Настройка шлюза

[risk94]

хз, такжы пытаюсь сделать pipe - болт!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[InventoR]

Может ты сперва напишеш что у тебя получилось а что нет.
Потом на этом сайте есть куча, просто не сметное количество примеров и их решений.
Почитай man ipfw там все написано как делать pipe.
Не забудь ядро собрать с DUMMYNET

[risk94]

Прочитал man раз 5 уже. Ощущение что понимаю что делать, делаю - болт. Нету резолва если указать примари днс такой же адрес как у шлюза. Гдето рубает фаер. Не пойму!

[zg]

Гдето рубает фаер. Не пойму!

ну а со шлюза работает?

Код: Выделить всё

zg# nslookup www.ru 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   www.ru
Address: 194.87.0.50

zg#

если со шлюза ничё не работает, то у клиентов тем более

проверяй настроки dns

Код: Выделить всё

zg# sockstat | grep named
bind     named      629   3  dgram  -> /var/run/logpriv
bind     named      629   20 udp4   192.168.0.1:53        *:*
bind     named      629   21 tcp4   192.168.0.1:53        *:*
bind     named      629   22 udp4   127.0.0.1:53          *:*
bind     named      629   23 tcp4   127.0.0.1:53          *:*
bind     named      629   24 udp4   *:64272               *:*
bind     named      629   25 udp6   *:64273               *:*
bind     named      629   26 tcp4   127.0.0.1:953         *:*
bind     named      629   27 tcp6   ::1:953               *:*
root     syslogd    567   7  dgram  /var/named/var/run/log
zg#

[risk94]

Код: Выделить всё

nslookup www.ru 127.0.0.1

- не работает

Код: Выделить всё

nslookup www.ru

- работает

[zg]

Код: Выделить всё

sockstat | grep named

[risk94]

Код: Выделить всё

root     syslogd    672   7  dgram  /var/named/var/run/log

Пробовал запустить rndc пишет

Код: Выделить всё

rndc: connect failed: 127.0.0.1#953: connection refused

Гдето лочит фаер помоему, а вот где....

[zg]

Код: Выделить всё

root     syslogd    672   7  dgram  /var/named/var/run/log

прежде чем юзать named его надо запустить

Код: Выделить всё

# Первичная установка
cd /etc/namedb
sh sh make-localhost
echo 'named_enamble="YES" >> /etc/rc.conf

# Запуск
/etc/rc.d/named start

после этого у тебя должен слушаться 53 порт named'ом

Пробовал запустить rndc пишет

Код: Выделить всё

rndc: connect failed: 127.0.0.1#953: connection refused

Гдето лочит фаер помоему, а вот где....

фаер не рубит локалхост от локалхоста, просто сервер DNS не пашет

[risk94]

у меня все так. тока когда делаю /etc/rc.d/named start
он ришет, что мол стартанул. Я смарю его в процессах а его нет

[zg]

у меня все так. тока когда делаю /etc/rc.d/named start
он ришет, что мол стартанул. Я смарю его в процессах а его нет

99%, что ошибка конфига, проверяй точки с запятыми, они должны стоять после ВСЕГО

Код: Выделить всё

SYNOPSIS
       named [-4] [-6] [-c config-file] [-d debug-level] [-f] [-g] [-n #cpus]
             [-p port] [-s] [-t directory] [-u user] [-v] [-x cache-file]

вот рабочий named.conf, сравнивай

Код: Выделить всё

zg# cat /etc/namedb/named.conf
options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";

        listen-on       { 127.0.0.1; 192.168.0.1; };

        forwarders {
                127.0.0.1; 192.168.80.2;
        };
};

zone "." {
        type hint;
        file "named.root";
};

zone "0.0.127.IN-ADDR.ARPA" {
        type master;
        file "master/localhost.rev";
};

// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
        type master;
        file "master/localhost-v6.rev";
};

[risk94]

Код: Выделить всё

# sockstat|grep named
bind     named      4927  3  dgram  -> /var/run/logpriv
bind     named      4927  20 udp4   172.16.100.100:53     *:*
bind     named      4927  21 tcp4   172.16.100.100:53     *:*
bind     named      4927  22 udp4   127.0.0.1:53          *:*
bind     named      4927  23 tcp4   127.0.0.1:53          *:*
bind     named      4927  24 udp4   *:49868               *:*
bind     named      4927  25 tcp4   127.0.0.1:953         *:*
root     syslogd    672   7  dgram  /var/named/var/run/log

Код: Выделить всё

# dig @127.0.0.1 http://www.ru

; <<>> DiG 9.3.4-P1 <<>> @127.0.0.1 http://www.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3321
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;www.ru.                                IN      A

;; ANSWER SECTION:
http://www.ru.                 55010   IN      A       194.87.0.50

;; AUTHORITY SECTION:
http://www.ru.                 55010   IN      NS      ns.demos.su.
http://www.ru.                 55010   IN      NS      ns1.demos.net.

