Настройка iptables для начинающих

iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Для использования утилиты iptables требуются привилегии суперпользователя (root).Иногда под словом iptables имеется в виду и сам межсетевой экран netfilter.

1. Что же такое межсетевой экран и зачем он нужен?
Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
2. Принципы работы iptables
Когда пакет приходит на наш межсетевой экран, то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:

1. Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
2. Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network

You can use this script to install Elastix on VPS servers:

 Источник: linuxexpert.ro

#!/bin/sh

# Create an server virtual machine.  This one for

# checking Centos 5.3 operation running Elastix (asterisk plus extra)

VID=101

vzctl create $VID --ostemplate centos-5-x86 --config vps.basic

vzctl set $VID --onboot yes --save

vzctl set $VID --hostname elastix.bozo.com --save

vzctl set $VID --ipadd 192.168.0.$VID --save

vzctl set $VID --nameserver 192.168.0.253 --save

vzctl set $VID --userpasswd root:elastix

vzctl start $VID

echo " RUN : vzctl exec $VID passwd "

echo " Boost up the quota for disk and memory space "

vzctl set $VID --diskspace 10485760 --save

vzctl set $VID --kmemsize 15242880 --save

vzctl set $VID --othersockbuf 636896 --save

vzctl set $VID --numothersock 480 --save

vzctl set $VID --privvmpages 1000000 --save

vzctl set $VID --numproc 100 --save

# Restart the Virtual machine  so that it gets the IP addresses, etc.

vzctl restart $VID

# Where do we start here  install using yum

sleep 20

REPO=/var/lib/vz/private/$VID/etc/yum.repos.d/elastix.repo

echo "[elastix]" >> $REPO

echo "name=Elastix RPM Repository for CentOS" >> $REPO

echo "baseurl=http://repo.elastix.org/centos/$releasever/updates/RPMS/" >> $REPO

echo "gpgcheck=0" >> $REPO

echo "enabled=1" >> $REPO

echo "" >> $REPO

vzctl exec $VID "yum -y install asterisk*"

vzctl exec $VID "yum -y install elastix-*"

vzctl exec $VID "yum -y install freeze"

vzctl exec $VID "yum -y install fxload"

vzctl exec $VID "yum -y install kernel-module-rhino*"

vzctl exec $VID "yum -y install libmfcr2"

vzctl exec $VID "yum -y install lzop"

vzctl exec $VID "yum -y install perl-HTML-TokeParser-Simple"

vzctl exec $VID "yum -y install perl-WWW-Mechanize"

vzctl exec $VID "yum -y install mod_ssl"

 

You can also install from rpm. If you have dependences try to install with --nodeps 

Here are standard password for elastix: 

Interface   Login    Password

Elastix       admin   palosanto

freePBX     admin   admin

FOP           admin   eLaStIx.2oo7

A2Billing    admin   mypassword

MySQL       root      eLaStIx.2oo7

SugarCRM  admin  password

vTiger        admin   admin

          Openfire    admin   Whatever set at install

Using the Linksys SPA400 with Asterisk

Image via WikipediaIntroduction
For small- and medium-sized businesses, going all-VoIP is not an easy decision.
Fortunately, the switch-over, which can result in substantial savings and add bold new capabilities to tired old office phone systems, can be done in baby-steps: Purchase an Internet Protocol (IP) based phone system, but keep the PSTN lines, for now.
It is indeed possible to integrate VoIP into an existing office analog system, keeping current phone services intact while routing costly toll calls out over IP. Until recently, though, the hardware needed for such integration was difficult to use and expensive.
There are two ways to route calls between VoIP and the PSTN: subscribe to an Internet Telephony Service Provider (ITSP) or keep the PSTN lines and purchase equipment to make the conversion.
Keeping the PSTN lines requires VoIP gateways to convert the PSTN signal to a VoIP signal. For analog lines, these gateways need a Foreign Exchange Office (FXO) port.
Until recently, most reasonably priced VoIP gateways had only one or two FXO ports - enough ports for home use, but too few for small businesses and remote offices.
The average price for a four FXO port VoIP gateway was $400-$500, until Linksys released the SPA400.
The Linksys SPA400 is an attractive low-cost four FXO port solution that costs $100 less than its peers.
The official position from Linksys is that the SPA400 will only work with the Linksys SPA9000, but in this article, we explain how to configure the SPA400 to work with Asterisk - the Open Source PBX . We also have a related configuration for the CommuniGate Pro Internet Communication System.
This article covers the SPA400 with firmware version 1.0.0.3 and Asterisk version 1.2.7.1. The configuration for new product versions may differ, so check the Voxilla Forums for updated information.
[h1]Configuring the SPA400[/h1]
Connect to the SPA400 via the Web interface. The default username is Admin (case sensitive) and no password.
Setup->Basic Setup

