顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - 潛水夫

頁: [1]
1
Network 討論版 / PPTPD + Radius的問題
« 於: 2007-01-05 08:52 »
不好意思, 相關搜尋都已看過, 但似乎沒有把PPTPD的VPN用radius來做認證的範例.

現在的問是在於
VPN(PPTPD)可正常運作, 使用chap-secerts
Radius也可正常運作, 使用ldap來做認證.

但是將兩者結合, 就會有問題.
有使用plugin radius.so

似乎是在radiusclient部份出問題, 但始終抓不到毛病.
錯誤訊息
VPN-Server pppd[10405]: rc_send_server: bind: localhost: Permission denied

實在找不到相關資訊.

尚請諸位先進指教.

2
對不起, 我錯了, 請原諒我, 我沒有說清楚.
1.ADSL也是跟Hinet申請的.
2.這四家公司的domainname都不一樣, 這樣設定, 可以嗎?

看過反解檔的內容
引用
100     IN      PTR     win2k.vbird.tw.
200     IN      PTR     winxp.vbird.tw.


這個意思不是講
IP 100指到win2K.vbird.tw
IP 200指到winxp.vbird.tw
這裡, IP不同呀.

可以這樣下嗎??
引用
100     IN      PTR     win2k.vbird.tw.
100     IN      PTR     winxp.vbird.tw.



越看越糊塗了. :(

3
Linux 討論版 / 請問NAT可以使用幾個真實IP?
« 於: 2005-10-05 16:52 »
你的不用Port Mapping, 那就直接將送到特定IP的封包, 直接轉給內部某台Server就可以了.
不過, 在用eth0:0這種東西時, 之前碰過一個問題, 應該是我沒有設定好.
就是, 封包出去時, 全部會變成是eth0所設的IP, 而不會套用eth0:0這組IP.

要怎麼下rule, 呵呵呵, 問倒我了, 我不會"創造", 只會抄襲.
這個, 可能就真的需要學長前輩來幫忙了.


小的告退.

4
對不起, 不是很瞭解.

反解的意思, 不是經由IP來查網域主機名稱嗎?
若是都設上去, 要怎麼知道, 這個IP會去對應到那個主機名稱呢?


想到頭快爆炸了.
尚請指點.

謝謝!!!!

5
Linux 討論版 / 請問NAT可以使用幾個真實IP?
« 於: 2005-10-05 16:09 »
這個問題, 不用學長前輩們回答, 小的我來效勞就可以了.

1. NAT基本上就有"簡單防火牆"的功能了, 首先, 建議你將你的Server都"藏"在NAT的後方, 對Server來講, 會"比較"安全一點.
2. NAT可以做到Port Mapping的功能, 所以, 對外, 只需要一個真實的IP, 內部可以依照IP及Port的不同來對應.

以下是建議的做法 :
NAT Server上
eth0 X.X.X.130
eth1 192.168.0.254
加上四條mapping的rule
X.X.X.130:80 192.168.0.A  (WEB Server)
X.X.X.130:21 192.168.0.B  ( FTP Server)
X.X.X.130:??(抱歉, 有點懶) 192.168.0.C  (ASP Server)
X.X.X.130:??(理由同上, sorry) 192.168.0.D  (ERP Server)

基本上, 這樣四台Server都藏在NAT後面了, 同時(可能)也只要一組真實IP.

希望這樣講, 沒有錯.

6
對不起, 剛好碰到類似的問題, 但是複雜了一些, 尚請學長前輩們指教.

我朋友申請了一條專線, 有三組固定IP可使用, 但是有四家公司掛在這條線路上.
之前設定的方式, 是將四家公司全部用一個IP來代表, 然後在Sendmail上面設定, 來區分四家公司的信件.
最近就碰到了PCHome退信的問題, 我也知道應該是反解的出了問題(之前一直沒有設反解).
不知道在若是仍然使用原來的環境, 架構, 是否能夠解決反解的問題.


謝謝!!!!

7
酷!學園 精華區 / 安裝及架設VPN-PPTP
« 於: 2003-10-31 10:30 »
謝謝zoob大大的熱心協助, VPN Server已上線將近一個月了(真不好意思, 這個一架好後, 又被丟別的工作在忙, 所以現在才來答謝), 其中雖還有一些小問題, 但有錯誤嚐試的經驗後, 已解決部份, 待有時間, 再把安裝步驟及自己的錯誤觀念, 想法post上來.

8
酷!學園 精華區 / 安裝及架設VPN-PPTP
« 於: 2003-10-03 15:36 »
我試著以手動的方式加入, 但是仍然無法ping到其他的機器, 不知是何原因, 能否再指導一下.
謝謝!!!!

9
酷!學園 精華區 / 安裝及架設VPN-PPTP
« 於: 2003-10-02 21:53 »
謝謝!!!!我試試看.

10
酷!學園 精華區 / 安裝及架設VPN-PPTP
« 於: 2003-10-02 08:03 »
謝謝你的指導!!!!不好意思, 再請問一下, 那要如何把"proxy arp"加入呢??我的操作步驟都是按照上面做的, 連設定檔的內容都一樣.
還是有什麼額外的手續及設定, 能否麻煩再指點一下.
謝謝!!!!

