MPD и подключение более 1 юзера

mediamag

Настраивал MPD сервак точно по статье http://www.lissyara.su/?id=1853
Все запустилось, создал двух юзеров, выдал им айпи, и что самое непонятное - происходит следующее - тот кто первым из этих двух юзеров подключится к впн первым, тот и получает доступ к сети, 1С и т д. а второй юзер, который подрубился после первого может только пускать пинги, а вот в сеть его уже не пускает. В чем может быть проблемма?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Shuba · Непрочитанное сообщение **Shuba** » 2009-04-29 17:26:24

mediamag писал(а):Настраивал MPD сервак точно по статье http://www.lissyara.su/?id=1853Все запустилось, создал двух юзеров, выдал им айпи, и что самое непонятное - происходит следующее - тот кто первым из этих двух юзеров подключится к впн первым, тот и получает доступ к сети, 1С и т д. а второй юзер, который подрубился после первого может только пускать пинги, а вот в сеть его уже не пускает. В чем может быть проблемма?

Вообще-то там практически ничего не сказано о настройках фаерволла для работы с клиентами, я сам разбирался с якорями и скриптами создания и удаления интерфейсов в конфигах. Кидай конфиг своего фаерволла, посмотрим...

mediamag

Код: Выделить всё

00010  591199  484928882 pipe 1 ip from not 192.168.0.0/24 to 192.168.0.114,192.168.0.100,192.168.0.24,192.168.0.223,192.168.0.151,192.168.0.240
00050       0          0 check-state
00100      96      14308 allow ip from any to any via lo0
00200    3862     720873 allow ip from any to any via ng0
00400       0          0 deny ip from any to 127.0.0.0/8
00450       0          0 deny ip from 127.0.0.0/8 to any
00500       0          0 deny ip from 192.168.0.0/24 to any in via sk0
00550       0          0 deny ip from xxxxxxxx to any in via sk1
00600       0          0 deny ip from any to 10.0.0.0/8 in via sk0
00610       0          0 deny ip from any to 172.16.0.0/12 in via sk0
00620       0          0 deny ip from any to 0.0.0.0/8 in via sk0
00630       0          0 deny ip from any to 169.254.0.0/16 in via sk0
00700       0          0 deny ip from any to 224.0.0.0/4 in via sk0
00710       0          0 deny ip from any to 240.0.0.0/4 in via sk0
00800       0          0 deny icmp from any to any frag
00810       0          0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00900       0          0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00910       0          0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00920       0          0 reject tcp from any to any not established tcpflags fin
00930     137       8281 reject log logamount 100 ip from any to any not verrevpath in
01000       0          0 deny tcp from any to any dst-port 113 in via sk0
01100       0          0 deny tcp from any to any dst-port 137 in via sk0
01110       0          0 deny tcp from any to any dst-port 138 in via sk0
01120       0          0 deny tcp from any to any dst-port 139 in via sk0
01200       0          0 deny log logamount 100 icmp from any to 255.255.255.255 in via sk0
01210       0          0 deny log logamount 100 icmp from any to 255.255.255.255 out via sk0
01300  449827   66579608 fwd 127.0.0.1,8080 tcp from 192.168.0.0/24 to any dst-port 80 via sk0
01400 1686490  918727122 divert 8668 ip from 192.168.0.0/24 to any out via sk0
01450 2126412 1023668794 divert 8668 ip from any to xxxxxxxx in via sk0
01500       0          0 deny ip from 10.0.0.0/8 to any out via sk0
01510       0          0 deny ip from 172.16.0.0/12 to any out via sk0
01520       0          0 deny ip from 0.0.0.0/8 to any out via sk0
01530       0          0 deny ip from 169.254.0.0/16 to any out via sk0
01600       0          0 deny ip from 224.0.0.0/4 to any out via sk0
01650       0          0 deny ip from 240.0.0.0/4 to any out via sk0
01700     681      30602 deny icmp from any to 83.170.210.38
01750     884      55760 allow icmp from any to any icmptypes 0,8,11
01800   37702    3347261 allow ip from any to 192.168.0.0/24 in via sk1
01850    7983    1489880 allow ip from 192.168.0.0/24 to any out via sk1
01900 8362709 4030204031 allow tcp from any to any established
02000   12426    2181351 allow udp from any to xxxxxxxx dst-port 53 in via sk0
