Re: Rotte, Iptables e shorewall

[fran...@modula.net]

Il 02/03/2016 13:40, Mario Vittorio Guenzi ha scritto:

Buongiorno a tutti,
ho una situazione di questo tipo in azienda, 2 macchine debian 7.x che
fanno da firewall gateway ognuna su una linea diversa(ovviamente).
Le 2 macchine hanno IP interno rispettivamente
perseo 192.168.2.240
sangiorgio 192.168.2.237
sulle due gira heartbeat che alza il 192.168.2.241 che e' il gateway
aziendale per Internet, la pacchina Master e' perseo, e sangiorgio
interviene solo se dall'altra parte non c'e' linea.
Abbiamo un certo numero di VPN che entrano/escono/ballano/e quant'altro,
per mia comodita' ho deciso che il traffico VPN deve passare tutto su
sangiorgio (macchina slave).
Sino ad oggi gli script di firewall li ho fatti io a manina ma, tira,
molla, allunga, accorcia, gira e salta, son diventati dei veri mostri al
cui confronto Godzilla e' un simpatico peluche.
Vorrei passare a shorewall e avere una gestione un po piu' "semplice"
Attualmente ottengo il risultato voluto con un "pacchetto" di regole
come questo:
  $IPT -A INPUT -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED \
-p tcp --dport 775 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -i $EXTIF -d $EXTIP --dport 775 -j DNAT
--to-destination $CHIMERA:775
$IPT -A FORWARD -i $EXTIF -p tcp --dport 775 -o $INTIF -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INTIF -j SNAT --to $INTIP

l'ultima regola in particolare e' quella che mi fa si che tutto il
traffico vpn passi da dove voglio io
Come faccio una cosa del genere su shorewall (ammesso si possa fare)?
Grazie in anticipo.



Shorewall ha regole sia per dnat che per snat.

http://shorewall.net/NAT.htm

Luciano

Re: perchè non riesco ad installare debian su HDD 4TB?

[Gollum1]

Il 17 febbraio 2016 09:59, Simone Rossetto  ha scritto:
> Ciao
>
> Il giorno 16 febbraio 2016 19:03, Gollum1  ha
> scritto:
>>
>> A quanto pare grub si installa da solo in quella posizione fatta
>> all'inizio del disco, ma il disco non fa comunque il boot...
>
>
> Se dalla macchina virtuale lo stesso disco parte e dal computer reale no
> potrebbe essere la scheda madre che non supporta pienamente i dischi da te
> utilizzati.
>
> Potresti mandarmi il partizionamento del disco e di LVM visti da una live
> sul compter fisico?
>
> sgdisk -l /dev/sdX
> lvdisplay
>
> E anche il file /etc/fstab presente sul disco incriminato? Grazie.
> Vedo se mi viene in mente qualcosa...

alla fine pare che sia la scheda sata-usb che fa cagare... ho fatto
un'installazione su macchina reale, tutto è andato a buon fine, come
al solito, poi al riavvio, come al solito non viene neppure visto il
disco...

visto che sono al lavoro ed avevo sottomano un kit per collegare
dischi sata alle porte usb, ho estratto il disco dal contenitore, e
l'ho collegato con questo kit, senza nulla fare, il sistema è
partito... quindi in qualche modo, la vecchia interfaccia è visibile
per macchine linux già attive (che evidentemente saltano il bios) e
quindi riesce ad installare il sistema, ma non è visibile dai vari
bios della varie macchine che ho utilizzato per le prove...
interfaccia di m

e questo spiega anche perché funziona con la macchina virtuale,
l'accesso fisico è fatto da una macchina linux già attiva...

Tanto rumore per nulla...

ora uso questo HDD per fare i backup dei vari computer che ho in giro
(tra lavoro e casa, windows al lavoro e linux a casa) e poi reinstallo
le mie macchinucce linux... così dopo un po' di anni faccio una bella
pulizia di tutto... (chissà che questa volta non riesca ad usare il
sistema uefi sull'asus di casa... :P )

BUona serata a tutti...  anche a me (considerando che torno alle 22.00
a casa dal lavoro, e ci rientro domani mattina alle 6.00)

Byez
-- 
Gollum1 - http://www.gollumone.it
Tesoro, dov'é il mio teoro...

