Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: доступ при vpn подключении в локалку

вопрос новичковый.
есть сеть 1.1.1.0, обычная локалка на винде, расшарены принтеры папки.
доступ к интернету идет по vpn поднятом на pfsense, у впн идет адресация 1.2.2.0, при включенном инете пропадает доступ к сетевым принтерам, в основном это касается пользователей с 7кой, надо как то сделать доступ впн к локалке проброс или что ?
Ответ: Svol4
для начала наведите порядок в адресации
сети 1.1.1.0 - 1.1.1.255 и 1.2.2.0 - 1.2.2.255 реальные и внешние
для локальных сетей используются другие адресные пространства
Вопрос: Доступ из VPN-сети в локалку; Доступ к внешнему ресурсу мимо прокси

Доброго времени суток, господа эксперты!
Нужен совет/консультация в решении одной небольшой задачки.
Собственно суть задачи:
Вопрос номер 1:
Есть 2 офиса объединенные прямым каналом, и есть несколько филиалов разбросанных по городу.
На шлюзе настроен vpn-сервер средствами mpd5. Адрес vpn-сети выдается клиентам такой же как и внутренняя
локалка офиса. PPTP соединения успешно происходят, но в локальную сеть доступа нет. Но если я добавлю в
правила фаервола строку
Код Code
1
$cmd 65499 allow all from any to any
то доступ в локалку появляется.
И вопрос номер 2:
Для всех пользователей офиса надо разрешить доступ по РДП на сервер терминалов и на сайт предприятия.
В правилах разрешено, и сайт открывается... но оооочень медленно. Пробовал эти правила прописывать и с
состоянием keep-state, и без него - ситуация не меняется...

Вот, непосредственно, сами правила:
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
#!/bin/sh
# перечитать конфиг:  nohup sh /etc/ipfw.conf
 
cmd="/sbin/ipfw -q add"
 
# Определяем переменные local IP
wanip="xx.xx.xx.xx"         # внешний IP
lanip0="10.20.0.1"          # внутренний IP (office1)
lanip10="10.20.10.1"        # внутренний IP (office2)
 
# Определяем переменные local network
lannet0="10.20.0.0/24"      # внутренняя сеть (office1)
lannet10="10.20.10.0/24"    # внутренняя сеть (office2)
 
# Определяем переменные local interfaces
eif="re0"                   # внешний интерфейс
iif0="re1"                  # внутренний интерфейс (Lan office1)
iif10="re2"                 # внутренний интерфейс (Lan office2)
 
itc_ip="10.20.0.21-24"      # IP-адреса IT-отдела
mail="465,993,995"          # почтовые порты
 
# Очищаем список правил
$cmd -f flush
$cmd -f pipe flush
$cmd -f queue flush
 
$cmd 100 check-state
 
# Режем "вредный" траффик
$cmd 200 deny icmp  from any            to any     in icmptype 5,9,13,14,15,16,17
$cmd 210 deny tcp   from any            to any 113 in via $eif
$cmd 220 deny tcp   from any            to any 137 in via $eif
$cmd 230 deny tcp   from any            to any 138 in via $eif
$cmd 240 deny tcp   from any            to any 139 in via $eif
$cmd 250 deny tcp   from any            to any 81  in via $eif
$cmd 260 deny all   from 192.168.0.0/16 to any     in via $eif
$cmd 270 deny all   from 172.16.0.0/12  to any     in via $eif
$cmd 280 deny all   from 10.0.0.0/8     to any     in via $eif
$cmd 290 deny all   from 127.0.0.0/8    to any     in via $eif
$cmd 300 deny all   from 0.0.0.0/8      to any     in via $eif
$cmd 310 deny all   from 169.254.0.0/16 to any     in via $eif
$cmd 320 deny all   from 192.0.2.0/24   to any     in via $eif
$cmd 330 deny all   from 204.152.64.0/23    to any     in via $eif
$cmd 340 deny all   from 224.0.0.0/3    to any     in via $eif
 
# Нет ограничений на Loopback интерфейсе
$cmd 400 allow  all from any to any via lo0
$cmd 410 deny   ip  from any to 127.0.0.0/8
$cmd 420 deny   ip  from 127.0.0.0/8 to any
 
# Разрешаем входящие снаружи SSH соединения
$cmd 500 allow tcp from any to $wanip 22 in via $eif setup limit src-r 2
 
# Разрешаем pptp соединения и vpn траффик через mpd5
$cmd 600 allow tcp from any     to me 1723  in  via $eif
$cmd 610 allow tcp from me 1723 to any      out via $eif
$cmd 620 allow gre from any     to any      via $eif
 