02010   13029     951080 allow udp from xxxxxxx 53 to any out via sk0
02020    4197     511168 allow udp from any 53 to xxxxxxxx in via sk0
02030    4203     268480 allow udp from xxxxxxxx to any dst-port 53 out via sk0
02100       0          0 allow tcp from any to xxxxxxxx dst-port 53 in via sk0
02200       8        384 allow tcp from any to xxxxxxx dst-port 35665 in via sk0 setup
02300      64       3168 allow tcp from any to 192.168.0.222 dst-port 15655 via sk0 setup
02305      69       3468 allow tcp from any to 192.168.0.222 dst-port 15655 via sk1 setup
02310       0          0 allow log logamount 100 tcp from any to 192.168.0.5 dst-port 25017 via sk0 setup
02315       0          0 allow tcp from any to 192.168.0.5 dst-port 25017 via sk1 setup
02320       0          0 allow tcp from any to 192.168.0.5 dst-port 26095 via sk0 setup
02325       0          0 allow tcp from any to 192.168.0.5 dst-port 26095 via sk1 setup
02330   12822     627840 allow tcp from any to 192.168.0.20 dst-port 51413 via sk0 setup
02335   12822     627840 allow tcp from any to 192.168.0.20 dst-port 51413 via sk1 setup
02340      18        976 allow tcp from any to 192.168.0.149 dst-port 21 via sk0 setup
02345      18        976 allow tcp from any to 192.168.0.149 dst-port 21 via sk1 setup
02350       0          0 allow tcp from any to 192.168.0.5 dst-port 26834 via sk0 setup
02355       0          0 allow tcp from any to 192.168.0.5 dst-port 26834 via sk1 setup
02400      38       1824 allow tcp from any to xxxxxxxx dst-port 1723 in via sk0 setup
02401   21962    1693205 allow gre from any to any
02700     143       7032 deny log logamount 100 tcp from any to xxxxxxxx in via sk0 setup
02900   53376    3028320 allow tcp from xxxxxxxx to any out via sk0 setup
02950      54       2736 allow tcp from any to xxxxxxxx in via sk1 setup
03000    2317     112628 allow tcp from 192.168.0.0/24 to any dst-port 25,110,443 in via sk1 setup
03010       0          0 allow tcp from 192.168.0.80 to any in via sk1 setup
03020   20543    1054036 allow tcp from 192.168.0.20 to any via sk1 setup
03030       0          0 allow tcp from 192.168.0.150 to any in via sk1 setup
03040    4290     205920 allow tcp from 192.168.0.5 to any in via sk1 setup
03050       0          0 allow tcp from 192.168.0.149 to any in via sk1 setup
03100    9330     447840 allow tcp from 192.168.0.60 to any in via sk1 setup
03110       0          0 allow tcp from 192.168.0.61 to any in via sk1 setup
03120       0          0 allow tcp from 192.168.0.62 to any in via sk1 setup
03130       0          0 allow tcp from 192.168.0.63 to any in via sk1 setup
03200     775      37200 allow tcp from 192.168.0.24 to any dst-port 20,21,80,5190 in via sk1 setup
03210     422      20256 allow tcp from 192.168.0.114 to any dst-port 20,21,80,8080,5190 in via sk1 setup
03220       0          0 allow tcp from 192.168.0.100 to any dst-port 20,21,80,5190 in via sk1 setup
03230     502      24096 allow tcp from 192.168.0.123 to any in via sk1 setup
03240      92       4416 allow tcp from 192.168.0.211 to any dst-port 20,21,80,8000,5190 in via sk1 setup
03250      40       1920 allow tcp from 192.168.0.11 to any dst-port 20,21,80,5190 in via sk1 setup
03260     371      17808 allow tcp from 192.168.0.223 to any in via sk1 setup
03270    1158      55584 allow tcp from 192.168.0.222 to any via sk1 setup
03280     109       5232 allow tcp from 192.168.0.218 to any in via sk1 setup
03300       0          0 allow tcp from 192.168.0.215 to any dst-port 20,21,80,5190 in via sk1 setup
03310       0          0 allow tcp from 192.168.0.151 to any dst-port 20,21,80-89 in via sk1 setup
03320       0          0 allow tcp from 192.168.0.240 to any dst-port 20,21,80-95,5190 in via sk1 setup
03330       0          0 allow tcp from 192.168.0.152 to any dst-port 20,21,80 in via sk1 setup
03340    2337     112176 allow tcp from 192.168.0.153 to any dst-port 20,21,80,5190 in via sk1 setup
65534   24664    1683030 deny ip from any to any
65535       0          0 allow ip from any to any

вот...но заметьте первый юзер подключившийся к серваку может лазить где угодно с такими правилами, но второй третий и т д юзеры пускают тока пинги в локалку.

