Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 12:33:05

Люди спасите специфическая трабла – горю!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Поднял шлюз в офисе 2 на freebsd 6.3 по статье http://www.linuxcenter.ru/lib/articles/ ... etup.phtml

Все работает отлично.

Проблема вот в чем, в офисе 1 стоит виндовый шлюз на kerio (времени нет пересобрать на free по скольку в фре чайник) на этом Kerio поднят VPN-сервак, kerio vpn client отовсюду конектится из вне на ура и все работает!!!
Как открыть этого клиента из локалки офиса 2 (который на free6_3 – ipfw - squid)???

По умолчанию сервис Kerio VPN определен для протоколов TCP и UDP, порт 4090

Для ipfw сделал правило:

Код: Выделить всё

ipfw add 4090 allow all from any to any
Не конектит. :st: Что я :fool: пропустил/несделал\незнал\забыл????!!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Alex Keda » 2008-06-19 12:36:01

читать про синтаксис.
вы правило добавили сномером 4900 а не портом
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-19 12:37:23

никогда не юзал такого клиента
но думаю вас нужно запустить tcdump и посмотреть на какие порты пытаеться щимиться это чудо
и открыть их

хотя непонятно как у вас там интернет вообще работает
юзеры должны с сети нормально ходить в нет
тогда им все видно будет


хотя там может быть другая проблема
в виндового сервера не белый ипи
и его невидно ссети
ну и куча других проблем

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 12:53:49

lissyara писал(а):читать про синтаксис.
вы правило добавили сномером 4900 а не портом
ок исправил

Код: Выделить всё

add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443,4090
всеравно не пускает...
paradox писал(а):никогда не юзал такого клиента
но думаю вас нужно запустить tcdump и посмотреть на какие порты пытаеться щимиться это чудо
и открыть их

хотя непонятно как у вас там интернет вообще работает
юзеры должны с сети нормально ходить в нет
тогда им все видно будет


хотя там может быть другая проблема
в виндового сервера не белый ипи
и его невидно ссети
ну и куча других проблем
через любой другой инет (макдачный вайфай и дома и везде kerio VPN client работает и конектится), а тут нет:
ошибка выскакивает сразу причем говорит
проверьте подключение к сети
- остальной инет пашет нормально, вот конфиг

Код: Выделить всё

#
# /etc/firewall.sh
#
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 1000 pass all from any to any via lo0
/sbin/ipfw add 1100 deny all from any to 127.0.0.0/8
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
/sbin/ipfw add 4000 deny udp from any 137-139 to any via vr0
#/sbin/ipfw add 4090 allow all from any to any
/sbin/ipfw add 4100 deny udp from any to any 137-139 via vr0
/sbin/ipfw add 5000 divert natd ip from 192.168.1.0:255.255.255.0 to any out xmit re0
/sbin/ipfw add 5100 divert natd ip from any to XXX.XXX.XXX.XXX
#/sbin/ipfw add 5200 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80
/sbin/ipfw add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443,4090
/sbin/ipfw add 6000 allow all from any to any
#/sbin/ipfw add 4090 allow all from any to any
Помогите плиз...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение manefesto » 2008-06-19 13:04:40

я такой яростный шо аж пиздеЦ
Изображение

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 14:00:26

manefesto писал(а):http://www.lissyara.su/?id=1356

Все конечно хорошо, а если в rc.conf файрвол открытым сделать

Код: Выделить всё

firewall_type="OPEN"
должно по идее конектиться???

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение manefesto » 2008-06-19 14:08:47

да
я такой яростный шо аж пиздеЦ
Изображение

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 17:20:29

manefesto писал(а):http://www.lissyara.su/?id=1356
Блин, нарооооод, спасайте!!!!
Ну что я сделал не так, всю хандбуку изучил вот до чего дошел