# Снимаем ограничения на локальных интерфейсах
$cmd 700 allow all from me  to any out via $eif keep-state
$cmd 710 allow all from any to any     via $iif0
$cmd 720 allow all from any to any     via $iif10
 
# Разрешаем входящий пинг
$cmd 800 allow icmp from any to any out via $eif keep-state
$cmd 810 allow icmp from any to me icmptypes 0,8,11 limit src-r 2
 
# Разрешаем DNS
$cmd 900 allow udp from any to any 53 out via $eif setup keep-state
 
# Исходящий NTP
$cmd 1000 allow all from any to any 123 out via $eif setup keep-state
 
# Разрешаем полный доступ в интернет для IT-отдела
$cmd 1100 allow all from $itc_ip to any keep-state
 
# Разрешаем всем юзерам ходить на наш сайт
$cmd 1200 allow all from $lannet0       to domaine.com  out
$cmd 1210 allow all from domaine.com    to $lannet0  in
$cmd 1220 allow all from $lannet10      to domaine.com  out
$cmd 1230 allow all from domaine.com    to $lannet10 in
 
# Разрешаем доступ к терминалу и почте в обход squid
# (закомментировано пока не решится вопрос с предыдущими 4 правилами)
#$cmd 1240 allow all from $lannet0 to any 3389  out via $eif setup keep-state
#$cmd 1250 allow all from $lannet0 to any $mail out via $eif setup keep-state
 
# Отправляем всех на squid
$cmd 1300 fwd 127.0.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif keep-state
$cmd 1310 fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif keep-state
 
# Исходящий NAT
$cmd 1400 divert natd ip from any to any out via $eif
 
# Входящий NAT
#$cmd 1500 divert natd ip from any to any in via $eif
 
# Разрешаем все для всех (на случай если что-то пойдет не так)
#$cmd 65499 allow all from any to any
 
# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
Добавлено через 3 часа 34 минуты
итак вопрос номер 2 снимается с повестки дня, ибо добился того чтоб сайт нормально открывался, пусть и не совсем так как хотелось бы... но пока сойдет...
Вопрос номер 1 по поводу доступа из впн-сети в локалку - остается актуальным...

Добавлено через 8 часов 21 минуту
Итак.... у меня таки получилось добиться того чтобы vpn-клиент смог попасть в офисную локалку. Для этого пришлось изменить часть правил фаервола, еще одну часть переместить по списку... Но столкнулся теперь с другой задачей - после того как vpn-клиент подключается к серверу, у него выборочно блокируется трафик... то есть одни сетевые программы работают (например скайп, пинги и трасерт бегают), а другие - нет (the bat - не соединяется с сервером, тимвьюер не видит сети). Куда еще копать - незнаю...
Вот обновленный скрипт фаервола:
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
cmd="/sbin/ipfw add"
 
# Определяем переменные local IP
wanip="xx.xx.xx.xx"            # внешний IP
lanip0="10.20.0.1"              # внутренний IP (office1)
lanip10="10.20.10.1"            # внутренний IP (office2)
 
# Определяем переменные local network
lannet0="10.20.0.0/24"          # внутренняя сеть (office1)
lannet10="10.20.10.0/24"        # внутренняя сеть (office2)
vpnnet="172.20.1.0/24"          # адрес сети vpn
 
# Определяем переменные local interfaces
eif="re0"                       # внешний интерфейс
iif0="re1"                      # внутренний интерфейс (Lan office1)
iif10="re2"                     # внутренний интерфейс (Lan office2)
 
skip="skipto 65499"
ks="keep-state"
 
itc_ip="10.20.0.21-24"
mail="143,465,587,993,995"
 
# Очищаем список правил
ipfw -f       flush
ipfw -f pipe  flush
ipfw -f queue flush
 
$cmd allow all from any          to any         via lo0
#$cmd allow all from me          to any out     via $eif $ks
$cmd allow all from $itc_ip      to any $ks
$cmd allow all from any          to any         via $iif0
$cmd allow all from any          to any         via $iif10
$cmd allow all from any          to any         via tun0
$cmd allow tcp from me           to any out     via $eif $ks uid squid
$cmd deny  ip  from any          to 127.0.0.0/8
$cmd deny  ip  from 127.0.0.0/8  to any
 