Shuba · Непрочитанное сообщение **Shuba** » 2009-04-30 8:38:55

mediamag писал(а):
Код: Выделить всё
00200    3862     720873 allow ip from any to any via ng0
вот...но заметьте первый юзер подключившийся к серваку может лазить где угодно с такими правилами, но второй третий и т д юзеры пускают тока пинги в локалку.

Так у тебя и прописан доступ только на первого (ng0) подключённого юзверя. Второй и более (ng1, ng2 ...) в правилах непрописаны. Тебе нужно в конфиге прописать выполнение скриптов на поднятие и удаление виртуальных сетевых интерфейсов, в которых будут добавляться при поднятии и убираться при удалении правила доступа. Я могу выложить свои правила и скрипты, но у меня стоит PF.

mediamag · Непрочитанное сообщение **mediamag** » 2009-04-30 8:56:58

Я в принципе понимал это где то далеко), взял конфиг с этой статьи http://www.lissyara.su/?id=1258

Код: Выделить всё

default:
        load pptp0
        load pptp1
        load pptp2


pptp0:
        new -i ng0 pptp0 pptp0        # создаём новый интерфейс ngX - имя
        set ipcp ranges 10.53.1.1/32 10.53.1.100/32 #локальный и удалённый IP-адреса
                                      # не должны совпадать с уже имеющимися
        load pptp_standart            # остальные параметры соединения – стандартные

pptp1:
        new -i ng1 pptp1 pptp1
        set ipcp ranges 10.53.1.1/32 10.53.1.101/32
        load pptp_standart

pptp2:
        new -i ng2 pptp2 pptp2
        set ipcp ranges 10.53.1.1/32 10.53.1.102/32
        load pptp_standart

pptp_standart:		# описываем стандартные параметры
        set iface disable on-demand
        set bundle disable multilink
        set link yes acfcomp protocomp

        # Требуем chap авторизации
        set link no pap chap
        set link enable chap
        set link keep-alive 60 180
        set ipcp yes vjcomp

        # Устанавливаем DNS и Wins
        set ipcp dns XXX.XXX.XXX.XXX
        set ipcp nbns XXX.XXX.XXX.XXX

        # Включаем proxy-arp
        set iface enable proxy-arp

        # Включаем компрессию данных
        #set bundle enable compression

        # Включаем компрессию данных, совсестимую с Microsoft-клиентами
        #set ccp yes mppc

        # Включаем шифрование, совместимое с Microsoft-клиентами
        #set ccp yes mpp-e40
        #set ccp yes mpp-e128
        #set ccp yes mpp-stateless
        #set bundle yes crypt-reqd

        # Задаем локальный адрес для входящих соединений
        set pptp self 10.0.10.53

        # Разрешаем входящие соединения
        set pptp enable incoming
        set pptp disable originate

Но не ng0 не ng1 не поднялись - в логах mpd пишется

Код: Выделить всё

unknown comand -  new -i ng0 pptp0 pptp0
unknown comand -  new -i ng1 pptp1 pptp1
unknown option incoming

Но я не пересобирал ядро, так как фряха 7 и говорт что именно на 7 не нужно пересобирать...

snorlov · Непрочитанное сообщение **snorlov** » 2009-04-30 10:03:56

А я вообще не понимаю зачем нужно это правило

Код: Выделить всё

allow ip from any to any via ng0

шифрованный канал уже создан, у клиента ip из локалки...

paradox · Непрочитанное сообщение **paradox** » 2009-04-30 12:16:32

unknown comand - new -i ng0 pptp0 pptp0
unknown comand - new -i ng1 pptp1 pptp1
unknown option incoming