;; ADDITIONAL SECTION:
ns.demos.su.            53123   IN      A       194.87.0.8
ns.demos.su.            53123   IN      A       194.87.0.9
ns1.demos.net.          53115   IN      A       194.58.241.26

;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jan 29 23:18:21 2008
;; MSG SIZE  rcvd: 140

но все равно не пашет, если клиенту дать ip такой же как ушлюза

[Morty]

проверяешь (команды одинаково работают как в винде так и фре)
делаешь это на клиентском тазике за шлюзом

Код: Выделить всё

nslookup
ya.ru
----сотришь че там 
server 192.168.15.7
ya.ru
------сморишь
server 214.10.10.7     (указываешь внешний ДНС который дает провайдер)
ya.ru
--------

Делаешь вывод что пашет что нет, в крайнем случае можешь заюзать за шлюзом внешний провайдерский ДНС,
вторичным или первичным поставь внутрний, потом поборешь named - гуд, нет - всеравно будет пазать через внешний
но лучше разобраться

[risk94]

я так ипробовал - таймаут, хотя named слушает внутренний интерфейс шлюза:

Код: Выделить всё

# sockstat|grep named
bind     named      4927  3  dgram  -> /var/run/logpriv
bind     named      4927  20 udp4   172.16.100.100:53     *:*
bind     named      4927  21 tcp4   172.16.100.100:53     *:*

[zg]

я так ипробовал - таймаут, хотя named слушает внутренний интерфейс шлюза

Код: Выделить всё

nslookup www.ru 172.16.100.100

пашет? если да, то правила фаера в студию

[risk94]

С клиента не пашет, а с шлюза пашет

[zg]

кинь правила фаера

Код: Выделить всё

ipfw list

[risk94]

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from not 172.16.111.111 to 172.16.101.102 dst-port 22 in via rl0
00600 deny ip from 172.16.0.0/16 to any in via xl0
00700 deny ip from 192.168.0.0/24 to any in via rl0
00800 deny ip from any to 10.0.0.0/8 via xl0
00900 deny ip from any to 172.16.0.0/12 via xl0
01000 deny ip from any to 0.0.0.0/8 via xl0
01100 deny ip from any to 169.254.0.0/16 via xl0
01200 deny ip from any to 224.0.0.0/4 via xl0
01300 deny ip from any to 240.0.0.0/4 via xl0
01400 allow ip from any to any via l0
01500 allow icmp from any to any
01600 allow udp from any to me dst-port 53
01700 allow udp from me 53 to any established
01800 divert 8668 ip from any to any via xl0
01900 deny ip from 10.0.0.0/8 to any via xl0
02000 deny ip from 172.16.0.0/12 to any via xl0
02100 deny ip from 0.0.0.0/8 to any via xl0
02200 deny ip from 169.254.0.0/16 to any via xl0
02300 deny ip from 192.0.2.0/24 to any via xl0
02400 deny ip from 224.0.0.0/4 to any via xl0
02500 deny ip from 240.0.0.0/4 to any via xl0
02600 allow tcp from any to any established
02700 allow ip from any to any frag
02800 allow tcp from any to 192.168.0.1 dst-port 25 setup
02900 allow tcp from me 123 to any established
03000 allow ip from any to any dst-port 53
03100 allow tcp from any to 192.168.0.1 dst-port 53 setup
03200 allow tcp from 172.16.101.102 to 192.168.0.1 dst-port 53 setup
03300 allow udp from any to 192.168.0.1 dst-port 53
03400 allow udp from 192.168.0.1 53 to any
03500 allow tcp from any to 192.168.0.1 dst-port 80 setup
03600 deny log logamount 100 tcp from any to any in via xl0 setup
03700 allow tcp from any to any setup
03800 allow udp from 192.168.0.1 to any dst-port 53 keep-state
03900 allow udp from 192.168.0.1 to any dst-port 123 keep-state
65535 deny ip from any to any

[zg]

надо ещё ifconfig ...

