Динамический IP.. + пару вопросов...

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Error
рядовой
Сообщения: 11
Зарегистрирован: 2007-12-07 22:41:07

Динамический IP.. + пару вопросов...

Непрочитанное сообщение Error » 2007-12-10 21:41:04

Здравствуйте. Подскажите пожалуйсто как настроить IPFW если соеденение по PPPoE и выдается динамический IP...
и как быть если 2а NAT'а, один смотрит в локаьный ресурс провайдера а др. в интернет(PPPoE)
т.е. какуюроль играет ppp_nat="YES"
и нужно ли пhи этом писать natd2_intrfaice="tun0" //PPPoE..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение squid » 2007-12-10 22:12:47

Код: Выделить всё

/sbin/natd -f /etc/natd.conf -n tun0
${fwcmd} add divert natd ip from $lan_inet to any out via tun0
${fwcmd} add divert natd ip from any to $ip_tun in via tun0

/sbin/natd -f /etc/natd.conf -n rl0 -p 8669
${fwcmd} add divert 8669 ip from $lan_inet to any out via rl0
${fwcmd} add divert 8669 ip from any to $ip_rl in via rl0
хех..

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение dikens3 » 2007-12-10 22:35:51

Код: Выделить всё

и нужно ли при этом писать natd2_intrfaice="tun0" //PPPoE..
Нет. нат нужен всего 1, для лок. ресурсов прова.

ppp_nat - 1-й нат, нати автоматически при отправке/получении пакетов на интерфейсе.
natd - 2-й нат.
Итого их стало быть 2-а? Как рулить трафиком в статье всё. (можно конечно и статическими маршрутами, так более удобно и тебе должно подойти)

Читать мою статью:
http://www.lissyara.su/?id=1330
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Error
рядовой
Сообщения: 11
Зарегистрирован: 2007-12-07 22:41:07

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение Error » 2007-12-11 15:26:08

ятак понял что если делатьпо статье: http://www.lissyara.su/?id=1330
то нужно всего лишь в myfirewall добавить:

Код: Выделить всё

/sbin/natd -f /etc/natd.conf -n tun0
${fwcmd} add divert natd ip from $mytun to any out via tun
${fwcmd} add divert natd ip from any to $iptun in via tun

/sbin/natd -f /etc/natd.conf -n rl0 -p 8669
${fwcmd} add divert 8669 ip from $iflan to any out via rl0
${fwcmd} add divert 8669 ip from any to $mylan in via rl0

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение dikens3 » 2007-12-11 16:31:20

Нет в статье 2-х DIVERT на разные наты. Обрати внимание.
nat всегда один на порту 8668. Второй - автоматически работает.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Error
рядовой
Сообщения: 11
Зарегистрирован: 2007-12-07 22:41:07

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение Error » 2007-12-13 19:54:07

блин всёравно чё то не доганяю как динамический айпишник присваивать?
нельзяли поподробнее описать как это делается?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение dikens3 » 2007-12-14 0:38:21

Error писал(а):блин всёравно чё то не доганяю как динамический айпишник присваивать?
Зачем?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение FreePascal » 2007-12-14 2:33:49

Ну если человеку хочется то почему бы и не помочь???

Вырежь его с ifconfig
примерно так

Код: Выделить всё

MyOutIp=`ifconfig tun0 | grep inet | awk '{print $2}'`

Error
рядовой
Сообщения: 11
Зарегистрирован: 2007-12-07 22:41:07

Re: Динамический IP.. + пару вопросов...

Непрочитанное сообщение Error » 2007-12-14 23:45:12

это должно выглядеть дето так???
но мне кажется всё это криво.....

Код: Выделить всё

                    *****
options         IPSTEALTH
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=500
options         IPDIVERT
options         TCP_DROP_SYNFIN
options         IPFIREWALL_FORWARD
options         DUMMYNET

options         DEVICE_POLLING
options         HZ=9000
                    *****
rc.conf

Код: Выделить всё

ifconfig_bge0="DHCP"
ifconfig_bge1="inet 192.168.0.1  netmask 255.255.255.0"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"

natd_enable="YES"
natd_interface="bge0"
natd_flags="-p 8669"

ppp_enable="YES"
ppp_profile="Internet"
ppp_mode="ddial"
ppp_user="root"
ppp_nat="YES"
rc.firewall

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw"				
mnet="bge0"					          //Интерфейс смотрящий в локаль провайдера
mip="10.1.0.0/24"                   //Все IP адреса локли провайдера					
mmip="10.1.2.233"					    //Внешний IP (смотрит в локаль провайдера)

lan="bge1"					           //Интерфейс нашей лок.сети
iplan="192.168.0.1"				     //Внутренний IP машыны
mylan="192.168.0.0/24"				  //Все IP Адреса нашей лок.сети

mytun="tun*"				            //Интерфейс(ы), подключенный к интернету
iptun=`ifconfig tun0 | grep inet | awk '{print $2}'`		

${FwCMD} -f flush
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
#########################################################
# рубим частные сeти
#${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${mnet}
#${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${mnet}]
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${mytun}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${mytun}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${mytun}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${mytun}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${mytun}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${mnet}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${mnet}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${mytun}
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${mnet}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${mnet}
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${mytun}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${mytun}
#########################################################
${FwCMD} add divert 8669 natd ip from ${mylan} to any out via ${mnet}
${FwCMD} add divert 8669 natd ip from any to ${mmip} in via ${mnet}
${FwCMD} add divert 8668 natd ip from ${mylan} to any out via ${mytun}
${FwCMD} add divert 8668 natd ip from any to ${iptun} in via ${mytun}
#########################################################
# рубим траффик к частным сетям через внешний интерфейс
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${mytun}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${mytun}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${mytun}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${mytun}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${mytun}
#${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${mnet}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${mytun}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${mytun}

# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${mip} to any out xmit ${mnet}
${FwCMD} add allow ip from ${iptun} to any out xmit ${mytun}
${FwCMD} add allow udp from any 53 to any via ${mnet}
${FwCMD} add allow udp from any 53 to any via ${mytun}
${FwCMD} add allow udp from any to any 53 via ${mnet}
${FwCMD} add allow tcp from any to ${mip} 21 via ${mnet}
${FwCMD} add allow tcp from any to ${iptun} 21 via ${mytun}
${FwCMD} add allow tcp from any to ${mip} 6666 via ${mnet}   //UniChat
${FwCMD} add allow tcp from ${mytun} to any 5190 in via ${mylan}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11


# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${lan}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${lan}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${lan}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
а так то нужно юзерам из локалки дать досту в интернет и к локальным ресурсам прровайдера. на интернет нужет днс и кеш прокси но это потом