【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

顯示結果從第 1 筆 到 7 筆,共計 7 筆
  1. #1
    會員
    註冊日期
    2006-05-17
    所在地區
    ADSL
    討論區文章
    12

    【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    小的是小公司的MIS,每個 Branch-office 的PC數量滿多的
    聽了Linux_xp大大的推荐,改用 BrazilFW 2.28後。
    現在這台Router穩的不得了,又快又穩。
    害小的把價值好幾萬的舊Router全部拿去疊疊樂作古了

    現在有兩個問題想請教各位大大
    1. BrazilFW 應該如何設定 Persistant Routing Table?
    例如 輸入 router add -net xxx.xxx.xxx.xxx netmask 255.255.255.255 gw 192.168.1.6 ,當Route reboot 後就會失效,請問該如何解決?
    2. Bridged mode應該如何設定呢?因為小的有去逛過官網,不過在討論區也沒看到相關說明。請問有沒有可以參考的網址或文件?



  2. #2
    會員
    註冊日期
    2006-05-17
    所在地區
    ADSL
    討論區文章
    12

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    引用 作者:espresso
    1. BrazilFW 應該如何設定 Persistant Routing Table?
    例如 輸入 router add -net xxx.xxx.xxx.xxx netmask 255.255.255.255 gw 192.168.1.6 ,當Route reboot 後就會失效,請問該如何解決?
    受人指導自問自答,直接在 rc.local 寫入就可以了

    但是 Bridged mode, 誰來救我啊? plz~~
    因為公司的MPLS VPN 需要做 QoS .....

  3. #3
    地平線的那端 DarkSkyline 的大頭照
    註冊日期
    2001-05-09
    所在地區
    Hinet 4M/1M
    討論區文章
    554

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    "Linux_xp"大大快出來解救他吧~
    Dark Skyline -三分技術,七分管理-
    Ublink 客服專線:0800-555195
    Ublink -看見您對網路的需求 http://ns2.ublink.org
    網路設備的專業服務團隊 - http://www.ublink.org
    小紅傘(AVIRA AntiVir)病毒回報網址 - http://analysis.avira.com/samples/index.php

  4. #4
    會員
    註冊日期
    2006-05-17
    所在地區
    ADSL
    討論區文章
    12

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    引用 作者:DarkSkyline
    "Linux_xp"大大快出來解救他吧~
    其他大大願意解救也拜託趕緊伸個援手吧
    PLZ~~~~~

  5. #5
    Kree linux_xp 的大頭照
    註冊日期
    2002-01-19
    討論區文章
    2,655

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    引用 作者:espresso
    受人指導自問自答,直接在 rc.local 寫入就可以了

    但是 Bridged mode, 誰來救我啊? plz~~
    因為公司的MPLS VPN 需要做 QoS .....

    重新導向

    1.
    需要 ipruote2 這個套件
    BrazilFW 沒有內建,需另外安裝 add-ons

    下載點:
    http://www.brazilfw.com.br/forum/viewtopic.php?t=56436

    add-one 檔名:
    ip.tgz

    安裝後,就有 ip 這個指令可以使用
    這是 Linux 作 static 路由,非常重要的一個指令

    ※注意事項:
    BrazilFW 原先就有 ip 這個指令,但它不是 iproute2
    新增 iproute2 套件的 add-ons 後
    如欲使用,必須指定絕對路徑 /user/sbin/ip

    如果不指定絕對路徑的話
    會跑到 BrazilFW 原先那個 busybox 嵌入式核心提供的 ip 指令



    2.
    我之前弄過 Transparent Proxy 的重心導向
    原理是相同的,提供「範例」 作參考

    因為 BrazilFW 是沒有辦法生出 proxy 的 (目前沒辦法)
    所以若要 porxy 就必須另外架一台
    但另外架設的,要如何弄成強制穿透 Transparent 型態
    關鍵就在「重新導向」


    # Transparent Proxy 重新導向
    # ------------------------------------------------------------------------------

    # 給 http 封包貼標籤
    iptables -t mangle -A PREROUTING -i eth0 -s ! 192.168.0.1 -p tcp --dport 80 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 8080 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 3128 -j MARK --set-mark 2


    # iproute2 多重路由,抓出有貼標籤的封包,送到指定路由表,進行路由回傳 squid 主機
    /usr/sbin/ip rule add fwmark 2 table 80
    /usr/sbin/ip route add default via 192.168.0.1 dev eth0 table 80
    /usr/sbin/ip route flush cache

    # 關閉核心 ipv4 的 icmp 重新導向功能 (路由必須)
    echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
    echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
    echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

    # -------------------------------------------------------------------------------

    # 另一台 proxy 主機的設定,port 重新導向
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


    原理說明:
    ---------------------------------------
    1.用 iptables 抓出特定服務的封包,給予貼標籤
    特定服務:例如:proxy 或 vpn

    iptables -t mangle -A PREROUTING -i eth0 -s ! 192.168.0.1 -p tcp --dport 80 -j MARK --set-mark 2

    這一段的意思:
    上傳方向,封包由對外網卡出去,來源「不是」192.168.0.1,目標埠 80,貼標籤2

    192.168.0.1 是我的 proxy 主機IP

    Q.為甚麼前面要加驚嘆號 ! 表示「反」「不是」「非」呢?

