Таблица маршрутов, содержимое "/etc/resolv.conf" и "/etc/ppp/ppp.conf". Как именно запускаете ping (DNS-имя или IP-адрес), есть ответы от шлюза провайдера и его DNS-серверов?Skripach писал(а):Адреса локальной сети при подключеном рррое пингуются, мир не пингуется не трассеруется. Что дальше?
Статья: шлюз на OpenBSD
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: Статья: шлюз на OpenBSD
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: Статья: шлюз на OpenBSD
ppp.conf:
default:
ping сайтапровайдера идет, на internet ip. dns провайдера пингуется, мир (ya.ru по имени и по адресу) не пингуется.
default:
resolv.conf:Internet:
set log Phase tun command
set device PPPoE:sk0
set authname user
set authkey *******
set mru 1492
set mtu 1492
enable lqr
set lqrperiod 10
enable lqr echo
enable echo
enable dns
set dial
set login
set timeout 0
set redial 0 0
nameserver который используют клиенты локалки.domain local.xx
nameserver 10.0.0.27
ping сайтапровайдера идет, на internet ip. dns провайдера пингуется, мир (ya.ru по имени и по адресу) не пингуется.
host# ppp -ddial Internet
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
Working in ddial mode
Using interface: tun0
host# ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80009<RXCSUM,VLAN_MTU,LINKSTATE>
ether 00:50:04:d9:86:52
inet 192.168.100.112 netmask 0xffffff00 broadcast 192.168.100.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8000b<RXCSUM,TXCSUM,VLAN_MTU,LINKSTATE>
ether 00:17:31:83:26:b9
inet 10.0.17.11 netmask 0xffff8000 broadcast 10.0.127.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
options=80000<LINKSTATE>
inet 192.168.41.99 --> 195.177.238.30 netmask 0xffffffff
Opened by PID 1668
host# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.3 UGS 0 0 sk0
10.0.0.0/17 link#2 U 3 2 sk0
10.0.17.11 link#2 UHS 0 0 lo0
127.0.0.1 link#4 UH 0 148 lo0
192.168.41.99 link#5 UHS 0 0 lo0
192.168.100.0/24 link#1 U 1 313 xl0
192.168.100.112 link#1 UHS 0 0 lo0
195.177.238.30 link#5 UHS 0 0 tun0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#4 U lo0
fe80::1%lo0 link#4 UHS lo0
ff01:4::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
host#
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: Статья: шлюз на OpenBSD
Skripach, у вас маршрут по-умолчанию после поднятия PPPoE-соединения так и пролегает через внутренюю сеть провайдера. Попробуйте в ppp.conf добавить:
Код: Выделить всё
add! default HISADDR
-
- мл. сержант
- Сообщения: 85
- Зарегистрирован: 2010-06-12 11:45:07
Re: Статья: шлюз на OpenBSD
По вашей статье попытался настроить torrent-client, но ничего к сожалению не вышло ( Ось FreeBSD 8.1 p1
вот конф pf.conf
может где ошибся?
вот конф pf.conf
Код: Выделить всё
ext_if="rl0"
int_if="re0"
icmp_types="{0,3,8,13,14,30}"
proxy_if="10.48.245.254"
proxy_port="3128"
admin="10.48.245.200"
t_port="31337:53421"
int_net="{10.0.0.0/8}"
tcp_out="25, 110, 443, 465, 21845, 5025, 5110, 995, 37777"
table <bruteforce> persist file "/var/log/bruteforce"
set block-policy drop
set skip on lo0
set timeout { frag 10, tcp.established 3600 }
set fingerprints "/etc/pf.os"
scrub in all fragment reassemble
nat on $ext_if from $int_net to !(self) -> ($ext_if)
rdr on $ext_if proto tcp from any to any port $t_port -> $admin
block all
antispoof log quick for { lo0, $int_if, $ext_if }
block drop quick from <bruteforce>
pass in on $int_if proto udp from $int_net to any port domain queue qdns keep state
pass in on $ext_if proto tcp from any to any port $t_port keep state
pass in quick on $int_if inet proto tcp from $int_net to any port { $tcp_out } keep state
pass in on $int_if proto tcp from { $admin } to $int_if port ssh queue ( qssh, qack ) synproxy state ( max-src-conn-rate 5/360, overload <bruteforce> flush
pass in on $int_if proto tcp from $int_net to $proxy_if port $proxy_port
pass quick inet proto icmp all icmp-type $icmp_types keep state
pass out on $ext_if modulate state
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: Статья: шлюз на OpenBSD
А что именно "не вышло"? Что не работает или работает не так, как хотелось?koklushkin писал(а):По вашей статье попытался настроить torrent-client, но ничего к сожалению не вышло
=====
Оставьте в настройке только NAT и проброс порта, а как только всё заработает, тогда уже и защиту с приоритезацией добавляйте.koklushkin писал(а):вот конф pf.conf
=====
Скобка не закрыта.koklushkin писал(а):может где ошибся?Код: Выделить всё
pass in on $int_if proto tcp from { $admin } to $int_if port ssh queue ( qssh, qack ) synproxy state ( max-src-conn-rate 5/360, overload <bruteforce> flush
-
- мл. сержант
- Сообщения: 85
- Зарегистрирован: 2010-06-12 11:45:07
Re: Статья: шлюз на OpenBSD
Сервак боевой, эксперименты только после конца рабочего дня ! Ок попробую без остальных правил....скобка закрыта, при выделение не дотянул ) опробую, отпишусь! Спасибо
-
- проходил мимо
Re: Статья: шлюз на OpenBSD
какие права и владелец выставляются на rndc.key?
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: Статья: шлюз на OpenBSD
Владелец root, права доступа 0640, если верить вот этому коду из /etc/rc:SkiNNi писал(а):какие права и владелец выставляются на rndc.key?
Код: Выделить всё
if [ X"${named_flags}" != X"NO" ]; then
if ! cmp -s /etc/rndc.key /var/named/etc/rndc.key ; then
echo -n "rndc-confgen: generating shared secret... "
if rndc-confgen -a -t /var/named >/dev/null 2>&1; then
chmod 0640 /var/named/etc/rndc.key \
>/dev/null 2>&1
echo done.
else
echo failed.
fi
fi
fi
- alex117
- ст. сержант
- Сообщения: 377
- Зарегистрирован: 2010-07-30 13:25:13
Re: Статья: шлюз на OpenBSD
Не применяются правила pf.conf, а конкретно для nat:
Вот конфиг, уже и не знаю в чем причина:
em0 - внешняя сетевая
em1 - внутренняя
Код: Выделить всё
# pfctl -f /etc/pf.conf
/etc/pf.conf:3: syntax error
pfctl: Syntax error in config file: pf rules not loaded
Код: Выделить всё
set block-policy return
set skip on lo
nat on em0 from 192.168.10.0/24 to any -> em0
block all
pass out keep state
pass quick on em1
em1 - внутренняя
- torki
- сержант
- Сообщения: 165
- Зарегистрирован: 2006-08-19 13:54:29
- Откуда: г. Одесса
Статья: шлюз на OpenBSD
Всем привет! а возможно ли построить? unbound dynamic dns + dhcp
Полюбил Unix, Пиво и Кино.
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Статья: шлюз на OpenBSD
Возможно. Если верить документации, то unbound если сам не умеет чего-то подобного "из коробки", то данный функционал доделывается скриптами.torki писал(а):Всем привет! а возможно ли построить? unbound dynamic dns + dhcp