Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Zeroshell con TuttoFibra Telecom [*UPDATE* 18/01/15]
Vai a Precedente  1, 2
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Mar Gen 13, 2015 1:18 pm    Oggetto: Rispondi citando

L'idea di usare il DNS è ottima, ma credo sarebbe necessario comunque qualche forwarding, dato che c'è piu' di un host che deve risponde allo stesso FQDN, in base alla porta di destinazione, poi magari giocandoci un pò ...
@xavier
riporto i tuoi script come penso dovrebbero essere, le righe dovrebbero essere decommentate solo in fase di test, per vedere se fà quelo che deve, normalmente dovrebbe funzionare anche senza le righe commentate
Codice:
# Startup Script
# Don't disable the next row !
oldIP="$(iptables -t nat -L PREROUTING 1 -n |  awk  '{print  $(NF-3)}' )" ;
# echo "Old IP is $oldIP"

newIP="$(ifconfig ppp0 2>/dev/null|awk '/inet addr:/ {print $2}'|sed 's/addr://')" ;
#echo -e "\nNew IP is $newIP"

iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 3389 -d $newIP -j DNAT --to-dest 192.168.0.2
iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 4322 -d $newIP -j DNAT --to-dest 192.168.0.2
iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 8017 -d $newIP -j DNAT --to-dest 192.168.0.2
iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 8081 -d $newIP -j DNAT --to-dest 192.168.0.235

iptables -t nat -I POSTROUTING 1 -o ETH00 -s 192.168.0.0/24 -d 192.168.0.2 -j MASQUERADE
iptables -t nat -I POSTROUTING 1 -o ETH00 -s 192.168.0.0/24 -d 192.168.0.235 -j MASQUERADE


Codice:
oldIP="$(iptables -t nat -L PREROUTING 1 -n |  awk  '{print  $(NF-3)}' )" ;
# echo "Old IP is $oldIP"

newIP="$(ifconfig ppp0 2>/dev/null|awk '/inet addr:/ {print $2}'|sed 's/addr://')" ;
# echo -e "\nNew IP is $newIP"

if [ "$newIP"  != "$oldIP" ] ; then
   iptables -t nat -D PREROUTING 1
   iptables -t nat -D PREROUTING 1
   iptables -t nat -D PREROUTING 1
   iptables -t nat -D PREROUTING 1

   iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 3389 -d $newIP -j DNAT --to-dest 192.168.0.2
   iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 4322 -d $newIP -j DNAT --to-dest 192.168.0.2
   iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 8017 -d $newIP -j DNAT --to-dest 192.168.0.2
   iptables -t nat -I PREROUTING 1 -i ETH00 -s 192.168.0.0/24 -p tcp --dport 8081 -d $newIP -j DNAT --to-dest 192.168.0.235

#   echo -e  "\nIP in the prerouting chain has been updated to $newIP"
#else
#   echo -e  "\nIP is still $oldIP, no action required"
fi
le ultime due righe , quelle del POSTROUTING (e che qui ho eliminato), non vanno messe in questo script, altrimenti, ogni volta che cambia l'ip della ppp0, le aggiunge ma senza rimuovere quelle esistenti.
Hai provato a scollegare l'adsl o riavviare ZS ?
ciao
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 82

MessaggioInviato: Mar Gen 13, 2015 7:46 pm    Oggetto: Rispondi citando

Continuo a scrivere su questo 3D perchè mi sembrano informazioni interessanti per molti.....

Oggi per errore ho trovato un modo molto semplice di risolvere il tutto...


nella parte virtual server ho inserito:

Interface / IP Address Protocol Local Port Real Servers
ANY / ANY TCP 443 xxx.xxx.xxx.xxx:porta

in questo modo con il nome pubblico.... appena tenta di uscire dal Fw rientra condizionato dalla regola qui sopra...

Naturalmente va fatto per ogni porta.

