ipfw+nat+ppoe

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
jahfar
проходил мимо

ipfw+nat+ppoe

Непрочитанное сообщение jahfar » 2009-12-16 19:37:34

Надо настроить шлюз в инет, сделал примерно по статьям с форума...
Поднимается PPPOE и через него все ходят, пользователи, рабатающие через squid работаю нормально, но есть необходимость некоторых выпускать напрямую и кроме того, необходимо пробросить порты на внутренний почтовый сервер, что пока не получаеться, и почему-то подключение pppoe при загрузке системы автоматически не поднимается, приходиться вручную это делать!?!?
Конфиги:

Код: Выделить всё

FwCMD="/sbin/ipfw -q"
LanIn="em0"
LanOut="em1"
NetIn="192.168.32.0/24"
IpIn="192.168.32.8"
IpOut="xxx.xxx.xxx.xx"
ip_lan="192.168.32"

${FwCMD} -f flush

${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.1/8
${FwCMD} add deny ip from 127.0.0.1/8 to any
${FwCMD} add deny ip from ${NetIn} to any via ${LanOut}

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

###SQUID
#${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

###NAT
#${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
#${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}


${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11

${FwCMD} add allow ip from any to any dst-port 25
${FwCMD} add allow tcp from any to any dst-port 25

#${FwCMD} add allow all from ${NetIn} to any out via ${LanIn}
#${FwCMD} add allow all from any to ${NetIn} in via ${LanIn}
${FwCMD} add allow tcp from ${NetIn} to any out via ${LanIn}
${FwCMD} add allow tcp from any to ${NetIn} in via ${LanIn}

#${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
#${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow tcp from any to any out via ${LanOut} setup keep-state

###DNS
#${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
#${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
#${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
#${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
#${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut} setup
#${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup
#${FwCMD} add allow udp from any to ${IpOut} 53 via ${LanId}
#${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanId}

##${FwCMD} add allow udp from ${IpOut} to any 53
##${FwCMD} add allow udp from any 53 to ${IpOut}

${FwCMD} add allow udp from ${IpOut} to any out via ${LanId}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanId}
${FwCMD} add allow udp from ${NetIn} to any 53
${FwCMD} add allow udp from any 53 to ${NetIn}

${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanId} setup
${FwCMD} add allow tcp from any to ${NetIn} 25 in via ${LanIn} setup

${FwCMD} add allow tcp from ${IpOut} to any out via ${LanId} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

${FwCMD} add allow tcp from any to any via ${LanIn}

${FwCMD} add allow tcp from ${ip_lan}.23 to ${NetIn} in via ${LanId}
${FwCMD} add allow tcp from ${ip_lan}.23 to ${NetIn} out via ${LanIn}
${FwCMD} add allow tcp from ${NetIn} to ${ip_lan}.23 in via ${LanIn}
${FwCMD} add allow tcp from ${IpOut} to ${ip_lan}.23 out via ${LanId}

${FwCMD} add deny log all from any to any
${ip_lan}.23 - ip машины которую надо напрямую пускать
rc.conf

Код: Выделить всё

ntpdate_flags="none"
ntpdate_enable="NO"
sshd_enable="YES"
named_enable="YES"
samba_enable="YES"
winbindd_enable="YES"
gateway_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
firewall_enable="YES"
firewall_script="/etc/rc.3"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em1"
natd_flags="/etc/natd.conf"
squid_enable="YES"
apache_enable="YES"
mysql_enable="YES"
natd.conf

Код: Выделить всё

use_sockets     yes
same_ports      yes
redirect_port tcp 192.168.32.5:25 25
-попытка пробросить порт на почтовый сервер
что-то вообще завяз... помогите плз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: ipfw+nat+ppoe

Непрочитанное сообщение reLax » 2009-12-16 19:56:43

А где у тебя переменная $LanId обозначена ? (у тебя таких дохрена там) :)

Код: Выделить всё

...
${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanId} setup
...
и т.д. и т.п.
P.S. Я конечно не знаю, где ты такой конфиг брал, но хотя-бы строка (пускай будет она правильной даже - ${LanIn}) :

Код: Выделить всё

${FwCMD} add allow udp from ${IpOut} to any out via ${LanId}
по крайней мере выглядит просто апофигеем информационных технологий :)

Гость
проходил мимо

Re: ipfw+nat+ppoe

Непрочитанное сообщение Гость » 2009-12-17 8:13:43

${LanId} - tun0 , после поднятия pppoe,это я пробывал уже относительно какого интерфейса правила в ipfw писать.... )