хм.. а сбрасывать правила не пробовал?

Код: Выделить всё

ipfw -f flush
ipfw add divert 8668 ip from any to any via xl0
ipfw add allow ip from any to any

ЗЫ для загрузки начальной конфиги фаера /etc/netstart

[risk94]

надо ещё ifconfig ...

хм.. а сбрасывать правила не пробовал?

Код: Выделить всё

ipfw -f flush
ipfw add divert 8668 ip from any to any via xl0
ipfw add allow ip from any to any

ЗЫ для загрузки начальной конфиги фаера /etc/netstart

Код: Выделить всё

# ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=9<RXCSUM,VLAN_MTU>
        inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:50:da:4f:1e:62
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 172.16.100.100 netmask 0xffff0000 broadcast 172.16.255.255
        ether 00:30:4f:25:43:ac
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000

[zg]

у тебя дублируются правила, при чём сначала идёт запрет на "RFC1918 nets", потом диверт на нат, потом опять тот же заперт... странно как то

попробуй следующее
1. Прописать в /etc/rc.conf

Код: Выделить всё

natd_enable="YES"
natd_interface="xl0" # (думаю, что уже прописано)

firewall_enable="YES"
firewall_type="SIMPLE"

2. В файле /etc/rc.firewall закоментировать строку №247 (${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif})
3. /etc/netstart

[risk94]

Самое прикольное что это и есть

Код: Выделить всё

firewall_type="SIMPLE"
 # uname -a
FreeBSD xxxx.xxxx.net 6.3-RELEASE FreeBSD 6.3-RELEASE #0: Sat Jan 26 20:58:46 EET 2008     Avtonoziya@xxxx.xxxx.net:/usr/obj/usr/src/sys/gate  i386

!!!!!

И мои дополнения по поводу 22 порта и icmp (странно, но их помоему небыло .... ) и 111.111 машины

[risk94]

Все заработало вот так:
# ipfw list

Код: Выделить всё

00100 pipe 1 tcp from 192.168.0.2 to any via xl0
00100 allow ip from any to any via lo0
00200 pipe 1 udp from 192.168.0.2 to any via xl0
00200 deny ip from any to 127.0.0.0/8
00300 pipe 1 ip from 192.168.0.2 to any via xl0
00300 deny ip from 127.0.0.0/8 to any
00400 divert 8668 ip from any to 192.168.0.2 via xl0
00500 divert 8668 ip from 172.16.0.0/16 to any via xl0
00600 allow icmp from any to any
00700 deny icmp from any to any frag
00800 deny tcp from any to me dst-port 135,136,137,138,139 via xl0
00900 allow udp from any to any dst-port 53
01000 allow udp from any 53 to any
01100 allow udp from 192.168.0.2 to any dst-port 123 keep-state
01200 deny udp from any to 192.168.0.2 dst-port 123
01300 allow tcp from any to any setup
01400 allow tcp from any to any established
01500 deny ip from any to me
65535 deny ip from any to any

[risk94]

Че дальше строить? squid c delay pool ? А что с авторизацией присоветуете? Средствами Squid привяжу к mac. К IP привязал фаерволом.

[Morty]

на сайте есть много готовых хороших решений,
как расставишь/сделаешь/нафантазируешь так и будет.
Можешь посмотреть есть отличная статья SQUID + AD,
опять же есть статья помоему на базе mpd - настроить внутри впнпулл для выхода в инет,
у кого есть акк на пулле тот в инете у кого нет у того нет. За пул можно прозр. прокси поставить для большей гибкости.
Можешь простенький шлюз + прокси. Рассмотри несколько схем какая твоей оргонизации больше подходит.
Сколько людей, может у тебя 2-3, 10 площадок по городу, связаны они или нет. Или может у тебя 1 точка но 100-300 человек. Или 1 точка а человек 10 -) зачем тогда что-то мудрить. Что руководство хочет увидеть , что руководство сделает для этого чтоб увидеть -))

[risk94]

Да, собсно, все для себя, домашняя сетка, учусь так сказать! Ладно, ща буду собирать сквида .... позжа отпишусь!