Bye!!
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Mar Gen 13, 2015 11:40 pm    Oggetto: Rispondi citando

@redfive

redfive ha scritto:
le ultime due righe , quelle del POSTROUTING (e che qui ho eliminato), non vanno messe in questo script, altrimenti, ogni volta che cambia l'ip della ppp0, le aggiunge ma senza rimuovere quelle esistenti.

Ok, modifica implementata.

redfive ha scritto:
Hai provato a scollegare l'adsl o riavviare ZS ?

Certamente. Ho riavviato ZS ad ogni modifica, per verificarne il corretto rilevamento del nuovo IP, ed ora sembra funzionare tutto.

@wind

wind ha scritto:
Oggi per errore ho trovato un modo molto semplice di risolvere il tutto...


nella parte virtual server ho inserito:

Interface / IP Address Protocol Local Port Real Servers
ANY / ANY TCP 443 xxx.xxx.xxx.xxx:porta

in questo modo con il nome pubblico.... appena tenta di uscire dal Fw rientra condizionato dalla regola qui sopra...

Credo tu abbia qualche altro settaggio che fa funzionare quell'impostazione.

Io ci ho provato più volte per essere sicuro, ma non mi ha mai funzionato, e tra una volta e l'altra ripristinavo la configurazione attuale a titolo comparativo.

Tuttavia mi sta bene anche stravolgere nuovamente i miei settaggi, magari così scopro qualcosa di nuovo...
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Dom Gen 18, 2015 12:56 pm    Oggetto: Rispondi citando

Visto che nessuno più ha risposto a variazioni sul tema "script" per l'accesso con un solo url, butto sul tavolo una nuova questione: l'accesso diretto al modem.

Come ben sa chi ha la TuttoFibra Telecom, il modem dato in dotazione una volta che si implementa una soluzione con un router esterno, diventa irraggiungibile.

Per qualsiasi modifica io conosco solo due opzioni:

1) lasciare attivo un wi-fi sul modem (bleah, e che ci sta a fare il captive portal a questo punto ?)
2) collegarsi direttamente ad una delle sue porte ethernet, bypassando il router con ZS (piglia pc, attacca cavo, smanett-smanett, stacca cavo, togli pc. 'Na palla...)

Immagino che sia possibile una soluzione più elegante, ovvero mappare su un IP della rete ZS (range 192.168.0.xxx) l'IP del modem, che dovrebbe essere 192.168.100.1, così come si vede nel mio primo post.

Questo tentativo da Virtual Server

Codice:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  ETH01  *       0.0.0.0/0            192.168.100.1        tcp dpt:80 to:192.168.0.100:80


è stato come prevedevo fallimentare, prevedo dunque lunghe ore di tentativi con iptables, a meno che qualcuno non voglia raccogliere la sfida...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Dom Gen 18, 2015 1:57 pm    Oggetto: Rispondi citando

Prova a settare sulla ETHXX di ZS, quella connessa direttamente al modem in bridge (e sulla quale è attivo il pppoe) , un ip della stassa classe del modem, es. modem/router 192.168.100.1 , ZS 192.168.100.2, natti anche l'intefaccia fisica, olter a pppX, per accedere dall interno non dovresti avere bisogno di alcun forwarding, solo permettere le connessioni 'di ritorno' anche dalla ETHxx, se vuoi accedere anche dall esterno, in virtual server (copio e modifico da te Laughing )
Codice:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  ppppX  *       0.0.0.0/0            0.0.0.0/0        tcp dpt:9080 to:192.168.100.1:80

Da 'fuori', digiterai http://tuo.hostname:9080 ....controlla sempre le regole del firewall.....
Ovviamente, non testato...
ciao
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Dom Gen 18, 2015 2:23 pm    Oggetto: Rispondi citando

Blurp, troppe informazioni in un colpo solo... Embarassed

Provo un passo alla volta per vedere se capisco:

redfive ha scritto:
Prova a settare sulla ETHXX di ZS, quella connessa direttamente al modem in bridge (e sulla quale è attivo il pppoe) , un ip della stassa classe del modem, es. modem/router 192.168.100.1 , ZS 192.168.100.2