11
酷!學園 精華區 / 安裝及架設VPN-PPTP
« 於: 2003-10-01 17:11 »
請問一下, 當我在試做時, 一切順利, 但在測試時, 有兩個問題.
1.從messages中看到, 當client連線進來時, 會有"Cannot determine ethernet address for proxy ARP"的訊息, 不知是否正常??
2.當client連線進去後, 可以ping到另一張網卡的IP, 但是和此張網卡同網段的IP卻都ping不到, 不知是什麼地方有所疏漏??
我目前只在試未加密的方式, 所採取的步驟和上述一樣, 尚望先進能提供解答, 或者是可供研究的地方, 謝謝!!!!

12
Linux 討論版 / 一個奇怪的問題??!!
« 於: 2003-06-10 15:34 »
公司的mailserver run了一陣子了, 都還算蠻正常的, 直到日前, 某個單位一直無法把信寄過來, 他們的退信中有著一段訊息
421 service not available

找了許久, 不知問題在那, 除了他們之外, 其他人都可以正常的將信奇到公司來, 真奇怪.

不知有誰知道, 這是什麼問題??

防火牆及mail server本身都沒有去做擋信的動作.

謝謝!!!!
 :(

13
對不起, 請問一下, 關於"IDS Policy Manager"的設定方式, 我看了一下, 若是照你方式做, 好像並不能和server做連繫, 不知是否能夠詳細解說一下.
謝謝!!!!
因為在原網站上, 也找不到相關設定的資料, 若是能夠指引, 何處有資料可研究, 也是可以的.
謝謝!!!!

14
eth0 : 3.4.5.6
eth0:1 : 3.4.5.7
eth0:2 : 3.4.5.8
我登記的Web Server IP是3.4.5.8, 而我不希望內部人員上網時被偽裝的IP和Web Server一樣, 請問一下你會如何設定?

15
小金兄:
聽我一句建言, 當你有問題時, 你來發問, 有人來解時, 試著用解題者的角度來想問題, 而不是局限在自己所想的那個範圍內, 如此才不容易"雞同鴨講", 也不致讓解題者覺得自己的好心白費了.
同時因為是用文字表達, 所以有些時候, 能不省幾個字, 就不要省, 如你的"不必", 我想你是想表達"沒有那麼嚴重, 不用道歉", 但你一個"不必", 我看了都覺得怪怪的, 所以自己以後要小心自己的文字表達.

16
其實從實做中可以得到一些平常想不到的東西.
我所謂的"代表號"是指, 是指當使用MASQUERADE的方式來做偽裝的話, 外面看到的IP, 當一張網路卡上有不止一組IP時(像我前面所提的, eth0;eth0:1;eth0:2, 這樣就有三組IP了), 若是使用MASQUERADE時, 外面看到的連線IP是"eth0"的, 但若使用上SNAT時, 就可以指定是"eth0:1"或"eth0:2"的IP了, 這是我實際實作時所得出的結果.
像你所提的, 我可沒用到eth2喔!!是eth0:2, 所以你下的那兩條規則, 上面那個, 外面人看到的是"eth0"的IP, 而下面的那一條, 外面人看到的是"eth0:2"的IP.

17
小金:
其實iptables沒有那麼複雜(或許有, 只是我不知道), 它只在做一種事情, 檢查封包(很多東西, 但只針對你的問題)的(sa,sp,da,dp), 及更換封包內的address及port.
再畫一次示意圖好了:

Internet --------- iptables ------ router ------ 內部網路
Internet : 1
iptables : 2
router : 3
內部網路 : 4

當封包的行進路程是 1 -> 2 -> 3 -> 4 的話, 要對封包做動作是在router之前, 所以用PREROUTING來處理(以路程來看, 是在router之前).
而當封包的行進路程是 4 -> 3 -> 2 -> 1 時, 要對封包做動作是在router之後, 所以用POSTROUTING來處理(以路程來看, 是在router之後).

所以iptables和router的工作可以說是完全沒有關係.

而PREROUTING, 你可以看成是一種mapping的動作, 如之前所提, 你對外公佈的Web Server IP 是2.2.3.4, 可是你真正的Web Server是藏在內部網路, 且IP是9.8.7.6, PREROUTING就會把da的內容換掉, 好讓封包可以到達真正的Web Server.
而POSTROUTING, 你可以看成是偽裝(分指定和預設), 假設你對外的合法IP有三個, 而內部網路你又分成三段, 你想讓第一段在出去時大家看到的是第一個合法IP, 而第二段則是第二個IP, 第三段是第三個IP, 就要利用POSTROUTING及配合SNAT來達成, 但是如果你的真實IP只有一個, 或是不想指定的話, 就不需要SNAT, 只需要MASQUERADE就可以了.

說了一堆, 試著從這個方向去想, 或許會比較容易了解.

PS : 上面那個 iptables ------ router 你要把它們看成是NAT Server中的兩個Services, 而不是各自獨立的兩台機器.