Код: Выделить всё

#
# /etc/firewall.sh
#
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add 1000 pass all from any to any via lo0
/sbin/ipfw add 1100 deny all from any to 127.0.0.0/8
/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
[b]/sbin/ipfw add 3000 allow tcp from any to any 4090 via vr0
/sbin/ipfw add 3100 allow udp from any to any 4090 via vr0
/sbin/ipfw add 3200 allow tcp from any to any 4090 via re0
/sbin/ipfw add 3300 allow udp from any to any 4090 via re0
/sbin/ipfw add 3400 allow tcp from any to any 1907 via vr0
/sbin/ipfw add 3500 allow udp from any to any 1907 via vr0
/sbin/ipfw add 3600 allow tcp from any to any 1907 via re0
/sbin/ipfw add 3700 allow udp from any to any 1907 via re0[/b]
/sbin/ipfw add 4000 deny udp from any 137-139 to any via vr0
/sbin/ipfw add 4100 deny udp from any to any 137-139 via vr0
/sbin/ipfw add 5000 divert natd ip from 192.168.1.0:255.255.255.0 to any out xmit re0
/sbin/ipfw add 5100 divert natd ip from any to XXX.XXX.XXX.XXX
#/sbin/ipfw add 5200 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80
/sbin/ipfw add 5500 deny all from 192.168.1.0/24 to not 192.168.1.0/24 80,21,443
/sbin/ipfw add 6000 allow all from any to any
жирным отмечены порты по которым он по tcpdump-у фигачит...

tcpdump при прозрачной проксе: шпарит на два порта 4090 и 1907
а при включеном /etc/firewall.sh вообще хрень показывает:

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
18:08:09.703333 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:10.253750 IP XXX.XXX.XXX.XXX.49404 > ns.co.ru.domain:  46453+ PTR? 152.39.147.213.in-addr.arpa. (45)
18:08:10.287215 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.49404:  46453 1/7/11 (497)
18:08:10.287470 IP XXX.XXX.XXX.XXX.60185 > ns.co.ru.domain:  46454+ PTR? 62.3.168.192.in-addr.arpa. (43)
18:08:10.307181 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.60185:  46454* 1/1/1 (105)
18:08:11.306550 IP XXX.XXX.XXX.XXX.51809 > ns.co.ru.domain:  46455+ PTR? 10.128.85.194.in-addr.arpa. (44)
18:08:11.327282 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.51809:  46455 1/3/3 (176)
18:08:11.327459 IP XXX.XXX.XXX.XXX.60552 > ns.co.ru.domain:  46456+ PTR? XXX.XXX.XXX.XX.in-addr.arpa. (44)
18:08:11.347273 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.60552:  46456 NXDomain 0/1/0 (102)
18:08:12.559989 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:18.595273 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
18:08:33.604332 IP ZZZ.ZZZ.ZZZ.ZZZ.https > XXX.XXX.XXX.XXX.55210: P 1815127390:1815127629(239) ack 1758337136 win 16384
18:08:33.704419 IP XXX.XXX.XXX.XXX.55210 > 64.12.28.149.https: . ack 239 win 65535
18:08:34.347562 IP XXX.XXX.XXX.XXX.57596 > ns.co.ru.domain:  46457+ PTR? 149.28.12.64.in-addr.arpa. (43)
18:08:34.366410 IP ns.co.ru.domain > XXX.XXX.XXX.XXX.57596:  46457 NXDomain 0/1/0 (114)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-19 17:34:04

выгрузите нахрен фаервол ipfw
загрузите ipfilter
пропишите одной человеческой строкой map для ната
и все у вас заработает
и никогда не используйте того чего не понимаете

фаер сами придумали?
если нет снесите все правила
и пропишите токо те что вы точно знаете как работают

а на будущее ставте логамоунт в конец что бы видеть что и где у вас отбиваеться

меня учили токо одним ответом man man =)

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 17:41:08

paradox писал(а):выгрузите нахрен фаервол ipfw
загрузите ipfilter
пропишите одной человеческой строкой map для ната
и все у вас заработает
и никогда не используйте того чего не понимаете

фаер сами придумали?
если нет снесите все правила
и пропишите токо те что вы точно знаете как работают

а на будущее ставте логамоунт в конец что бы видеть что и где у вас отбиваеться

меня учили токо одним ответом man man =)
спООсибОО за совет, буду дальше анус рвать... :bad:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-19 17:55:03

Код: Выделить всё

18:08:12.559989 IP localhost.2084 > YYYYYYYYYY.online.ptt.net.4090: S 3602106682:3602106682(0) win 65535 <mss 1460,nop,nop,sackOK>
одни запросы на сетап
а в ответ тишина
вот и разберитесь

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение ProFTP » 2008-06-19 18:19:33

нихрена не понял, ты навреное хрнеово vpn сделал!
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 18:32:37

ProFTP писал(а):нихрена не понял, ты навреное хрнеово vpn сделал!
как так хреного, если с OPEN проксей все работает...
paradox писал(а):одни запросы на сетап
а в ответ тишина
вот и разберитесь
Всмысле запросы на сетап??? Поясни плз.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-19 18:37:50

всмысле сходить на книжный рынок и купить книгу по сетям!!