E quindi immagino di dover aggiungere a ETH01, che è l'interfaccia fisicamente connessa al modem, l'IP 192.168.100.2, in questo modo:



redfive ha scritto:
natti anche l'intefaccia fisica, olter a pppX


Il che dovrebbe avvenire cosi, suppongo:



redfive ha scritto:
per accedere dall interno non dovresti avere bisogno di alcun forwarding, solo permettere le connessioni 'di ritorno' anche dalla ETHxx


Mmmm, qua mi sono perso e infatti per ora non funziona nulla.

redfive ha scritto:
se vuoi accedere anche dall esterno, in virtual server (copio e modifico da te Laughing )
Codice:
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  ppppX  *       0.0.0.0/0            0.0.0.0/0        tcp dpt:9080 to:192.168.100.1:80

Da 'fuori', digiterai http://tuo.hostname:9080 ....controlla sempre le regole del firewall.....


Dall'esterno sarebbe spaziale, avrei l'accesso remoto al modem, cosa normalmente non possibile !

Mannaggia, riprovo col firewall...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Dom Gen 18, 2015 2:31 pm    Oggetto: Rispondi citando

Piu' o meno, direi di si, .....riesci direttamente da ZS a pingare il modem (SYSTEM, Utilities) ? Se si, riesci anche da un host 'dietro' a ZS ?
ciao
EDIT ..... il modem da un altra interfaccia è gestibile a quell'indirizzo ??
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Dom Gen 18, 2015 2:36 pm    Oggetto: Rispondi citando

Scusa, ho visto ora... 192.168.100.1 è il def-gw di telecom sulla ppp, non è l'ip del tuo modem .... nel forwarding devi inserire l'ip del modem che ti permette il management da locale, e alla ETH01 di ZS assegnare un ip della stessa classe...
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Dom Gen 18, 2015 11:25 pm    Oggetto: Rispondi citando

Risoltooo !!!

Qui riassumo la soluzione del problema per chi ci legge, ricordando che il modem Telecom si trova su 192.168.1.1:

1) Setup -> Network -> ETHxx (quella fisicamente collegata al modem Telecom), clicco su "Add IP" ed aggiungo un indirizzo dello stesso range del modem, io ho scelto 192.168.1.10 subnet 255.255.255.0 (quindi non 192.168.100.2 come da prima figura del mio post precedente);

2) nella stessa videata clicco su NAT e nella finestra di destra oltre a ppp0 faccio comparire anche ETHxx (vedi seconda figura);

3) sotto Router -> Virtual Server aggiungo una voce come da figura sottostante (il valore 9080 è copyright by redfive... Cool ):



Ed ora da browser il modem è finalmente raggiungibile digitando un "semplice" 192.168.1.1:9080 !



Restebbe da impostare la gestione da fuori rete, infatti per ora con questi settaggi http://hostname:9080 non risulta ancora raggiungibile dall'esterno.

Ma per stasera mi basta... Wink
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Lun Gen 19, 2015 7:48 am    Oggetto: Rispondi citando

Per accedere dalla lan dietro ZS al modem telecom non dovrebbe servirti nessun port-forwarding, dovrebbero essere sufficienti l'ip ed il nat sulla ETH01..La porta 9080 è a caso, può essere 6080, 8060....basta che poi venga forwardata all'80 sull'ip reale, se chiamassi direttamente la 80 ZS potrebbe non gradire, fare un redirect sulla sua 443 e rispondere lui.
Per accedere dall'esterno, dovresti permettere, nel firewall, chain forwarding, in ppp0, out ETH01 , tcp, dport80 ACCEPT, poi hai già una regola RELATED,ESTABLISHED per il ritorno (volendo si potrebbe anche fare una regola di non nat per ciò che 'entra' dalla ppp0 ed è diretto a 192.168.1.1 ...dovrebbe funzionare lo stesso)
Se in virtual server fai una regola senza specificare troppi parametri, è veloce da fare, ma ad esempio se da un host dietro ZS dovessi mai raggiungere 'qualcosa' in internet che è in ascolto sulla tcp 9080, non lo raggiungeresti mai.
ciao
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Lun Gen 19, 2015 1:44 pm    Oggetto: Rispondi citando

redfive ha scritto:
Per accedere dalla lan dietro ZS al modem telecom non dovrebbe servirti nessun port-forwarding, dovrebbero essere sufficienti l'ip ed il nat sulla ETH01..

