Статья: шлюз на OpenBSD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение BlackCat » 2011-01-11 17:13:17

Skripach писал(а):Адреса локальной сети при подключеном рррое пингуются, мир не пингуется не трассеруется. Что дальше?
Таблица маршрутов, содержимое "/etc/resolv.conf" и "/etc/ppp/ppp.conf". Как именно запускаете ping (DNS-имя или IP-адрес), есть ответы от шлюза провайдера и его DNS-серверов?

Skripach
проходил мимо

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение Skripach » 2011-01-17 13:48:22

ppp.conf:
default:

Internet:
set log Phase tun command
set device PPPoE:sk0
set authname user
set authkey *******
set mru 1492
set mtu 1492
enable lqr
set lqrperiod 10
enable lqr echo
enable echo
enable dns
set dial
set login
set timeout 0
set redial 0 0

resolv.conf:
domain local.xx
nameserver 10.0.0.27

nameserver который используют клиенты локалки.

ping сайтапровайдера идет, на internet ip. dns провайдера пингуется, мир (ya.ru по имени и по адресу) не пингуется.

host# ppp -ddial Internet
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so
Working in ddial mode
Using interface: tun0
host# ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80009<RXCSUM,VLAN_MTU,LINKSTATE>
ether 00:50:04:d9:86:52
inet 192.168.100.112 netmask 0xffffff00 broadcast 192.168.100.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8000b<RXCSUM,TXCSUM,VLAN_MTU,LINKSTATE>
ether 00:17:31:83:26:b9
inet 10.0.17.11 netmask 0xffff8000 broadcast 10.0.127.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
options=80000<LINKSTATE>
inet 192.168.41.99 --> 195.177.238.30 netmask 0xffffffff
Opened by PID 1668
host# netstat -rn
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.0.0.3 UGS 0 0 sk0
10.0.0.0/17 link#2 U 3 2 sk0
10.0.17.11 link#2 UHS 0 0 lo0
127.0.0.1 link#4 UH 0 148 lo0
192.168.41.99 link#5 UHS 0 0 lo0
192.168.100.0/24 link#1 U 1 313 xl0
192.168.100.112 link#1 UHS 0 0 lo0
195.177.238.30 link#5 UHS 0 0 tun0

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lo0/64 link#4 U lo0
fe80::1%lo0 link#4 UHS lo0
ff01:4::/32 fe80::1%lo0 U lo0
ff02::%lo0/32 fe80::1%lo0 U lo0
host#

Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение BlackCat » 2011-01-30 3:01:26

Skripach, у вас маршрут по-умолчанию после поднятия PPPoE-соединения так и пролегает через внутренюю сеть провайдера. Попробуйте в ppp.conf добавить:

Код: Выделить всё

add! default HISADDR

koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение koklushkin » 2011-02-02 12:48:28

По вашей статье попытался настроить torrent-client, но ничего к сожалению не вышло ( Ось FreeBSD 8.1 p1
вот конф pf.conf

Код: Выделить всё

ext_if="rl0"
int_if="re0"
icmp_types="{0,3,8,13,14,30}"
proxy_if="10.48.245.254"
proxy_port="3128"
admin="10.48.245.200"

t_port="31337:53421"

int_net="{10.0.0.0/8}"
tcp_out="25, 110, 443, 465, 21845, 5025, 5110, 995, 37777"



table <bruteforce> persist file "/var/log/bruteforce"

set block-policy drop
set skip on lo0
set timeout { frag 10, tcp.established 3600 }
set fingerprints "/etc/pf.os"
scrub in all fragment reassemble


nat on $ext_if from $int_net  to !(self)  -> ($ext_if)
rdr on $ext_if proto tcp from any to any port $t_port -> $admin

block all

antispoof log quick for { lo0, $int_if, $ext_if }

block drop quick from <bruteforce>

pass in on $int_if  proto udp from $int_net  to any   port domain   queue qdns keep state