Re: route

[Alessandro Baggi]

Il 03/03/2016 21:36, Pol Hallen ha scritto:

'sera a tutti :)

il server ha 8 interfacce di rete e diverse macchine virtuali. Su una VM
(eth6 - rete 192.168.50.0) c'è una vpn (client) connessa alla tap0 del
server (10.10.20.0/24). Sempre su questa VM la sua interfaccia di rete
(192.168.1.0/24) ha come gw 192.168.1.1 e da li internet.

come instrado i client connessi alla vpn su quella rete?

grazie per l'aiuto!

Pol



Ciao Pol,
non ho capito bene.
Te vuoi che i client connessi alla vpn vedano la 192.168.1.0/24?

Non avendo capito bene ti espongo un problema di diverso tempo fa. Avevo 
un utente che doveva connettersi dall'esterno. I servizi si trovavano su 
diverse macchine virtuali, virtualizzate su un singolo server. Creai 
un'altra vm per la vpn e installai OpenVPN con TUN (routed vpn anche se 
il server non era un nodo/router della rete). Una volta che il client 
remoto si connetteva, riceveva le rotte per la rete interna. Il client 
riusciva a mandare i pacchetti ma non riusciva a riceverli perche le 
altre vm non sapevano a chi rimandare i pacchetti, in quanto il 
pacchetto arrivava con ip della vpn (in questo caso il client 
10.10.20.5) e non locale (192.168.1.x) . Ho inserito una regola di nat 
sul server vpn, dove le comunicazione generate dal client (supponiamo 
10.10.20.5) per la rete 192.168.1.0/24 dovevano essere translate con 
l'indirizzo del server(su rete 192.168.1.x) . Fatto questo il nat 
permetteva alle macchine di rimandare il pacchetto al server vpn (su 
rete locale) che a sua volta ritraslava i pacchetti e li routava 
direttamente al client.


I server (VM) erano debian mentre la vpn era su OpenBSD con qualche 
regola di pf per il nat e filtraggio. Ovviamente non routavo tutta la 
rete ma solo alcune delle VM e solo i servizi a cui doveva avere accesso.


Inoltre la connessione era 1:N e non N:N, quindi il problema del 
conflitto degli indirizzamenti tra reti non si era presentato.


Spero di esserti stato utile.

Alessandro.

Re: Nfs performance

[Alessandro]

On 04/03/2016 20:42, Alessandro wrote:

On 03/03/2016 21:51, Giuseppe Sacco wrote:

Ciao Alessandro,



La situazione si fa interessante, per scrupolo ho voluto fare lo stesso 
test localmente cioè creando un file nella /tmp e poi spostando e usando 
diversi tool e il risultato è lo stesso..


Pensando il problema fosse il PI ho provato con il mio pc e il risultato 
non cambia.


Ergo, penso ci sia qualche problema di disco

Cosa ne pensate? http://dpaste.com/3H6TX7H


--
https://www.miriodev.net

Re: Google chrome

[gerlos]

Il 05/Mar/2016 01:30, "Vincenzo Villa"  ha
scritto:
>
> Il giorno ven, 04/03/2016 alle 10.34 +0100, vari hanno scritto:
>
> > Chromium non è un’opzione percorribile? Come mai? (mi sfugge qualcosa?)
> Mi serve flash "vero", non gnash o altro. Spero ancora per poco.
> In chrome è "embedded" e aggiornato (come permesso ad un colabrodo...),
> in chromium no.

Veramente con Chromium puoi usare il plugin pepper, disponibile nei repo,
che è esattamente quello che è incluso in Chrome:
https://wiki.debian.org/PepperFlashPlayer

>
> PS: penso avrete notato come TUTTI questi problemi dipendono sa SW
> gratuito e... proprietario. Un caso?
>

Non so... con il software proprietario E a pagamento questi problemi di
solito vengono risolti alla prima richiesta di assistenza tecnica... ma con
le cose gratis, cosa possiamo pretendere?

Saluti,
Gerlos