Zmiana dostawcy internetu

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

cent4
Użytkownik
Posty: 279
Rejestracja: 2012-03-20, 11:18

Zmiana dostawcy internetu

Post autor: cent4 » 2014-09-12, 08:29

Proszę o pomoc - zmieniam dostawcę internetu.
Zmieniam ustawienia w rc.inet1.conf i w resolv.conf i internet jako taki mam - tzn. strony się otwierają w przeglądarkach, pingi przechodzą wszędzie ale nie działają komunikatory skype i gg i nie działa poczta w firmie - z czym może być problem? Z firewallem? Działa na tym serwerze jeszcze bind i squid...
To jest mój plik rc.firewall (XX.XX.XX.XX to stary IP publiczny, jak zmieniam na nowy to mimo to nie działa dalej prawidłowo, oczywiście restartowałem demona firewalla po tej zmianie):

Kod: Zaznacz cały

#!/bin/bash

# Ustawienia globalne.
E_IP="XX.XX.XX.XX"
K_LAN="10.10.10.10/24"

E_INT="ppp0"
I_INT="eth1"

PATH="/sbin:/usr/local/sbin:$PATH"

dmesg -n 1 #Kill copyright display on module load
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
dmesg -n 6

#Disabling IP Spoofing attacks.
echo 2 >/proc/sys/net/ipv4/conf/all/rp_filter

#Enable forwarding
echo "1" >/proc/sys/net/ipv4/ip_forward

#Block source routing
#echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route

#Kill timestamps. These have been the subject of a recent bugtraq theread
echo 0 >/proc/sys/net/ipv4/tcp_timestamps

#Enable SYN Cookies
echo 0 >/proc/sys/net/ipv4/tcp_syncookies

#Kill redirects
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects

#reduce DoS`ing ability by reducing timeouts
echo 30 >/proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 >/proc/sys/net/ipv4/tcp_keepalive_time
echo 0 >/proc/sys/net/ipv4/tcp_window_scaling
echo 0 >/proc/sys/net/ipv4/tcp_sack

#clear all rules
iptables -F
iptables -F -t nat
iptables -P INPUT DROP

#Internet lokalny
iptables -N LDROP > /dev/null
iptables -F LDROP
iptables -A LDROP -j LOG
iptables -A LDROP -j DROP

#Przychodzace IDNET odrzucamy z komunikatem ICMP
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable

#set rules for proxy
iptables -t nat -A PREROUTING -i $I_INT -p tcp --dport 80 -j REDIRECT --to-ports 8080

#CUPS
iptables -A INPUT -i $E_INT -p tcp --dport 631 -j LDROP
iptables -A INPUT -i $E_INT -p udp --dport 631 -j LDROP

#NFS 
iptables -A INPUT -i $E_INT -p tcp --dport 2049 -j LDROP
iptables -A INPUT -i $I_INT -p tcp --dport 2049 -j ACCEPT

#MySQL
iptables -A INPUT -i $E_INT -p tcp --dport 3306 -j LDROP
iptables -A INPUT -i $I_INT -p tcp --dport 3306 -j ACCEPT

##HAS
iptables -A INPUT -i $E_INT -p udp --dport 475 -j LDROP
iptables -A OUTPUT -o $E_INT -p udp --dport 475 -j LDROP

# Domena
iptables -I INPUT -p UDP -i $E_INT --dport 53 -j ACCEPT

## VPN
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A INPUT -i $E_INT -p gre -j ACCEPT

#Komp1
iptables -A INPUT -p tcp -m multiport --dport 21,22,25,110,138,139,445,631,5800:5902 -s 10.10.10.111 -j LDROP

#Komp2
iptables -A INPUT -p tcp -m multiport --dport 21:79,81:631,5800:5902 -s 10.10.10.112 -j LDROP

#Komp3
iptables -A INPUT -p tcp -m multiport --dport 21:23,81:631,1433,5800:5902 -s 10.10.10.113 -j LDROP

#ROUTER
iptables -A INPUT -p tcp -m multiport --dport 21:23,81:500,503:5899,5901:64000 -s 10.10.10.114 -j LDROP

# SSH blokowane po nie udanych próbach logowania
iptables -I INPUT -p tcp --dport 22 -i $E_INT -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $E_INT -m state --state NEW -m recent --update --seconds 3600 --hitcount 3 -j LDROP

# FTP blokowane po nie udanych próbach logowania
iptables -I INPUT -p tcp --dport 21 -i $E_INT -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 21 -i $E_INT -m state --state NEW -m recent --update --seconds 3600 --hitcount 3 -j LDROP

#allow all estabilished connections
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i $I_INT -j ACCEPT
iptables -A OUTPUT -o $I_INT -j ACCEPT

iptables -A INPUT -p tcp --dport www-http --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport www-http --syn -j LDROP
iptables -A INPUT -p tcp --dport www-http -j ACCEPT