$cmd $skip all from $lannet0      to domain.com out via $eif
$cmd $skip all from domain.com to $lannet0      in  via $eif
$cmd $skip all from $lannet10     to domain.com out via $eif
$cmd $skip all from domain.com to $lannet10     in  via $eif
$cmd $skip all from $lannet0      to any 3389      out via $eif setup $ks
#$cmd $skip all from $lannet0      to any $mail     out via $eif setup $ks
 
$cmd divert natd ip from any to any in via $eif
 
$cmd $skip udp  from any to any 53  out via $eif setup $ks
$cmd $skip all  from any to any 123 out via $eif setup $ks
 
$cmd fwd 10.20.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif
$cmd fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif
 
$cmd check-state
 
# Режем "вредный" траффик
$cmd deny icmp from any                 to any     in icmptype 5,9,13,14,15,16,17
$cmd deny tcp  from any                 to any 113 in via $eif
$cmd deny tcp  from any                 to any 137 in via $eif
$cmd deny tcp  from any                 to any 138 in via $eif
$cmd deny tcp  from any                 to any 139 in via $eif
$cmd deny tcp  from any                 to any 81  in via $eif
$cmd deny all  from 192.168.0.0/16      to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 172.16.0.0/12       to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 10.0.0.0/8          to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 127.0.0.0/8         to any     in via $eif       # loopback
$cmd deny all  from 0.0.0.0/8           to any     in via $eif       # loopback
$cmd deny all  from 169.254.0.0/16      to any     in via $eif       # DHCP auto-config
$cmd deny all  from 192.0.2.0/24        to any     in via $eif       # reserved for docs
$cmd deny all  from 204.152.64.0/23     to any     in via $eif       # Sun cluster
$cmd deny all  from 224.0.0.0/3         to any     in via $eif       # Class D & E multicast
 
$cmd allow tcp from any       to $wanip 22 in  via $eif setup limit src-addr 2
$cmd allow tcp from any       to me     1723  in  via $eif
$cmd allow tcp from me 1723   to any          out via $eif
$cmd allow gre from me        to any          out via $eif
$cmd allow gre from any       to me           in  via $eif
$cmd allow all from $vpnnet   to $lannet0
$cmd allow all from $lannet0  to $vpnnet
$cmd allow all from $vpnnet   to $lannet10
$cmd allow all from $lannet10 to $vpnnet
$cmd allow icmp from any to any     out via $eif $ks
$cmd deny  icmp from any to $wanip  in  via $eif
 
# Исходящий NAT
$cmd 65400 divert natd ip from any to any out via $eif
 
# Разрешаем все для всех
$cmd 65499 allow all from any to any
 
# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
Ответ:
Цитата Сообщение от xDrew Посмотреть сообщение
На компах удаленных офисов в качестве DNS настроены адреса 192.168.8.1 и 8.8.8.8 соответственно.
Я правильно Вас понимаю, что до поднятия VPN выход в инет работает, как только поднимаете - перестаёт?
Цитата Сообщение от xDrew Посмотреть сообщение
Дело в том что пока я не передал клиентам DNS средствами mpd5 - ya.ru не резолвился...
А как тогда он резольвится пока VPN не поднят?
Ещё раз прошу Вас, сделайте на Винде nslookup ya.ru до поднятия VPN и после. Мне интересно, у каких серверов он спрашивает доменное имя в разном состоянии!
Ведь если при поднятом VPN-е Вы с удалённого офиса не можете зайти на http://google.com/, но при этом если попытаетесь зайти по http://188.43.64.152/, попадёте на гугл, однозначно надо разбираться с DNS-серверами.
Вопрос: Настроить права доступа к папке через samba

Всем привет!
Возникла проблема с правами доступа.
Есть сервак ubuntu. Есть 3 компа на винде.
Создаю сетевую папку, могу настроить доступы через smb.conf.
Но не получается сделать следующее:
например я создал сетевую папку samba на сервере. Как для 1го компа на винде открыть доступ к этой папке, чтобы он заходил в нее без пароля и мог все редактировать. А 2й комп на винде не смог бы войти в эту папку. Ну и 3й допустим мог бы только читать файлы в этой папке без ввода пароля. (3й комп можно исключить.. так для более подробного понимания включил такой пункт).
Ответ: То есть еще добавить пользователя в ubuntu?