pass in on $ext_if  proto tcp from any to any port $t_port keep state

pass in quick on $int_if inet proto tcp from $int_net to any port { $tcp_out } keep state

pass in on $int_if proto tcp from { $admin } to $int_if  port ssh  queue ( qssh, qack ) synproxy state ( max-src-conn-rate 5/360, overload <bruteforce> flush

pass in on $int_if  proto tcp from $int_net  to $proxy_if port $proxy_port

pass quick inet  proto icmp all icmp-type $icmp_types keep state

pass out on $ext_if   modulate state

может где ошибся?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение BlackCat » 2011-02-02 15:19:22

koklushkin писал(а):По вашей статье попытался настроить torrent-client, но ничего к сожалению не вышло
А что именно "не вышло"? Что не работает или работает не так, как хотелось?
=====
koklushkin писал(а):вот конф pf.conf
Оставьте в настройке только NAT и проброс порта, а как только всё заработает, тогда уже и защиту с приоритезацией добавляйте.
=====
koklushkin писал(а):

Код: Выделить всё

pass in on $int_if proto tcp from { $admin } to $int_if  port ssh  queue ( qssh, qack ) synproxy state ( max-src-conn-rate 5/360, overload <bruteforce> flush
может где ошибся?
Скобка не закрыта.

koklushkin
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-06-12 11:45:07

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение koklushkin » 2011-02-02 16:20:01

Сервак боевой, эксперименты только после конца рабочего дня ! Ок попробую без остальных правил....скобка закрыта, при выделение не дотянул ) опробую, отпишусь! Спасибо

SkiNNi
проходил мимо

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение SkiNNi » 2013-02-25 10:20:57

какие права и владелец выставляются на rndc.key?

Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение BlackCat » 2013-02-25 11:53:50

SkiNNi писал(а):какие права и владелец выставляются на rndc.key?
Владелец root, права доступа 0640, если верить вот этому коду из /etc/rc:

Код: Выделить всё

   if [ X"${named_flags}" != X"NO" ]; then
      if ! cmp -s /etc/rndc.key /var/named/etc/rndc.key ; then
         echo -n "rndc-confgen: generating shared secret... "
         if rndc-confgen -a -t /var/named >/dev/null 2>&1; then
            chmod 0640 /var/named/etc/rndc.key \
                >/dev/null 2>&1
            echo done.
         else
            echo failed.
         fi
      fi
   fi

Аватара пользователя
alex117
ст. сержант
Сообщения: 320
Зарегистрирован: 2010-07-30 13:25:13

Re: Статья: шлюз на OpenBSD

Непрочитанное сообщение alex117 » 2013-12-31 9:34:10

Не применяются правила pf.conf, а конкретно для nat:

Код: Выделить всё

# pfctl -f /etc/pf.conf
/etc/pf.conf:3: syntax error
pfctl: Syntax error in config file: pf rules not loaded

Вот конфиг, уже и не знаю в чем причина:

Код: Выделить всё

set block-policy return
set skip on lo
nat on em0 from 192.168.10.0/24 to any -> em0
block all
pass out keep state
pass quick on em1

em0 - внешняя сетевая
em1 - внутренняя

Аватара пользователя
torki
сержант
Сообщения: 164
Зарегистрирован: 2006-08-19 13:54:29
Откуда: г. Одесса

Статья: шлюз на OpenBSD

Непрочитанное сообщение torki » 2016-03-03 18:44:55

Всем привет! а возможно ли построить? unbound dynamic dns + dhcp
Полюбил Unix, Пиво и Кино.

Аватара пользователя
BlackCat
прапорщик
Сообщения: 468
Зарегистрирован: 2007-10-16 22:40:42

Статья: шлюз на OpenBSD

Непрочитанное сообщение BlackCat » 2016-05-02 23:05:30

torki писал(а):Всем привет! а возможно ли построить? unbound dynamic dns + dhcp
Возможно. Если верить документации, то unbound если сам не умеет чего-то подобного "из коробки", то данный функционал доделывается скриптами.


Вернуться в «OpenBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя