Биллинговая система Nodeny
22 Ноября 2024, 12:39:45 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Какие строки добавить в rc.firewall для rsh?  (Прочитано 10307 раз)
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« : 23 Ноября 2009, 00:01:02 »

v50.28
Сервер с ядром 19x.x.x.1
и сателлитом  19x.x.x.2 (в разных местах города)

На сателлите:
#cat ipcad.conf
capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh enable at 19x.x.x.2;
rsh root@127.0.0.1 admin;
rsh root@19x.x.x.1 admin;
rsh ttl = 6;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;

# rsh localhost help
Builtin commands: и т.п. ответ есть
#rsh 19x.x.x.2 help
# - в консоли идет переход сразу на новую строку с приглашением

На основном сервере
# rsh 19x.x.x.2 help
долго нет ответа

Подскажите, пожалуйста, пример настройки rc.firewall , чтобы открыть удаленный доступ по rsh (или ccылку на раздел инстукции...)

Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #1 : 23 Ноября 2009, 00:43:26 »

rsh имеет тот же извращенный механизм как и активный фтп - принимат соединение на фиксированный порт, после чего создает на случайном порту и на нем идет обмен данными, так что прописывай:

Код:
${f} add 2070 allow ip from ip_сателлита to any
Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #2 : 23 Ноября 2009, 21:59:43 »

Добавил
на основном сервере
#ipfw add 2070 allow ip from ip_сателлита to any

на сателлите
#ipfw add 56 allow ip from ip_ядра to me dst-port 544

На основном сервере

# rsh ip_сателлита help
ip_сателлита: Operation timed out

Что я забыл сделать на сателлите или сделал не так?
Записан
Lexx
Постоялец
***

Карма: 10
Offline Offline

Сообщений: 143

204026123
Просмотр профиля WWW
« Ответ #3 : 23 Ноября 2009, 22:11:38 »

pf используется?
по умолчанию он фильтрует tcp опции
надо разрешить правилом с allow-opts
Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #4 : 23 Ноября 2009, 23:00:46 »

Цитировать
pf используется?
#cat pf.nat
set limit states 128000
set optimization aggressive
nat pass on rl0 from 10.0.0.0/8 to any -> rl0

Цитировать
надо разрешить правилом с allow-opts
Не силен я в этом. В какой файл allow-opts прописывается и, если можно, пример с рабочего конфига?  
« Последнее редактирование: 24 Ноября 2009, 09:18:03 от a_eugene » Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #5 : 24 Ноября 2009, 12:59:55 »

pf используется?
по умолчанию он фильтрует tcp опции
надо разрешить правилом с allow-opts
с етим я стобой бы поспорил, у меня пф работает как нат уже год и проблем з пропусканиям tcp опций вообще невидил, хоть нагрузка там приличная!
Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #6 : 24 Ноября 2009, 22:52:03 »

Так кто-нибудь приведет рабочий пример или это тайна?
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #7 : 24 Ноября 2009, 23:02:08 »

Так кто-нибудь приведет рабочий пример или это тайна?
держы
Код:
set optimization aggressive
nat pass on fxp0 from 172.16.0.0/20 to any -> fxp1
nat pass on fxp0 from 172.16.254.0/24 to any -> fxp1
Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #8 : 25 Ноября 2009, 09:44:22 »

Цитировать
set optimization aggressive
nat pass on fxp0 from 172.16.0.0/20 to any -> fxp1
nat pass on fxp0 from 172.16.254.0/24 to any -> fxp1

Так указано такое у меня...
Что еще может быть?
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #9 : 25 Ноября 2009, 16:58:42 »

деинсталируй, обнови фрю и порты и заново установи
Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #10 : 25 Ноября 2009, 18:18:26 »

Цитировать
деинсталируй, обнови фрю и порты и заново установи
Может мне еще и сервер перегрузить?  Подмигивающий
У кого более конкретные предложения есть?
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #11 : 25 Ноября 2009, 20:08:00 »

А тспдампом посмотреть куда и откуда коннектится рсш никак ?
Временно добавь allow ip from any to any в начало правил и посмотри, ТАК можешь приконектиться или нет ?
« Последнее редактирование: 27 Ноября 2009, 21:13:36 от Elisium » Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #12 : 27 Ноября 2009, 21:05:50 »

Посоветовали добавить в pf.conf строчку
pass proto tcp from IP to (self) port shell allow-opts

Кто пояснит, что она означает словами?
Я думаю что "пропускать все пакеты tcp с установленными опциями IP c адреса "IP" на меня (?) на порт shell (shell - это что?)
IP - это адрес сателлита
(self) - этой адрес сервера, на котором ядро
А что такое port shell allow-opts ?
В гугле нашел только ссылки на
http://www.opennet.ru/base/net/pf_faq.txt.html
http://www.opennet.ru/base/sec/pf_extended.txt.html
http://www.opennet.ru/base/net/pf_optimization.txt.html
но там ничего такого нет  В замешательстве
« Последнее редактирование: 27 Ноября 2009, 21:28:11 от a_eugene » Записан
a_eugene
NoDeny
Пользователь
*

Карма: 1
Offline Offline

Сообщений: 88


Просмотр профиля
« Ответ #13 : 28 Ноября 2009, 12:11:23 »

Получилось, все-таки, так:
pf.conf
pass proto tcp from IP_сателита to (self) port shell allow-opts

rc.firewall
${f} add 65 allow tcp from IP_сателлита to me 512-1023

Эти строчки добавил на обоих серверах, потом буду разбираться, какие лишние
Очень понятная информация на
 http://www.bog.pp.ru/work/rsh.html
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!