стобой бы поспорил, у меня пф работает как нат уже год и проблем з пропусканиям tcp опций вообще невидил, хоть нагрузка там приличная!


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 24 Ноября 2009, 22:52:03
Так кто-нибудь приведет рабочий пример или это тайна?


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: VitalVas от 24 Ноября 2009, 23:02:08
Так кто-нибудь приведет рабочий пример или это тайна?
держы
Код:
set optimization aggressive
nat pass on fxp0 from 172.16.0.0/20 to any -> fxp1
nat pass on fxp0 from 172.16.254.0/24 to any -> fxp1


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 25 Ноября 2009, 09:44:22
Цитировать
set optimization aggressive
nat pass on fxp0 from 172.16.0.0/20 to any -> fxp1
nat pass on fxp0 from 172.16.254.0/24 to any -> fxp1

Так указано такое у меня...
Что еще может быть?


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: VitalVas от 25 Ноября 2009, 16:58:42
деинсталируй, обнови фрю и порты и заново установи


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 25 Ноября 2009, 18:18:26
Цитировать
деинсталируй, обнови фрю и порты и заново установи
Может мне еще и сервер перегрузить?  ;)
У кого более конкретные предложения есть?


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: Elisium от 25 Ноября 2009, 20:08:00
А тспдампом посмотреть куда и откуда коннектится рсш никак ?
Временно добавь allow ip from any to any в начало правил и посмотри, ТАК можешь приконектиться или нет ?


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 27 Ноября 2009, 21:05:50
Посоветовали добавить в pf.conf строчку
pass proto tcp from IP to (self) port shell allow-opts

Кто пояснит, что она означает словами?
Я думаю что "пропускать все пакеты tcp с установленными опциями IP c адреса "IP" на меня (?) на порт shell (shell - это что?)
IP - это адрес сателлита
(self) - этой адрес сервера, на котором ядро
А что такое port shell allow-opts ?
В гугле нашел только ссылки на
http://www.opennet.ru/base/net/pf_faq.txt.html
http://www.opennet.ru/base/sec/pf_extended.txt.html
http://www.opennet.ru/base/net/pf_optimization.txt.html
но там ничего такого нет  :-\


Название: Re: Какие строки добавить в rc.firewall для rsh?
Отправлено: a_eugene от 28 Ноября 2009, 12:11:23
Получилось, все-таки, так:
pf.conf
pass proto tcp from IP_сателита to (self) port shell allow-opts

rc.firewall
${f} add 65 allow tcp from IP_сателлита to me 512-1023

Эти строчки добавил на обоих серверах, потом буду разбираться, какие лишние
Очень понятная информация на
 http://www.bog.pp.ru/work/rsh.html