Код: Выделить всё

/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
нахрена это делать если несоображаешь что это такое?!?

протокол tcp так работает
что отправляет пакет с флагом Setup на установку соединение с хостом
на что хост ему отвечает другим пакетом Ack
у тебя ответа нет

удаленный хост молчит
вариант пакет не проходит через твой фаер
либо удаленному хосту наплевать на тебя

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение ProFTP » 2008-06-19 18:43:18

Popengui19, как вы vpn делали?
попробуйте прокси сделать...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 18:55:46

paradox писал(а):всмысле сходить на книжный рынок и купить книгу по сетям!!

Код: Выделить всё

/sbin/ipfw add 1200 deny icmp from any to any frag
/sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
/sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
/sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
/sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
нахрена это делать если несоображаешь что это такое?!?

протокол tcp так работает
что отправляет пакет с флагом Setup на установку соединение с хостом
на что хост ему отвечает другим пакетом Ack
у тебя ответа нет

удаленный хост молчит
вариант пакет не проходит через твой фаер
либо удаленному хосту наплевать на тебя

Охренеть 8) блин, то что пакет не проходит это и так ясно (удаленному не наплевать точно, т.к. с прокси=OPEN все пашет)

вот рабочий дамп при прозрачной прокси:

Код: Выделить всё

# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
...вышлю кому интересно...
вопрс в том как зделать так чтоб проходило
Последний раз редактировалось Popengui19 2008-06-19 19:11:55, всего редактировалось 1 раз.

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-19 19:04:46

А вообще, как я понял kerio vpn client судя по дампу один порт использует по дефолту а остальные берет произвольные... гы ... :st: и что млин делать хз... :st:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-19 19:11:28

купить книгу по сетям
так все vpn работают
сервак на одном порту
а клиент на любом

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Div » 2008-06-20 4:51:35

Попробуй ч/з прокси тип коннект на твой сервер ВПН открыть и по ТСР законетиться клиентом... по крайней мере ОпенВИПИН клиент по ТСР так ходит...
С уважением Сергей

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-20 11:18:36

Div писал(а):Попробуй ч/з прокси тип коннект на твой сервер ВПН открыть и по ТСР законетиться клиентом... по крайней мере ОпенВИПИН клиент по ТСР так ходит...
Я думаю прокся тут не причем дело в файрволе (при открытом фаере все конектится).

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-20 11:22:23

paradox писал(а):купить книгу по сетям
так все vpn работают
сервак на одном порту
а клиент на любом
Книга по сетям это хорошо, спасибо за совет...
не могу только понять как реализовать..
получается мне в исходящей секции надо хреначить TCP и UDP порт 4090, а во входящей по всем портам с ip vpn-сервера???

Не подскажешь формат последней записи?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение manefesto » 2008-06-20 11:26:55

ты статьи читал ?
я такой яростный шо аж пиздеЦ
Изображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение paradox » 2008-06-20 11:30:29

зачем статьи)
ему нужно что бы оно заработало и все

надо бы в него линком про ipfw пульнуть
о том как он устроен и его логику

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение manefesto » 2008-06-20 11:45:56

может ему тупо сюда копи пастом всю статью выложить...
Блин...второй тропик...
я такой яростный шо аж пиздеЦ
Изображение

Popengui19
рядовой
Сообщения: 11
Зарегистрирован: 2008-06-19 12:25:58

Re: Как открыть на freebsd\ipfw\squid порты для KWF VPN client

Непрочитанное сообщение Popengui19 » 2008-06-20 11:48:14

manefesto писал(а):ты статьи читал ?
Читал, все правила переделал, повторяюсь, немогу врубиться только в две вещи:
1 - В нумерации правил в IPFW важен только порядок (всмысле они обробатываются по порядку) или еще что-то???
2 -

Код: Выделить всё

360 allow udp from x.x.x.x to any any in via vr0 keep-state
365 allow tcp from x.x.x.x to any any in via vr0 keep-state
где x.x.x.x - это адрес VPN-сервера
должно пропускать с адреса x.x.x.x все пакеты???

(Прошу прощения за дотошность... просто времени очень мало а в то что я сумел врубиться не работает и гуру под рукой нет а ставить виндовый шлюз не хочу т.к. все равно придется все переделывать только потом...)