Confermo, anche senza la regola del Virtual Server il modem Telecom è comunque raggiungibile dalla rete interna.

redfive ha scritto:
La porta 9080 è a caso, può essere 6080, 8060....basta che poi venga forwardata all'80 sull'ip reale, se chiamassi direttamente la 80 ZS potrebbe non gradire, fare un redirect sulla sua 443 e rispondere lui.

Cosa che ad un certo punto si è verificata, non mi ricordo più con che settaggi... il login ZS che spuntava da tutte le parti, un incubo.

redfive ha scritto:
Per accedere dall'esterno, dovresti permettere, nel firewall, chain forwarding, in ppp0, out ETH01 , tcp, dport80 ACCEPT, poi hai già una regola RELATED,ESTABLISHED per il ritorno (volendo si potrebbe anche fare una regola di non nat per ciò che 'entra' dalla ppp0 ed è diretto a 192.168.1.1 ...dovrebbe funzionare lo stesso)

Sempre a beneficio di chi ci segue, ecco la regola necessaria e funzionante:



redfive ha scritto:
Se in virtual server fai una regola senza specificare troppi parametri, è veloce da fare, ma ad esempio se da un host dietro ZS dovessi mai raggiungere 'qualcosa' in internet che è in ascolto sulla tcp 9080, non lo raggiungeresti mai.

E qui ti volevo: prima di creare una regola nel Virtual Server con "Interface" = "ANY" e IP Address = "ANY" ho fatto alcune prove con interfaccie ed IP specifici, ma senza successo. Alla fine mi sono arreso e mi sono accontentato della regola generica di cui sopra.

Funziona, ma mi rimane il dubbio di capire se ci possono essere margini di miglioramento, per evitare come dici giustamente tu l'irraggiungibilità di "qualcosa" che stia in ascolto fuori...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 748

MessaggioInviato: Lun Gen 19, 2015 7:00 pm    Oggetto: Rispondi citando

Hai provato a dichiarere, come input interface la ppp0 ed ANY come ip address , nel virtual server ? In questo modo, tutto ciò che arriva da internet sulla ppp0 ed ha come destinazione la tcp 9080 dovrebbe venire forwardato a 192.168.1.1:80
ciao
P.S. ... ma al posto che aprire tante porte, con connessioni non protette, non ti converebbe usare la vpn ?
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 97

MessaggioInviato: Lun Gen 19, 2015 10:12 pm    Oggetto: Rispondi citando

redfive ha scritto:
Hai provato a dichiarere, come input interface la ppp0 ed ANY come ip address , nel virtual server ? In questo modo, tutto ciò che arriva da internet sulla ppp0 ed ha come destinazione la tcp 9080 dovrebbe venire forwardato a 192.168.1.1:80

Modifica testata e funzionante... come dubitarne ?

Ancora una volta, grazie.

redfive ha scritto:
P.S. ... ma al posto che aprire tante porte, con connessioni non protette, non ti converebbe usare la vpn ?

La VPN l'ho sempre vista come una soluzione "rigida", nel senso che devo avere un client specifico installato sul device che utilizzo per la connessione.

Credo che andrebbe bene per chi accede a risorse remote sempre dagli stessi device opportunamente configurati, mentre nel mio caso _sinora_ ho solo avuto necessità di accessi "generici" dai devices più disparati (es. controllo ip camera o sessione rdp).

Ma ammetto che l'idea di configurare una VPN dentro ZS mi intrippa assai, mi sa che a questo punto mi metto a leggermi per benino il tutorial che hai segnalato nel thread del principiante...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2
Pagina 2 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it