    因為等一下凡是有貼標籤的封包,都不會送出去
    會重新導向到內部區網的另一台主機,例如 proxy 或 vpn 主機
    然後 proxy 或 vpn 主機處理後再把封包真正送出去

    但這邊會有一個問題
    porxy 或 vpn 主機,送出封包到 internet 時,一樣是得經過 閘道器
    而閘道器又把封包貼標籤,又送回來,豈不是沒完沒了
    因此為了避免無窮迴圈,必須指定「不是」proxy / vpn 主機,才貼標籤


    2.用 ip 偵測有標籤的封包,抓到後送到指定路由表處理

    /usr/sbin/ip rule add fwmark 2 table 80

    # 新增一個路由規則,當偵測到封包貼有「標籤號碼 2」,送到「路由表 80 號」進行處理

    所謂的標籤號碼,是與前面 iptables 給封包貼標籤,相對應的號碼

    Linux 的 iproute2 靜態路由機制,提供了 255 個路由表
    也就是說可以設定 255 組靜態路由
    (其中編號 254、255 已被使用,實際可自訂為 253 組)

    送到「路由表 80 號,」,這個數字可自選
    以不衝到其它已使用,及容易識別為主
    可用範圍為 1~253


    /usr/sbin/ip route add default via 192.168.0.1 dev eth0 table 80

    # 給路由表 80 號,指定一個預設閘道:192.168.0.1,指定使用 eth0 傳送

    一個路由表,可以寫入很多路由規則
    若封包不符合任何規則,就直接送預設閘道器

    這邊就不指定規則了
    所有封包只要進了 80號路由表,直接網它的預設閘道送
    也就是 192.168.0.1 這台主機 (porxy 或 vpn)

    因為一台當路由器的主機,它可能會有很多網卡介面 (網卡插孔)
    主機網路線插哪一孔,就只能由那一孔通信,這是電線的物理限制
    所以同時也要指定網卡介面,例如:eth0


    /usr/sbin/ip route flush cache

    # 清空路由快取,使用路由設定立刻生效

    一般在路由快取的作用下,要生效需要蠻長時間
    所以改完要使其立刻生效,才能知道行不行


    VPN 有很多種通訊協定

    如果是 PPTP 協定的話,它使用的 port 為:
    ------------------------------------------
    tcp 1723
    tcp 1512

    -p 47 (GRE 封包)
    -------------------------------------------

    比較特殊的是 -p 47 GRE 封包,其語法範例:
    iptables -A INPUT -p 47 -j ACCEPT

    就是 -p 後面,直接數字 47




  6. #6
    會員
    註冊日期
    2006-05-17
    所在地區
    ADSL
    討論區文章
    12

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    最近一直拜讀與研究 linux_xp 大大之前的大作,獲益匪淺
    連晚上作夢都會夢到這名字

    不過因為對 linux 不熟析,(很抱歉小的是M$派
    所以那個 Bridged mode 會趕緊好好研究一下,再來報告。

    當務之急有個新想法,
    就是把 BrazilFW 直接當Router來管QoS,不知道可行嗎?
    例如:
    LAN: 192.168.1.0/24
    MPLS: 192.168.8.0/24
    把 BrazilFW WAN 也改成 private ip, 這樣不知道有沒有其他問題?

  7. #7
    會員
    註冊日期
    2006-05-17
    所在地區
    ADSL
    討論區文章
    12

    回覆: 【問題】BrazilFW Bridged mode ~~Linux_xp大大救我啊

    另外在 【教學】Coyote Linux 頻寬管制 (QoS) 設定教學
    有提問:

    請教一下linux_xp大大,
    如果我把您曾經提供的 gw firewall script, 其中這一段
    語法:
    ## 以下開始設定防火牆規則
    
    # 設定 INPUT、OUTPUT、FORWARD 鏈預設的過濾原則, 凡封包
    # 不符合各鏈中的規則, 皆予以拋棄
    iptables -P INPUT DROP 
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    
    # 允許流經 lookback 介面的封包進出
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP
    iptables -A OUTPUT -o ! lo -d 127.0.0.0/8 -j DROP
    
    # 新增一個名為 BADPKT 的新鏈
    iptables -N BADPKT
    
    # 丟棄所有進入 BADPKT 鏈的封包
    iptables -A BADPKT -j DROP
    
    # 將可疑封包交由 BADPKT 鏈處理 (不可能出現的 TCP 旗標狀態封包)
    iptables -A INPUT -m state --state INVALID -j BADPKT
    iptables -A INPUT -p tcp ! --syn -m state --state NEW -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ALL ALL -j BADPKT
    iptables -A INPUT -p tcp --tcp-flags ALL FIN -j BADPKT
    iptables -A FORWARD -m state --state INVALID -j BADPKT
    iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ALL FIN,URG,PSH -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j BADPKT
    iptables -A FORWARD -p tcp --tcp-flags ALL FIN -j BADPKT
    
    # 允許已建立連線和回應的封包通過
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    直接 貼到 BrazilFW 2.28 Custom Firewall Rules 裡面,
    也就是 /etc/coyote/firewall.local

    請問這樣有效用嗎?謝謝!

類似的主題

  1. 請各位大大救救我......
    作者:q710326 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 1
    最後發表: 2002-12-14, 02:55 PM
  2. 拜託各位大大救救我!
    作者:sten 所在討論版:-- 電 腦 硬 體 討 論 版
    回覆: 1
    最後發表: 2001-09-10, 12:19 AM
  3. 我的DirectDraw出了問題了!請各位大大救救我!
    作者:mcarey 所在討論版:-- Windows 討 論 版
    回覆: 6
    最後發表: 2001-09-02, 06:20 PM
  4. 各位大大救救我吧!!
    作者:4132 所在討論版:---- ADSL 軟 硬 體 技 術
    回覆: 2
    最後發表: 2001-06-30, 11:07 PM
  5. 各位大大救我阿
    作者:mikeh 所在討論版:---- ADSL 軟 硬 體 技 術
    回覆: 1
    最後發表: 2001-06-30, 02:15 AM

 

squid brazilfw 網頁顯示

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •