Re: [Techinfo] shorewall nemértem

2018-03-26 bef zés Attila Kovács 

Szia!

A net most már megy, mindkét átjárón, már csak a VPN-t nem tudtam eddig 
megoldani, hogy működjön. A régi tűzfallal működik, így valami beállítás 
kellene még. Főleg, hogy két átjáró van. Doksit ezzel kapcsolatban is 
olvastam, de még nem jöttem rá a megoldásra.


Attila


2018-03-22 17:11 keltezéssel, Zoltán Gerendás írta:

Szia!

2018. március 22. 15:17 Attila Kovács írta, >:


Sziasztok!

Van valaki, aki ért a shorewall-hoz?
Egyszer már működött a dolog. Sőt. Elég sok minden működött, de
most meg semmi. Valamit tuti elállítottam, de nem jövök rá, hogy
mit, pedig már mindent visszaállítottam. Valójában, csak majdnem,
mert egy valaminek még lennie kell, hiszen nem működik.

A konfig fájlok tartalma sokat segítene.

pl.: providers, route_rules, 



___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/



--
---
*Kovács Attila*
/rendszergazda/
*Fényi Gyula Jezsuita Gimnázium és Kollégium*
3529 Miskolc
Fényi Gyula tér. 2-12.
Tel.: +36 46/560-458, +36 46/560-459 /113
E-mail: sysad...@jezsu.hu 
*/Kérem, gondoljon a környezetére, mielőtt kinyomtatja ezt az e-mail-t!/**/
Please consider the environment before printing this e-mail/*
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] shorewall nemértem

2018-03-22 bef zés Kovács , Attila 
Szia!

Tudtam, hogy ez nem lesz elég, csak nem akartam hirtelen litániát írni...

A konkrétumok:

Kezdeném az interfaces fájlal, mert már ebben sem vagyok biztos, hogy jó:
#ZONEINTERFACEOPTIONS
guest  eth0
tcpflags,nosmurfs,routefilter,logmartians
loc  eth1
dhcp,tcpflags,nosmurfs,routefilter,logmartians
net  eth2
tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0
net  eth3
tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0
vpn tun0
tcpflags,nosmurfs,routefilter,logmartians

Az eth0 jelenleg down-ban van, mert az egy későbbi terv része lenne.
Semmilyen fogalom nincs rajta, bár a roules fájlban már benne vannak a
majdan szükséges "engedélyek".

A providers:
#NAMENUMBERMARKDUPLICATEINTERFACEGATEWAY
OPTIONSCOPY
SULINET1  1 -   eth2
 IP_1 track,balance
EGYETEM 2  2  -  eth3
  IP_2track,balance

Az rtrules fájl:
#SOURCEDESTPROVIDERPRIORITYMASK
-   0.0.0.0/0 main1000
Bár ennek jelenleg semmi értelme, mivel a providers-ben nem duplikálom az
interfaces-eket.

route_rules fájlom nincs.

A shorewall.conf érintett részei, mivel  bizonyos variációknál itt is
állítani kell ezt-azt:
track_providers=yes
use_default_rt=yes
Itt jelenleg az egyetlen megváltoztatott érték a default-hoz képest az ipv6
letiltása.

Elméletileg nem lényeges, de a korábbi (működő) config-ban, az iptables és
az ip elérési útja be volt írva kézzel. Most nincs, bár ez elméletileg nem
lenne lényeges.

Remélem, hogy nem hagytam ki semmi lényegeset. Ha mégis, szólj és írom.

És előre is köszönöm a segítséget!

Üdv:
Attila


2018. március 22. 17:11 Zoltán Gerendás írta, :

> Szia!
>
> 2018. március 22. 15:17 Attila Kovács írta, :
>
>> Sziasztok!
>>
>> Van valaki, aki ért a shorewall-hoz?
>> Egyszer már működött a dolog. Sőt. Elég sok minden működött, de most meg
>> semmi. Valamit tuti elállítottam, de nem jövök rá, hogy mit, pedig már
>> mindent visszaállítottam. Valójában, csak majdnem, mert egy valaminek még
>> lennie kell, hiszen nem működik.
>>
>> A konfig fájlok tartalma sokat segítene.
>
> pl.: providers, route_rules, 
>
>
> ___
> Techinfo mailing list
> Techinfo@lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>


-- 
---
*Kovács Attila*
*rendszergazda*
*Fényi Gyula Jezsuita Gimnázium és Kollégium*
3529 Miskolc
Fényi Gyula tér. 2-12.
Tel.: +36 46/560-458 <+36%2046%20560%20458>, +36 46/560-459 /113
E-mail: sysad...@jezsu.hu
*Kérem, gondoljon a környezetére, mielőtt kinyomtatja ezt az e-mail-t!*
* Please consider the environment before printing this e-mail*
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

Re: [Techinfo] shorewall nemértem

2018-03-22 bef zés Zoltán Gerendás 
Szia!

2018. március 22. 15:17 Attila Kovács írta, :

> Sziasztok!
>
> Van valaki, aki ért a shorewall-hoz?
> Egyszer már működött a dolog. Sőt. Elég sok minden működött, de most meg
> semmi. Valamit tuti elállítottam, de nem jövök rá, hogy mit, pedig már
> mindent visszaállítottam. Valójában, csak majdnem, mert egy valaminek még
> lennie kell, hiszen nem működik.
>
> A konfig fájlok tartalma sokat segítene.

pl.: providers, route_rules, 
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

[Techinfo] shorewall nemértem

2018-03-22 bef zés Attila Kovács 

Sziasztok!

Van valaki, aki ért a shorewall-hoz?
Egyszer már működött a dolog. Sőt. Elég sok minden működött, de most meg 
semmi. Valamit tuti elállítottam, de nem jövök rá, hogy mit, pedig már 
mindent visszaállítottam. Valójában, csak majdnem, mert egy valaminek 
még lennie kell, hiszen nem működik.


Szépen működött a config. Lehetett netezni. Még be is tudtam vpn-ezni 
telefonról, mobilneten keresztül. Azt az elvet követtem, hogy csak az a 
forgalom megy ki, amit kiengedek. De ezek az alap dolgok működtek. Még 
bentről is tudtak vpn-ezni másik helyre.
Aztán jött a következő szint. Mivel két internet vonalunk van, jött a 
load-balanced, failover próbálgatás. Még ez is működött. Csak el kezdtem 
több variációt is kipróbálni, hogy melyik is kell nekünk. A vége már az 
lett, hogy annyira elosztottam a két vonal között a terhelést, hogy a 
vpn azért nem ment, mert az egyiken jött be, és a másikon akart kimenni.

Ez az állapot persze nem jó. Így vissza akartam térni az előző állapotra.

Most az a helyzet, hogy semmi nem megy. Még egy sima web forgalom sem. A 
terheléselosztáshoz kapcsolódó fájlokat már mind kiszedtem, 
kikommenteztem, de semmi.
Lehet, hogy az interfaces fájlban nem jól állítottam vissza valamit, nem 
tudom. Sajnos nem jegyeztem fel a különböző variációknak a configját. De 
olvastam a doksit, a terhelés elosztás próbálása előtti jegyzeteimet, de 
még egy sima netezős állapotot se tudok elérni és nem értem miért.


Tippen szerint tuti, hogy valami routolási gond lehet.
Alap esetben az átjáró routing listája így néz ki:

default via ISP1_IP dev eth3  scope link
default via ISP2_IP dev eth2  proto static  metric 1024
xxx.xxx.xxx.xxx/xx dev eth1  scope link
xxx.xxx.xxx.xxx/xx via xxx.xxx.xxx.xxx dev tun0
xxx.xxx.xxx.xxx dev tun0  proto kernel  scope link  src xxx.xxx.xxx.xxx
ISP1_hálózati_cím/xx dev eth3  proto kernel  scope link  src ISP1_IP
ISP1_GW dev eth3  scope link  src ISP1_IP
ISP2_hálózati_cím/xx dev eth2  proto kernel  scope link  src ISP2_IP
ISP2_GW dev eth2  scope link  src ISP2_IP

Ha a terheléselosztásos configot kikapcsolom és úgy próbálom ki a 
shorewall configot, akkor nem változik az  a routing tábla, de net mégsincs.


Ha bekapcsolom a terheléselosztást, akkor az alábbiak szerint változik a 
routing tábla:


default
    nexthop via ISP2_IP  dev eth2 weight 1
    nexthop via ISP1_IP  dev eth3 weight 1
default via ISP2_IP dev eth2  proto static  metric 1024
xxx.xxx.xxx.xxx/xx dev eth1  scope link
xxx.xxx.xxx.xxx/xx via xxx.xxx.xxx.xxx dev tun0
xxx.xxx.xxx.xxx dev tun0  proto kernel  scope link  src xxx.xxx.xxx.xxx
ISP1_hálózati_cím/xx dev eth3  proto kernel  scope link  src ISP1_IP
ISP1_GW dev eth3  scope link  src ISP1_IP
ISP2_hálózati_cím/xx dev eth2  proto kernel  scope link  src ISP2_IP
ISP2_GW dev eth2  scope link  src ISP2_IP

A providers, rtrules fájlok érintettek a terheléselosztás kapcsán.

De igazából azt nem értem, hogy egy sima web-et miért nem tudok megnyitni?

Az os egy Debian jessie, a shorewall pedig 4.6.4.3.

Ötlet? Tanács? Bármi...

Üdv:
Attila

--
Kovács Attila
sysadmin
Fényi Gyula Jezsuita Gimnázium és Kollégium
Miskolc

___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/