Динамический IP.. + пару вопросов...
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 11
- Зарегистрирован: 2007-12-07 22:41:07
Динамический IP.. + пару вопросов...
Здравствуйте. Подскажите пожалуйсто как настроить IPFW если соеденение по PPPoE и выдается динамический IP...
и как быть если 2а NAT'а, один смотрит в локаьный ресурс провайдера а др. в интернет(PPPoE)
т.е. какуюроль играет ppp_nat="YES"
и нужно ли пhи этом писать natd2_intrfaice="tun0" //PPPoE..
и как быть если 2а NAT'а, один смотрит в локаьный ресурс провайдера а др. в интернет(PPPoE)
т.е. какуюроль играет ppp_nat="YES"
и нужно ли пhи этом писать natd2_intrfaice="tun0" //PPPoE..
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
Re: Динамический IP.. + пару вопросов...
Код: Выделить всё
/sbin/natd -f /etc/natd.conf -n tun0
${fwcmd} add divert natd ip from $lan_inet to any out via tun0
${fwcmd} add divert natd ip from any to $ip_tun in via tun0
/sbin/natd -f /etc/natd.conf -n rl0 -p 8669
${fwcmd} add divert 8669 ip from $lan_inet to any out via rl0
${fwcmd} add divert 8669 ip from any to $ip_rl in via rl0
хех..
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Динамический IP.. + пару вопросов...
Код: Выделить всё
и нужно ли при этом писать natd2_intrfaice="tun0" //PPPoE..
ppp_nat - 1-й нат, нати автоматически при отправке/получении пакетов на интерфейсе.
natd - 2-й нат.
Итого их стало быть 2-а? Как рулить трафиком в статье всё. (можно конечно и статическими маршрутами, так более удобно и тебе должно подойти)
Читать мою статью:
http://www.lissyara.su/?id=1330
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 11
- Зарегистрирован: 2007-12-07 22:41:07
Re: Динамический IP.. + пару вопросов...
ятак понял что если делатьпо статье: http://www.lissyara.su/?id=1330
то нужно всего лишь в myfirewall добавить:
то нужно всего лишь в myfirewall добавить:
Код: Выделить всё
/sbin/natd -f /etc/natd.conf -n tun0
${fwcmd} add divert natd ip from $mytun to any out via tun
${fwcmd} add divert natd ip from any to $iptun in via tun
/sbin/natd -f /etc/natd.conf -n rl0 -p 8669
${fwcmd} add divert 8669 ip from $iflan to any out via rl0
${fwcmd} add divert 8669 ip from any to $mylan in via rl0
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Динамический IP.. + пару вопросов...
Нет в статье 2-х DIVERT на разные наты. Обрати внимание.
nat всегда один на порту 8668. Второй - автоматически работает.
nat всегда один на порту 8668. Второй - автоматически работает.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 11
- Зарегистрирован: 2007-12-07 22:41:07
Re: Динамический IP.. + пару вопросов...
блин всёравно чё то не доганяю как динамический айпишник присваивать?
нельзяли поподробнее описать как это делается?
нельзяли поподробнее описать как это делается?
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Динамический IP.. + пару вопросов...
Зачем?Error писал(а):блин всёравно чё то не доганяю как динамический айпишник присваивать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- FreePascal
- сержант
- Сообщения: 245
- Зарегистрирован: 2006-05-14 8:50:05
- Контактная информация:
Re: Динамический IP.. + пару вопросов...
Ну если человеку хочется то почему бы и не помочь???
Вырежь его с ifconfig
примерно так
Вырежь его с ifconfig
примерно так
Код: Выделить всё
MyOutIp=`ifconfig tun0 | grep inet | awk '{print $2}'`
-
- рядовой
- Сообщения: 11
- Зарегистрирован: 2007-12-07 22:41:07
Re: Динамический IP.. + пару вопросов...
это должно выглядеть дето так???
но мне кажется всё это криво.....
rc.conf
rc.firewall
а так то нужно юзерам из локалки дать досту в интернет и к локальным ресурсам прровайдера. на интернет нужет днс и кеш прокси но это потом
но мне кажется всё это криво.....
Код: Выделить всё
*****
options IPSTEALTH
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=500
options IPDIVERT
options TCP_DROP_SYNFIN
options IPFIREWALL_FORWARD
options DUMMYNET
options DEVICE_POLLING
options HZ=9000
*****
Код: Выделить всё
ifconfig_bge0="DHCP"
ifconfig_bge1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="bge0"
natd_flags="-p 8669"
ppp_enable="YES"
ppp_profile="Internet"
ppp_mode="ddial"
ppp_user="root"
ppp_nat="YES"
Код: Выделить всё
#!/bin/sh
FwCMD="/sbin/ipfw"
mnet="bge0" //Интерфейс смотрящий в локаль провайдера
mip="10.1.0.0/24" //Все IP адреса локли провайдера
mmip="10.1.2.233" //Внешний IP (смотрит в локаль провайдера)
lan="bge1" //Интерфейс нашей лок.сети
iplan="192.168.0.1" //Внутренний IP машыны
mylan="192.168.0.0/24" //Все IP Адреса нашей лок.сети
mytun="tun*" //Интерфейс(ы), подключенный к интернету
iptun=`ifconfig tun0 | grep inet | awk '{print $2}'`
${FwCMD} -f flush
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#########################################################
# рубим частные сeти
#${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${mnet}
#${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${mnet}]
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${mytun}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${mytun}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${mytun}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${mytun}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${mytun}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${mnet}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${mnet}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${mytun}
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${mnet}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${mnet}
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${mytun}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${mytun}
#########################################################
${FwCMD} add divert 8669 natd ip from ${mylan} to any out via ${mnet}
${FwCMD} add divert 8669 natd ip from any to ${mmip} in via ${mnet}
${FwCMD} add divert 8668 natd ip from ${mylan} to any out via ${mytun}
${FwCMD} add divert 8668 natd ip from any to ${iptun} in via ${mytun}
#########################################################
# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${mytun}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${mytun}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${mytun}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${mytun}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${mytun}
#${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${mnet}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${mytun}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${mytun}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${mip} to any out xmit ${mnet}
${FwCMD} add allow ip from ${iptun} to any out xmit ${mytun}
${FwCMD} add allow udp from any 53 to any via ${mnet}
${FwCMD} add allow udp from any 53 to any via ${mytun}
${FwCMD} add allow udp from any to any 53 via ${mnet}
${FwCMD} add allow tcp from any to ${mip} 21 via ${mnet}
${FwCMD} add allow tcp from any to ${iptun} 21 via ${mytun}
${FwCMD} add allow tcp from any to ${mip} 6666 via ${mnet} //UniChat
${FwCMD} add allow tcp from ${mytun} to any 5190 in via ${mylan}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${lan}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${lan}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${lan}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any