FreeBSD 7 + ipfw + NAT

[BiJey]

установил FreeBSD 7
скомпилировал ipfw + NAT(kernel)
настроил pppoe, запусил правила которые раздают инет в сетку

проблема: при перезагрузке выдает что НАТ не может подхватить айпи с tun0!

pppoe не может почемуто подключиться до того как подгружаються правила фаервола, и потому при загрузке правил ipfw NAT не может подхватить айпи tun0 и сервак не может раздавать инет, НО на серваке инет есть

когда в ручную перегружаю правила [ sh /etc/my.firewall ] инет сразу начинает раздаваться клиентам

айпи на tun0 динамический, при разрыве связи провайдером каждые 24 часа, инет перестает раздаваться

p.s. извеняюсь если невнятно выразился, в freebsd новичек, учусь по man и сайт+форумы и метод тыка... ответы подробно

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

через что реализованно pppoe соединение?

[paradox]

если учитывать что tun0
то наверное через ppp userlevel

[BiJey]

pppoe настраивал по хендбуку, подключение через АДСль

[Soldier]

Поставь себе MPD5 и не парься. Насколько я знаю, что еще надо пересобрать ядро, чтоб не 1 tun0 , а чтобы тунели раздавались для каждого авторизовавшегося юзера. Если не туда меня понесло - исправьте.

[BiJey]

зачем мне много tun-ов? у меня локалка которую надо питать инетом, и зачем ставить стороние порты если есть встроеный, там всегото надо подключиться к провайдеру...
firewall_nat_flags="dynamic" или "-dynamic" надо указывать в rc.conf? или это не поможет?

[Soldier]

я у себя не указывал. Могу скинуть свой pf.conf вот и все.
Кстати, я питаю свою локалку инетом именно таким образом. Если у тебя сеть не масштаба города, а масштаба офиса - можно заюзать простую виндовую машину и работать все будет так же. Если тебе надо обсчитать трафик, то без создания тунеля, для каждого юзера ничего не получится.

[BiJey]

питаю офис, 70-80 компов, ничего подсчитывать ненадо, надо только защитить от атак и урезать некоторым пользывателям инет, но при перезагрузке сервера инет не раздает пока не запутсить в ручную add nat 123 config if tun0
при загрузке надо чтоб первым делом pppoe соеденялось а потом правила ipfw грузились

[princeps]

можно заюзать простую виндовую машину и работать все будет так же.

Ээээ, студент, это же не наш метод!

[BiJey]

одни философы, помогите с проблемой!

[kirgudu]

Самое примитивное, засунуть перечитывание фаервола в ppp.conf. Ну или создание nat'а и удаление его.
/etc/ppp/ppp.linkup
/etc/ppp/ppp.linkdown

Формат файла
лейбл:
чего делаем

Лучше юзать mpd, он меньше систему грузит, т.к. работает в кернеле. Но при данной ситуации все-равно придется производить такое действие.

[BiJey]

какие параметры должны быть у linkup и что в него вписать? пробывал

Код: Выделить всё

 ! sh /etc/my.firewall

и пробывал

Код: Выделить всё

ukrtel:
 ! sh /etc/my.firewall

не помогло, с mpd тогда значит буду пробывать разбераться
если будут еще варианты пишите может поможете мне

[kirgudu]

/usr/share/examples/ppp/

Если дело именно в отсутствии интерфейса - помоч должно.

[BiJey]

я прочитал в одной статье что не надо указывать айпи адрес на сетевой которая смотрит на модем, это поможет?

[kirgudu]

я прочитал в одной статье что не надо указывать айпи адрес на сетевой которая смотрит на модем, это поможет?

нет. pppoe фиолетово, что у тебя там на сетевой карте прибито. Юзай скрипты старта и стопа, проверь что они точно исполняются, добавь sleep где надо.

[BiJey]

подробней про скрипты можно? я ж говорю новичек, не смог с ними разобраться

[kirgudu]

Да чего там подробнее, вот у меня на лейбл bd было так:
bd:
!bg /sbin/route add -net 192.168.64.0 HISADDК

Для дебуга, сделай перенапровление всех сообщений в какой-нибудь файл.

[BiJey]

чтоб перезапутсить нат когда прервалась сесия или не успело подключиться рррое до загрузки правил я набрал в /etc/ppp/ppp.linkup:

Код: Выделить всё

ukrtel:
 !bg sh /etc/rc.firewall

если комуто понадобиться

[iye]

http://www.jimbrooks.org/web/freebsd/pp ... ll_nat.php

[BiJey]

вообще не по теме ссылка

[iye]

На сколько я понял вам нужно раздать инет с ппоешного соединения в локалку с рядом фаервольных правил при подьеме соединения в момент загрузки. Если нет то сори ).