как минимум с этого нужно начинать решать проблему

Shuba · Непрочитанное сообщение **Shuba** » 2009-04-30 15:59:20

mediamag писал(а):Я в принципе понимал это где то далеко), взял конфиг с этой статьи http://www.lissyara.su/?id=1258
Но не ng0 не ng1 не поднялись - в логах mpd пишется
Код: Выделить всё
unknown comand -  new -i ng0 pptp0 pptp0
unknown comand -  new -i ng1 pptp1 pptp1
unknown option incoming

Я не понял, ты взял конфиг от mpd3, подсунул его mpd5 и хочешь чтобы он заработал???

mediamag

А тоесть еще и конфиги разные? Тогда я совсем запутался....Тогда возвращаемся к конфигу с mpd5

Код: Выделить всё

startup:
        # configure mpd users
        # Задаем пароль для доступа в web-intarface
        # т.е меняем password на свой пароль
        set user admin password admin
        # set user password cancer
        # configure the console
        set console self 127.0.0.1 5005
        set console open
        # configure the web server
        set web self 0.0.0.0 5006
        set web open

default:
        load pptp_server

pptp_server:
        # Определяем диапазон выдаваемых IP удалённым клиентам
        # у меня с ...200 по ...220
        set ippool add poolsat 192.168.10.200 192.168.10.220
        create bundle template B
        set iface enable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        # IP адрес сервера, который мы будем показывать клиентам
        # в моем случае 192.168.10.255 (т.е левый IP)
        set ipcp ranges 192.168.55.255/32 ippool poolsat
        # Если есть свой ДНС сервер, то меняем IP адрес
        set ipcp dns 192.168.10.1

# Enable Microsoft Point-to-Point encryption (MPPE)
        set bundle enable compression
        set ccp yes mppc
        set mppc yes compress e40 e56 e128 stateless

        create link template L pptp
        set link enable multilink
        set link yes acfcomp protocomp

        set link action bundle B
        set link no pap chap
        set link enable chap
        set link enable chap-msv1
        set link enable chap-msv2
        set link mtu 1460
        set link keep-alive 10 75

# Configure PPTP and open link
        # Тут указываем IP сетевой карты которая смотрит в ИНЕТ
        set pptp self 192.168.1.11
        set link enable incoming

как в этом конфиге добавить интерфейсы?

Shuba · Непрочитанное сообщение **Shuba** » 2009-04-30 17:56:12

Конфиг у меня практически такой же, но в секции pptp_server: я добавил следующиее:

Код: Выделить всё

	set iface up-script /usr/local/etc/mpd5/if-up.sh
	set iface down-script /usr/local/etc/mpd5/if-down.sh

т.о. при поднятии интерфейса запускается скрипт /usr/local/etc/mpd5/if-up.sh, а при удалении /usr/local/etc/mpd5/if-down.sh.
у меня они такие:

Код: Выделить всё

#cat /usr/local/etc/mpd5/if-up.sh
#!/bin/sh
echo "pass quick on $1 all" | pfctl -a ng-int/$1 -f -

Код: Выделить всё

#cat /usr/local/etc/mpd5/if-down.sh
#!/bin/sh
pfctl -a ng-int/$1 -F rules

Но повторяю, это для PF.
С синтаксисом ipwf я не сильно знаком, поэтому посмотри сам на предмет написания скрипта

mediamag

Спасибо Shuba всего лишь нужно было создать правила для всех юзеров назначая им ng0 ng1 и тд интерфейс

Shuba · Непрочитанное сообщение **Shuba** » 2009-05-01 11:24:54

mediamag писал(а):нужно было создать правила для всех юзеров назначая им ng0 ng1 и тд интерфейс

Эх, молодежь... А если клиентов будет не 5-10, а 100-1000, ты тоже ручками их всех в фаерволл вобъёшь???

mediamag

А есть другой ход? Если можно поделитесь пожалуйста.

Shuba · Непрочитанное сообщение **Shuba** » 2009-05-02 7:38:09

mediamag писал(а):А есть другой ход? Если можно поделитесь пожалуйста.

А предыдущие мои мессаги ты не читал что-ли???