SPA400_setup.jpg
SPA400 Setup->Basic Setup Tab

1. Go to the Basic Setup screen.
2. Setup the Fixed IP Address information for the SPA400. Do not use Dynamic IP Addresses – the Asterisk server must find the SPA400 and register with it.
3. Setup the SPA400 DNS and NTP information.
4. Click Save Settings.
   

FreePBX за NAT

Image via Wikipedia

Установите модуль Asterisk SIP Settings
Предполагается что с вашего сервера/роутера проброшены порты:
5060 UDP - для инициации SIP соединения.
10000 - 20000 UDP - для голосовых пакетов. (диапазон можно уменьшить в файле /etc/asterisk/rtp.conf)
Установите следующие значения
NAT - yes
IP configuration - Static IP
Extern IP - 123.123.123.123 -внешний IP адрес
Local Networks - 192.168.0.0/255.255.255.0 -локальная сеть
Reinvite Behavior - No

Скриншоты

Бесплатная парковка домена от zoneedit_com

В этой статье я расскажу как получить бесплатные DNS для регистрации домена и для его парковки. Для начала немного теории.
DNS (англ. Domain Name System — система доменных имён) — это система, позволяющая преобразовывать символьные имена доменов в IP-адреса (и наоборот) в сетях TCP/IP. DNS была разработана Полом Мокапетрисом в 1983 году.
DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-сервера, различая их по имени запроса. Первоначально преобразование между доменными и IP-адресами производилось с использованием специального текстового файла DHOSTS.TXT, который составлялся централизованно и обновлялся на каждой из машин сети вручную. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS.

Парковка домена ( хостинг домена)

Услуга парковки доменного имени означает, прежде всего, поддержку DNS-зоны вашего домена с обеспечением открытия какого-либо сайта при вводе в адресной строке браузера имени этого домена.
Парковка домена нужна в том случае когда вы пока не готовы к организации своего виртуального сервера, но опасаетесь, что выбранное вами доменное имя займет кто-то другой. Пока вы готовите свой сайт, доменное имя можно зарезервировать и даже показывать какую-либо страничку.

Немного о ZoneEdit.Com

ZoneEdit.Com – один из самых известных и вполне стабильных раздавателей DNS. На данный момент обслуживает более 600 тысяч доменов.
Помимо того что он бесплатно предоставляет DNS, он также предлагает несколько полезных сервисов. Вот некоторые из них: WebForward, MailForward и др. Подробнее опишу ниже.
Ограничения: на один аккуант – не больше пяти доменов.

И так, вся теория позади.
Первым делом нужно перейти на ZoneEdit.Com .
Ура, вот этот долгожданный сайт. За регистрацией идем сюда “Free Sign Up”. Ждем, появляется формы регистрации, в которой заполняем все поля. В выпадающем меню выбираем пункт – “Free Trial – up to 5 zones” и жмем на кнопку “Sign Up Now”. Все, регистрация завершена, ждем письмо с паролями. Письмо обычно приходит через пару секунд.

После того как мы благополучно получили пароли идем снова на наш любимый ZoneEdit.Com. Внизу страницы щелкаем по ссылке “Secure Login” и вводим полученные раньше Login и Password. Для того, чтоб добавлять зону под наш домен твердо жмем “Add Zones”. В появившемся окне напротив надписи Enter Domain Name: вписываем свой домен и снова жмем по кнопке “ Add Zones ”. На следующей страничке выписываем ns1 и ns2 с IP адресами. Они Вам понадобятся для внесения изменений в базу РосНИИРОС. Внести эти изменения можно самому на сайте РосНИИРОС, либо попросить об этом регистратора домена, но при этом не забудьте подождать несколько дней, чтоб сервера ZoneEdit обновились.