Добавлено через 5 часов 26 минут
В общем сделал следующее:
создал пользователя в убунту, создал группу, закинул туда созданного пользователя. Создал пользователя самба с тем же именем пользователя. Для расшаренной папки прикрутил необходимые права через chmod и прикрутил группу к папке через chown. Ну и добавил в smb.conf valid users = имя созданного пользователя.
Надеюсь правильно?
Вроде то что я хотел, сейчас буду тестировать на нескольких компах.
Вопрос: Подключение внешней Wi-fi точки доступа в Kali Linux

Добрый день, уважаемой коммьюнити. Скажу сразу, в Линуксе я новичок, поэтому не пинайте за возможно глупые вопросы Итак, я пытаюсь подключить внешнюю точку доступа в Kali Linux. Модель ТД - TP-Link TL-WA5210G. В винде все просто - подключить точку доступа, в браузере набрать 192.168.1.254, зайти в веб интерфейс и выбрать нужную сетку для подключения. А вот в Kali Linux такое не прокатывает. Как сделать, чтобы и в Kali была возможность подключаться к wi-fi сетям с помощью внешней точки доступа?
Ответ:
Сообщение от Nomad00
Модель ТД - TP-Link TL-WA5210G. В винде все просто - подключить точку доступа, в браузере набрать 192.168.1.254, зайти в веб интерфейс и выбрать нужную сетку для подключения.
аналогично
только лишь разобраться с адресом сетевой платы - получает ли он его динамически от "чего-то", либо же его нужно присвоить статически...
Вопрос: Изменить права доступа к директории для группы

3. sudo user user должна менять же права доступа к директории. Как сделать чтобы было user user, а не user root?
Ответ:
Сообщение от netromnik
sudo user user должна менять же права доступа к директории. Как сделать чтобы было user user, а не user root?
Bash
1
sudo chown user:user /path/to/dir
Рекурсивная замена всех вложенных файлов:
Bash
1
sudo chown -R user:user /path/to/dir
Вопрос: Ubuntu + samba при ребуте нет доступа к шаре из под ВИНДЫ пока не войти в этот раздел диска на УБУНТУ

Всем привет, вообщем то доступ работает к шарам, но есть один недостаток. Дело в том что на компе с УБУНТУ стоит 2 жестких диска, на одном сам УБУНТУ и "дефолтно" (для пробы) на нем расшарена папка Share а на 2 жестком расшарены 2 папки но после перезагрузки компа (ну и вкл и выкл естественно) пропадает доступ к папкам на втором диске. Лечится это все элементарно нужно на компе с УБУНТУ зайти на этот раздел жесткого диска и тогда его шары в сети видно.
Вот конфиг:
Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
[share]
    comment = Ubuntu File Server Share
    path = /srv/samba/share
    browsable = yes
    guest ok = yes
    read only = no
    create mask = 0755
 
[documents]
    writable = yes
    admin users = nobody
    path = media/rjsadm/shara/Документы
    guest ok = yes
    delete readonly = yes
    create mask = 777
    directory mask = 777
 
[base]
    writable = yes
    admin users = nobody
    path = media/rjsadm/shara/база
    guest ok = yes
    delete readonly = yes
    create mask = 777
    directory mask = 777
Я так думаю что дело в монтировании диска. То есть при каждом включении УБУНТУ и входе на диск происходит его монтирование или я не прав? Я просто новичок в ЛИНУКСЕ
Ответ: Тему можно закрывать, проблему решил так:
Есть программка называется она Диски, в ней в нужном диске для каждого раздела сделал настройки монтирования, отключил вверху слеш "параметры автоматического подключения" и ниже выставил 2 галочки:
- подключать при запуске
- показывать в интерфейсе
сначала сделал только это, но потом увидел, что точка подключения поменялась встала на UUID с множеством цифр и букв, изменил на свои shara, но вначале не стал трогать параметр /mnt поэтому подключение у меня теперь не по пути media/rjsadm/shara/база, а по пути mnt/shara/база.
Вопрос: Получить доступ к системным файлам

Как получить полный доступ к всем файлам компьютера? Зашел в папку /var/www/ там есть папку html, я не могу её удать, или вырезать, в чем проблема?
Ответ: Начните с основ:


Поскольку Linux — система многопользовательская, вопрос об организации разграничения доступа к файлам и каталогам является одним из существенных вопросов, которые должна решать операционная система. Механизмы разграничения доступа, разработанные для системы UNIX в 70-х годах (возможно, впрочем, они предлагались кем-то и раньше), очень просты, но они оказались настолько эффективными, что просуществовали уже более 30 лет и по сей день успешно выполняют стоящие перед ними задачи.