Shuba писал(а):Конфиг у меня практически такой же, но в секции pptp_server: я добавил следующиее:
Код: Выделить всё
	set iface up-script /usr/local/etc/mpd5/if-up.sh
	set iface down-script /usr/local/etc/mpd5/if-down.sh
т.о. при поднятии интерфейса запускается скрипт /usr/local/etc/mpd5/if-up.sh, а при удалении /usr/local/etc/mpd5/if-down.sh.
у меня они такие:
Код: Выделить всё
#cat /usr/local/etc/mpd5/if-up.sh
#!/bin/sh
echo "pass quick on $1 all" | pfctl -a ng-int/$1 -f - 
Код: Выделить всё
#cat /usr/local/etc/mpd5/if-down.sh
#!/bin/sh
pfctl -a ng-int/$1 -F rules
Но повторяю, это для PF.

mediamag

Погоди - не могу понять - при каждом подключении нового юзера мпд запускает автоматом новый интерфейс ngo ng 1 и т д. А при закрытии клиентов сам их удаляет. Я это увидел когда например trafshow набирал.

Shuba · Непрочитанное сообщение **Shuba** » 2009-05-03 15:43:39

mediamag писал(а):Погоди - не могу понять - при каждом подключении нового юзера мпд запускает автоматом новый интерфейс ngo ng 1 и т д. А при закрытии клиентов сам их удаляет. Я это увидел когда например trafshow набирал.

Всё правильно. Запусти ifconfig до подключения клиентов, после подключения 1-го клиента, после подключения 2-го клиента. Также если прописаны set iface up-script и set iface down-script - то выполняются ещё и данные скрипты, которым передаётся 5 (точно не помню) параметров, такие как: имя поднимаемого-удаляемого интерфейса (ng0, ng1, ng2, ...), айпишник поднимаемого-удаляемого интерфейса, имя пользуна, который залогинился и поднял-удалил данный интерфейс и какие-то ещё 2 параметра. Можешь сделать такой скрипт к примеру:

Код: Выделить всё

#!/bin/sh
echo $1>>/root/1.txt
echo $2>>/root/2.txt
echo $3>>/root/3.txt
echo $4>>/root/4.txt
echo $5>>/root/5.txt

и подсунуть его в конфиг mpd на поднятие и удаление интерфейса. Соответсвенно в файлах /root/1.txt ... /root/5.txt ты увидишь что он передал и можешь использовать эти данные в своих скриптах

snorlov · Непрочитанное сообщение **snorlov** » 2009-05-03 20:44:43

Shuba писал(а): Всё правильно. Запусти ifconfig до подключения клиентов, после подключения 1-го клиента, после подключения 2-го клиента. Также если прописаны set iface up-script и set iface down-script - то выполняются ещё и данные скрипты, которым передаётся 5 (точно не помню) параметров, такие как: имя поднимаемого-удаляемого интерфейса (ng0, ng1, ng2, ...), айпишник поднимаемого-удаляемого интерфейса, имя пользуна, который залогинился и поднял-удалил данный интерфейс и какие-то ещё 2 параметра. Можешь сделать такой скрипт к примеру:
Код: Выделить всё
#!/bin/sh
echo $1>>/root/1.txt
echo $2>>/root/2.txt
echo $3>>/root/3.txt
echo $4>>/root/4.txt
echo $5>>/root/5.txt
и подсунуть его в конфиг mpd на поднятие и удаление интерфейса. Соответсвенно в файлах /root/1.txt ... /root/5.txt ты увидишь что он передал и можешь использовать эти данные в своих скриптах

Ребята, а я все равно не могу понять, зачем ставить fiewall на интерфейсы ng*, пользователь уже авторизован, канал зашифрован, и его ip это ip уже из внутренней сетки...

paradox · Непрочитанное сообщение **paradox** » 2009-05-03 20:56:09

ну я думаю там не совсем фаервол там очереди аля altq или что то подобное

mediamag

Если не открыть трафик по интерфейсу на который подрубился юзер, то идут только пинги.

paradox · Непрочитанное сообщение **paradox** » 2009-05-03 21:18:41

если правильно сконфигурирован фаервол то ничего открывать не надо

mediamag

Ну у меня правла почти идентичны тем, что тут http://www.lissyara.su/?id=1127 c небольшими переделками под свои нужды

forum.lissyara.su

MPD и подключение более 1 юзера

MPD и подключение более 1 юзера

Услуги хостинговой компании Host-Food.ru

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера

Re: MPD и подключение более 1 юзера