В принципе этих действий достаточно для того чтоб домен парковался на DNS серверах ZoneEdit.Com. Если Вы хотите полноценно работающие DNS, то необходимо прописать IP адрес сайта ( нужен выделенный IP ). Для этого нужно перейти по ссылке “Edit Zone” (редактирование зоны), на появившейся странице выбираем пункт “ IP Addressses”. Далее в поле “Name” водим www, а в поле “Numeric IP” IP адрес сайта, щелкаем по кнопке “Add New IP Address”. После нажатия кнопки подтверждаем IP адрес. Все.

Теперь немного о других полезных услугах.

1.WebForward- этот сервис позволяет выполнять редирект. Эта услуга полезна если сайт находится на бесплатном хостинге и имеет “кривой” домен вида www.site.besplat-hosting.ru. Еще один плюс этой услуги в том, что после ее настройки на некоторых бесплатных хостингах пропадает реклама. Чтоб воспользоватся этим сервисом необходимо в панели администрирования выбрать пункт “ WebForward ”, на появившейся странице под надписью New Domain вводим www, а под Destination название домена на который будет выполнен редирект. Незабываем поставить галочку. Если есть необходимость прописываем Title – заголовок , Keywords – ключевые слова, Description – описание и хлопаем по кнопке “Add New”.
2.MailForward – позволяет выполнить редирект с chto-ugodno@site.ru на любой из ваших почтовых ящиков. Причем этота бесплатная услуга настраивается автоматически, редирект идет на email указанный при регистрации.
Все остальное узнаете на их сайте. Удачи.

Настройка Winprint HylaFAX

Winprint HylaFAX

Installation Instructions

Winprint HylaFAX is a Windows print monitor designed to send its output directly to a HylaFAX Server. Once installed, you can print to a HylaFAX Server from any application, and it will pop up a simple dialog box, allowing you to enter the destination FAX number. It's not intended to be fancy or all encompassing, just a quick and easy way to send FAXes from any Windows application It can be downloaded here. To go to the sourceforge pages for this software to comment, report bugs, or get source code, click here. It is packaged in the form of a Windows Installer, which installs the required sets of .DLL files and registers the monitor with the system. This adds support for a new type of port to your system, called a "WinPrint HylaFAX Port." Once you've successfully installed the files, setup is straightforward, but it has a number of steps. First, you'll want to create an appropriate PostScript printer using the "Add Printer" button. You want to select a "Local printer," but since it's not a physical printer, uncheck the "Automatically detect and install my Plug and Play printer" box. Next, you'll be asked what port to use. Select the radio button "create a new port type." If the installation went well, you should see "Winprint Hylafax" as one of the options. The drop list might scroll, so it may not be obvious that it's at the bottom of the list. (If it doesn't appear on the list at all, something went wrong with your installation.)

Asterisk и DTMF при callback

Image via Wikipedia

Проблема

При организации функции callback на Asterisk`е, когда Asterisk перезванивает и ты пытаешься ввести тоном номер, то нажатые тобой цифры начинают задваиваться, а то и затраиваться.
Причем это могло происходить не всегда и не зависело от аппарата, на котором набирали тоном.
Так же после многочисленных тестов стало точно понятно, что когда идет звонок из «города» на Asterisk, то подобных проблем не возникает, только если сам Asterisk звонит в «город».
VoIP соединение идет так:
E1 <–> Cisco AS5350 (c5350-js-mz.124-15.T11.bin) <–> Asterisk (версия 1.4.29_2)
Попробую более менее внятно рассказать о процессе нашего разбора с этой проблемой и последовательности действий, а вдруг кому ещё пригодится кроме меня, если я захочу освежить память по этому вопросу через какое то время.

Начали разбор полетов

Для того что бы выявить проблему стало понятно, что нужно подебажить DTMF на самом Asterisk. Как это сделать ?
Пока опыт работы с Asterisk не такой большой как хотелось бы, посему прибегнули к помощи гугла, через минут пять выяснили:
Открываем файл  logger.conf и там ищем строчку:
console => notice,warning,error
В нее дописывем dtmf, получаем:
console => notice,warning,error,dtmf
Сохраняем файл, входим в консоль Asterisk`а:
asterisk -r
И в консоле даем команду:
asterisk*CLI> logger reload
После чего, в той же консоле, задаем уровень дебага, я делал так:
asterisk*CLI> core set debug 3
Далее, для того что бы потестить нажатие кнопок, я внес нехитрые изменения в dialplan:

[dtmf_test]
exten => s,1,Answer()
exten => s,n,Wait(1)
exten => s,n(collect),Read(digito,,11)
exten => s,n,SayDigits(${digito})
exten => s,n,GoTo(collect)
exten => s,n,Hangup

Т.е. поднимаем трубку, ждем ввода 11-ти цифр, а затем проговариваем все что набрали, собственно в этот контекст я перенаправил callback вызовы.