В основе механизмов разграничения доступа лежат имена пользователей и имена групп пользователей. Вы уже знаете, что в Linux каждый пользователь имеет уникальное имя, под которым он входит в систему (логируется). Кроме того, в системе создается некоторое число групп пользователей, причем каждый пользователь может быть включен в одну или несколько групп. Создает и удаляет группы суперпользователь, он же может изменять состав участников той или иной группы. Члены разных групп могут иметь разные права по доступу к файлам, например, группа администраторов может иметь больше прав, чем группа программистов.

В индексном дескрипторе каждого файла записаны имя так называемого владельца файла и группы, которая имеет права на этот файл. Первоначально, при создании файла его владельцем объявляется тот пользователь, который этот файл создал. Точнее — тот пользователь, от чьего имени запущен процесс, создающий файл. Группа тоже назначается при создании файла — по идентификатору группы процесса, создающего файл. Владельца и группу файла можно поменять в ходе дальнейшей работы с помощью команд chown и chgrp


В любой Linux системе обязательно есть один привилегированный пользователь — root. Этот пользователь имеет права на выполнение любых действий, удаление любых файлов и изменение любых параметров. Как-то ограничить свободу действий root практически невозможно. С другой стороны, все остальные пользователи системы обычно не имеют большинства необходимых прав, например, прав на установку программ, поскольку это является административной операцией, права на которую есть только у root. Ещё одной распространённой операцией, доступной только суперпользователю, является копирование и изменение файлов в системных папках, куда обычный пользователь доступа не имеет.

Раньше данная проблема решалась достаточно просто: при обладании паролем root можно было зайти в систему под его аккаунтом либо временно получить его права, используя команду su. Потом выполнить все необходимые операции и вернуться обратно под обычного пользователя. В принципе, такая схема работает неплохо, однако у неё есть много существенных недостатков, в частности, невозможно никак (точнее, очень сложно) ограничивать административные привилегии только определённым кругом задач.

Поэтому в современных дистрибутивах Linux вместо root аккаунта для администрирования используется утилита sudo.

В Ubuntu по умолчанию root аккаунт вообще отключён, т.е. вы никаким способом не сможете попасть под root, не включив его. root именно что отключён, т.е. он присутствует в системе, под него всего лишь нельзя зайти. Если вы хотите вернуть возможность использовать root, смотрите ниже пункт о включении root аккаунта.

Что такое sudo
sudo — это утилита, предоставляющая привилегии root для выполнения административных операций в соответствии со своими настройками. Она позволяет легко контролировать доступ к важным приложениям в системе. По умолчанию, при установке Ubuntu первому пользователю (тому, который создаётся во время установки) предоставляются полные права на использование sudo. Т.е. фактически первый пользователь обладает той же свободой действий, что и root. Однако такое поведение sudo легко изменить, об этом см. ниже в пункте про настройку sudo.
Вопрос: Доступ к системным ресурсам по SMB

Всем привет.
Имеется сервер на CentOS 7, он выполняет несколько функций. В частности, файлопомойка, реализованная на SMB. И веб-сервер. Так вот, файлы веб страниц расположены в стандартной директории /var/www. И мне их нужно редактировать. Делать это через терминал, сами понимаете, не слишком удобно. Поэтому я озадачился вопросом доступа к папке www через smb. Пробовал поместить ссылку на неё в папку шары. Но при попытке открыть её выдаётся ошибка доступа, даже если изменить владельца и права доступа ссылки. Владельца самой папки менять не хочется из соображений безопасности. В общем, нужен совет, как правильно поступить в этой ситуации.
Ответ:
Сообщение от ZIDARAP
Чем Вас FTP доступ не устраивает?
FTM не имеет такого функционала. И потом, где гарантия, что доступ по FTP так же не заблокирован?
В любом случае, эта тема уже не актуальна. Она частично была решена .
Вопрос: Открыть общий доступ к папке через telnet

Нужно открыть общий доступ к папке /media/hdd через telnet.
GNU/Linux

Добавлено через 20 часов 5 минут
Нету предложений?
Ответ: Dmitry,спасибо разобрался,так и сделал.
Вопрос: CentOS 7 установка и конфигурация FTP доступа

скачал установил и сконфигурировал vsftpd и ftp

Пытаюсь соединиться по ip и паролю от рута - не получается!

Что ещё надо сделать!?
Ответ: Если у вас поднята сетка, я говорил,
пользуйтесь WinSCP. Пробуйте соединится
к серверу через SFTP(там можно выбирать)
Получите доступ к серверу. Потом поправьте
редактором, то что вам нужно.