18
我想那個POST及PRE指的應該是對我所講的那個Router而言, POSTROUTING是指封包出去, 透過Router, 是在Router之後做處理, 而封包進來, 會先做處理再透過Router, 所以是PREROUTING.
試試看這樣想, 能不能弄通!!!!

19
我再來插一下嘴好了.
通常POSTROUTING是在封包出去時候用, 而PREROUTING則是用在封包進來的時候用.
再用之前所舉的例子, 再加一點料:
遠端PC : 1.2.3.4
NAT對外 : 3.4.5.6(eth0)
NAT對外 : 3.4.5.7(eth0:1)
NAT對外 : 3.4.5.8(eth0:2)(通常去申請Hinet固接ADSL, 會給八個IP, 用三個做代表)
NAT對內 : 9.8.7.6
NAT內PC : 9.8.7.5
NAT內Web Server : 9.8.7.3 (DNS登記的是, 3.4.5.8)

當遠端PC要連到Web Server時, 其封包如下:
1.2.3.4|3.4.5.8
當NAT接到之後, 因為PREROUTING有設定(一定會有), 所以把封包改成
1.2.3.4|9.8.7.3
而傳到真正的Web Server上, 而當Web Server要回應時, 其封包如下:
9.8.7.3|1.2.3.4
但這時一定會有一條POSTROUTING來處理, 且會配合SNAT而不會用MASQUERADE, 如此封包才會改為:
3.4.5.8|1.2.3.4
如果是配合MASQUERADE的話, 封包會變成
3.4.5.6|1.2.3.4
因為3.4.5.6是"代表號"

這麼講好了, 從Internet從入NAT到你的私人網路用以下的示意圖來表示:
Internet ----- NAT ------- 私人網路
而在NAT中有兩樣東西, 偽裝IP及Router, 示意圖便變成如下
Internet ----- 偽裝IP --- Router -----私人網路
所以不論是出去或是進來, 都要經過偽裝IP的處理, 但要怎麼讓它知道如何處理呢??當然就是利用POST及PRE囉!!!!所以一個負責進來, 一個負責出去囉!!!!

說得有點亂, 不知道看得懂嗎????

不要再挑我毛病了, 就針對小金的問題好嗎????

20
Network 討論版 / NAT 的迷思
« 於: 2002-10-30 11:32 »
netman:
謝謝指教, 因為我不是很在乎這些名詞, 只是很單純的想, 真實IP對應的不就是假IP, 或許這在名詞統一上會有問題, 以後會注意的(英文不是很好, 背不起來那個單字).

我猜想一下你那個圖的"動作", 一個遠端電腦, 連線到你的Web 主機, 但這台Web主機的IP僅是對外的IP, 真正的Web Server是在NAT內的一台機器, 對嗎??
若對!!我以以下例子再來說明一下.
遠端主機IP : 1.2.3.4
對外Web IP : 2.2.3.4
NAT上對內IP : 3.4.5.6
真正Web IP : 3.4.5.7
網路封包內容我就不講了, 只大概以Dest Address|Source Address這個方式來表示.
當遠端主機發出一個需求, 其封包後 : 2.2.3.4|1.2.3.4
當NAT收到後, 會把封包做更動如後 : 3.4.5.7|1.2.3.4 往網內丟到真正的Web Server
當Web Server做出回應, 會回個封包給遠端主機, 其封包如後 : 1.2.3.4|3.4.5.7
而這個封包在經過NAT時, 會把這個封包做處理, 結果如後 : 1.2.3.4|2.2.3.4

講得很粗略, 若有錯誤, 請指教!!!!

21
Network 討論版 / NAT 的迷思
« 於: 2002-10-30 08:44 »
試著回答一下, 若有錯誤, 尚請指正:
其實NAT的用途是幹什麼, 你有沒有弄清楚??最基本的就是讓"假'IP能透過這個機制來"上網".

internet         NAT            假IP
     |------------|---------------|
一般的網路封包, 都會包含兩個資料, Dest Address & Source Address.
以出去來講, Source Address的IP是假的, 所以若以這個IP出去話, 會找不到回來的路(因為IP是假的), 所以要NAT把SA改成NAT上面的真實IP, 而當封包回來時, 再由NAT把真實IP換成原來假的IP. 如此就可以讓一堆"假"IP上網了.
而這種方式可用來種方法來達成, MASQ及SNAT, MASQ就是用"代表號"出去, 而SNAT則可以指定IP(以本公司為例, Hinet給了五個真實IP, 但實際只有一個"代表號", 剩下的就可以用SNAT的方式來給, 以充分利用IP.
而DNAT剛好可以說是相反, 可能你的一些Server用的是假IP, 但卻希望給全世界的人來讀取, 就可以利用DNAT的方式, 把外部進來的封包(針對某一IP, 某一Port), 轉換成內部的IP, 進而連上Server, 當然, 若你的Server對外公部的IP不是"代表號"的話, 自然得再配合SNAT, 方可讓封包安然的回去.

不知是否能看懂????
[/code]

頁: [1]