Управление полосой пропускания - Bandwidth Management - ШЕЙПИНГ ROUTER ZYXEL

В данной статье описаны типовые применения технологии Bandwidth control, используемой в оборудование ZyXEL. Вы так же можете сохранить данную статью у себя на компьютере, воспользовавшись ссылкой на прикрепленный документ справа.

Управление полосой пропускания (Bandwidth management) в устройствах ZyXEL

С использованием высокоскоростной технологии ADSL в дополнение к стандартным услугам Интернета вы получаете возможность подключить к Интернету несколько компьютеров одновременно, а также использовать множество новых приложений, таких, как просмотр фильмов, телевидение, радио, общение голосом по IP, on-line игры и т.д. Все эти приложения предъявляют разные требования к скорости передачи данных. Для их совместного использования необходима технология, позволяющая управлять полосой пропускания.
Технология управления полосой пропускания Bandwidth control, реализованная в оборудовании ZyXEL, позволяет, во-первых, гибко разделять общий канал в Интернет между несколькими компьютерами таким образом, чтобы работа одного из них не мешала работе других; во-вторых, разделять канал между различными приложениями на одном компьютере таким образом, чтобы, например, on-line игра не мешала прослушиванию интернет-радио или общению по skype.

Ниже приводятся типовые применения технологии Bandwidth control. Если вы не хотите читать все пояснения или обладаете достаточным опытом, можете воспользоваться пошаговой инструкцией, приведенной в конце статьи.

Применение 1. Разделение интернет-канала между несколькими компьютерами

Например, ваша домашняя сеть состоит из двух компьютеров, подключенных к ADSL-модему ZyXEL P-662HW и имеющих доступ к Интернету, как показано на рисунке.

 В этом случае может потребоваться разделение всего канала между компьютерами, подключенными к Интернету. Предположим, необходимо обеспечить комфортную работу в Интернете двух компьютеров домашней сети PC1 и PC2, так чтобы интенсивность работы в сети одного компьютера не влияла на скорость работы другого. Это становится особенно важным в случае использования, например, интернет-радио или видеоприложений.
Bandwidth control позволяет зарезервировать гарантированную полосу пропускания для каждого компьютера в сети. Если у вас довольно быстрый канал, вы вряд ли почувствуете замедление работы интернет-приложений при одновременном использовании канала двумя компьютерами. Однако при наличии канала с ограниченной скоростью может потребоваться распределение его скорости между всеми пользователями сети в зависимости от их потребностей.
Решить такую задачу позволяет технология управления полосой пропускания Bandwidth control.

Kerio WinRoute Firewall - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов.

Image via Wikipedia

В последнее время на форуме часто встречаются вопросы, связанные с неправильной настройкой DNS (почта по IP -адресу работает, а по имени сервера - нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена (по определению тов. Naliman-а ;), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет :)

Настройка роутера Cisco 851

Недавно попала мне в руки вот такая железяка – http://www.cisco.com/en/US/products/ps6195/index.html

Производитель в своей презентации всеми силами убеждал зрителя, что она надежна и очень проста в настройке. Поверив бренду, раскошелился на этот девайс. Практически с самого начала общения с этой железякой, появилось, не то чтобы разочарование… назовем это «хваленый бренд упал в моих глазах».

Теперь ближе к теме. На этой страничке я хотел рассказать не особо искушенным в области использования командной строки Cisco IOS пользователям, о базовой настройке этого маршрутизатора и обратить их внимание на некоторые «подводные камни», которые мне встретились.

Правильные настройки DNS - Kerio Winroute

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена , точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет :)


Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), через который мы и будем выходить в Интернет, и на который естественно :) будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:
NIC1: 192.168.0.1 mask 255.255.255.0
NIC2: 172.30.0.1 mask 255.255.255.0
почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.
1. Настройка DNS в одноранговой сети.
Настройки внутренней сетевой карты сервера Kerio:

192.168.0.1 - IP-адрес компьютера с Kerio Winroute
255.255.255.0 - маска
192.168.0.1 - в качестве DNS-сервера указываем IP-адрес этой же сетевой
Шлюз НЕ указываем!