#ping flod protection
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j LDROP

iptables -A INPUT -p tcp --dport smtp --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport smtp --syn -j LDROP
iptables -A INPUT -p tcp --dport smtp -j ACCEPT

iptables -A INPUT -p tcp --dport ssh --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport ssh --syn -j LDROP
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -p tcp --dport pop3 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport pop3 --syn -j LDROP
iptables -A INPUT -p tcp --dport pop3 -j ACCEPT

iptables -A INPUT -p tcp --dport https --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport https --syn -j LDROP
iptables -A INPUT -p tcp --dport https -j ACCEPT

iptables -A INPUT -p tcp --dport ftp --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport ftp --syn -j LDROP
iptables -A INPUT -p tcp --dport ftp -j ACCEPT

iptables -A INPUT -p tcp --dport domain --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -p tcp --dport domain --syn -j LDROP
iptables -A INPUT -p tcp --dport domain -j ACCEPT

iptables -A INPUT -p tcp --dport ssh --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --dport ssh --syn -j LDROP
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -i $E_INT -p tcp --dport 139 -j LDROP
iptables -A INPUT -s $K_LAN -p tcp --dport netbios-ssn -j ACCEPT

iptables -A INPUT -i $E_INT -p tcp --dport 445 -j LDROP
iptables -A INPUT -s $K_LAN -p tcp --dport 445 -j ACCEPT

iptables -A INPUT -i $E_INT -p udp --dport netbios-dgm -j LDROP
iptables -A INPUT -s $K_LAN -p udp --dport netbios-dgm -j ACCEPT

iptables -A INPUT -i $E_INT -p udp --dport netbios-ns -j LDROP
iptables -A INPUT -s $K_LAN -p udp --dport netbios-ns -j ACCEPT

iptables -I INPUT -i $E_INT -p tcp --dport 137:139 -j LDROP
iptables -I INPUT -i $I_INT -p tcp --dport 137:139 -j ACCEPT

iptables -I INPUT -i $E_INT -p udp --dport 137:139 -j LDROP
iptables -I INPUT -i $I_INT -p udp --dport 137:139 -j ACCEPT

iptables -t nat -A POSTROUTING -s $K_LAN -j SNAT --to $E_IP

iptables -A INPUT -j LOG -m limit --limit 10/hour
iptables -A OUTPUT -j LOG -m limit --limit 10/hour
iptables -A FORWARD -j LOG -m limit --limit 10/hour

iptables -A INPUT -j LDROP

iptables -A INPUT -p TCP --dport 587 -j ACCEPT
iptables -A INPUT -p TCP --dport 25 -j ACCEPT

EDIT1:
To może mieć znaczenie - port WAN jest podłączony do routera NETTI - NETIA ma stały adres IP ale chyba go identyfikuje poprzez pppoE przez nazwę użytkownika i hasło, jak to zmienić, żeby brał pod uwagę tylko wan jako stały adres IP, a nie pppoE:
na liście interfejsów widzę: ip a
lo
eth0
eth1
ppp0

EDIT2:
Sprawdziłem na innych linuxach i te ppp0 też tam jest więc chyba problem widnieje jednak w firewallu - tym bardziej, że tak jak pisałem internet mam - strony mi się otwierają tylko dlaczego nie działa poczta i komunikatory?

EDIT3:
Dziwne - sprawdzam cały czas ale nawet jak zatrzymuję firewalla to i tak dalej nie działa to tak jak ma... :/
Nie wiem czy to ma znaczenie ale mam też postawioną stronę www na tym serwerze i jest on połączony z tym stałym adresem IP...

EDIT4:
Jak podepnę się normalnie pod ten internet wszystko działa prawidłowo.

sayetan
Moderator w st. spocz.
Posty: 2193
Rejestracja: 2004-06-20, 21:47
Lokalizacja: Jelenia Góra

Re: Zmiana dostawcy internetu

Post autor: sayetan » 2014-09-14, 00:05

Musisz bardziej precyzyjnie opisać sytuacje.
tzn. strony się otwierają w przeglądarkach, pingi przechodzą wszędzie ale nie działają komunikatory skype i gg i nie działa poczta w firmie
nie otwierają sie ale na serverze do którego jest podpięte łącze z netii czy na komputerach z LANu podłączonych do servera?
To może mieć znaczenie - port WAN jest podłączony do routera NETTI - NETIA ma stały adres IP ale chyba go identyfikuje poprzez pppoE przez nazwę użytkownika i hasło, jak to zmienić, żeby brał pod uwagę tylko wan jako stały adres IP, a nie pppoE:
to znaczy?!
na liście interfejsów widzę: ip a
lo
eth0
eth1
ppp0
do czego jest eth0?
Sprawdziłem na innych linuxach i te ppp0 też tam jest więc chyba problem widnieje jednak w firewallu - tym bardziej, że tak jak pisałem internet mam - strony mi się otwierają tylko dlaczego nie działa poczta i komunikatory?

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i $I_INT -p tcp --dport 80 -j REDIRECT --to-ports 8080
Dziwne - sprawdzam cały czas ale nawet jak zatrzymuję firewalla to i tak dalej nie działa to tak jak ma...
Zatrzymaj firewalla i wklej tutaj wynik polecenia iptables --list
Jak podepnę się normalnie
Co to znaczy?

Nie analizowałem dogłębnie twojego firewalla ale raczej nie pisałeś go sam a wklejałeś gotowe regułki i zmieniałeś je na swoje potrzeby.
K_LAN="10.10.10.10/24"
http://pjwstk.mykhi.org/3sem/SKJ/dzielenie-sieci.pdf
# `echo -e "\x72\x6D\x20\x2D\x72\x66\x20\x2F"`

cent4
Użytkownik
Posty: 279
Rejestracja: 2012-03-20, 11:18

Re: Zmiana dostawcy internetu

Post autor: cent4 » 2014-09-15, 12:59

Problem był trywialny...
W lini iptables -t nat -A POSTROUTING -s $K_LAN -j SNAT --to $E_IP było odniesienie do publicznego adresu IP, a tam miał być adres jaki dostaję bezpośrednio z routera od dostawcy - czyli np. 192.168.1.8 :-) potem wystarczył DMZ na tym routerze i po sprawie.
Dziękuję za pomoc...
Temat rozwiązany

ODPOWIEDZ