Jump to content

Recommended Posts

Здравствуйте!

Обновил координатор с 3.7.1 до 3.7.4, а ОС с Debian 6 (ядро 2.6.32 ) на Debian 7 (ядро 3.2.57).

Мне нужен проброс rdp-подключения снаружи на машину внутри сети, что реализовано следующим образом, допустим внешний IP координатора (eth1) 1.2.3.4, внутренний (eth0) 192.168.0.1 проброс нужен на 192.168.0.10 и разрешен для внешней машины 5.6.7.8

firewall.conf:


[nat]
rule= num 21 proto tcp from anyip to 1.2.3.4:3389 change dst=192.168.0.10:3389

[forward]
rule= num 100 proto tcp from 5.6.7.8 to 192.168.0.10:3389 pass

На 3.7.1 это работало, на 3.7.4 пакеты режутся по причине "104 - Connection already exists".

вывод iplir view:



06/20 12:17:40xeth0x<D---Tx tcpx 5.6.7.8x51363x 192.168.0.10x 3389
104 - Connection already exists
Interface : eth0

Есть ли вариант починить, не откатываясь на 3.7.1? Может, по другому проброс сделать или настройки какие есть чтоб не резал эти пакеты.

Share this post


Link to post
Share on other sites

iptables не забыл выпилить?

iptables не включены, кроме того режет пакет именно координатор. С самого координатора пингуются и 5.6.7.8 и 192.168.0.10, т.е. с маршрутами тоже все хорошо.

Share this post


Link to post
Share on other sites

В общем, докладываю - версия координатора не причем.

При абсолютно одинаковых конфигурацинооых файлах, проброс порта НЕ работает в Debian 7 (ядро 3.2.57) в координаторе 2.7.1 и 2.7.4. В Debian 6 (ядро 2.6.32 ) - работает.

Все остальные функции координатора работают.

В обоих случаях использовался патч ядра, ошибок при установке никаких нет. Видимо, координатор криво работает с третьим ядром?

Откатился на 6 дебиан, благо он поддерживается до февраля 2016.

Вообще, грустно все это - приходится сидеть на древних, потенциально дырявых дистрибутивах, обеспечивая "защиту" сети.

Видимо, надо настраивать два файерволла - один для защиты на самом деле, на iptables, а уже за ним координатор для выполнения всяких требований.

P.S. Инструкция для установки координатора на чистый Debian 6, вдруг кому пригодится:

1. Качаем например здесь http://gemmei.acc.um...386-netinst.iso

2. Устанавливаем, при выборе пакетов оставляем только SSH сервер, больше ничего не надо.

3. Обновляемся, ставим пакеты для сборки ядра и корректной работы iplir:


apt-get update && apt-get upgrade
apt-get install build-essential kernel-package linux-source-2.6 fakeroot zlib1g-dev ethtool psmisc

4. Разворачиваем дистрибутив координатора, патчим ядро:


cd /home/next/
tar xvzf distribute-i386-linux2.x-3.7.4-4464.tar.gz
cd /usr/src/
tar xvjf linux-source-2.6.32.tar.bz2
ln -s ./linux-source-2.6.32 ./linux
patch -p0 < /home/next/distribute/patch/iplir.patch.2.6.27-2.6.34

5. Собираем и устанавливаем ядро, воспользовавшись старым конфигом. При make oldconfig на все вопросы отвечаем y, кроме блокировки всех пакетов по умолчанию.


cd /usr/src/linux
cp /boot/config-2.6.32-5-686 .config
make oldconfig
fakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-image
fakeroot make-kpkg --initrd --revision=01 --append-to-version=.vipnet kernel-headers
dpkg -i ../linux-image-2.6.32.vipnet_01_i386.deb
dpkg -i ../linux-headers-2.6.32.vipnet_01_i386.deb

6. Перезагружаемся в новое ядро. uname -r должен выдать 2.6.32.vipnet

7. Блокируем обновление ядра (по желанию), дабы спокойно обновлять все остальное.


echo "linux-headers-2.6-686 hold"| dpkg --set-selections
echo "linux-image-2.6-686 hold"| dpkg --set-selections

8. Собственно, ставим координатор. Dst файл должен быть наготове.


cd /home/next/
cp abn_001.dst ./distribute
cd distribute
./install.sh

9. ...

10. profit!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.