setfib + ipfw nat + gre

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

setfib + ipfw nat + gre

Непрочитанное сообщение buryanov » 2009-08-30 19:00:54

Есть виндовый vpn сервак, спрятаный за натом. Решил переделать фаервол и прибегнуть setfib.
что было:

Код: Выделить всё

# nat for table 10 full access
${FwCMD} nat 2000 config ip ${ip_nat33} \
                        redirect_port tcp 10.4.2.79:1723 1723 \
                        redirect_proto gre 10.4.2.79 ${ip_nat33}                        
Всё прекрасно работает,
поменял на такие правила:

Код: Выделить всё

# nat for table 10 full access
${FwCMD} nat 2000 config ip ${ip_nat33} \
                        redirect_port tcp 10.4.2.79:1723 1723 \
                        redirect_proto gre 10.4.2.79 ${ip_nat33} 

${FwCMD} add nat 2000 all from any to any tagged 1
делают вот это:

Код: Выделить всё

ipfw nat 2000 config ip 2.1.2.33 redirect_proto gre 10.4.2.79 2.1.2.33 redirect_port tcp 10.4.2.79:1723 1723
08200 nat 2000 ip from any to any tagged 1

Код: Выделить всё

[root@hqgw1 /etc]# tcpdump -n -i ng2 host 92.113.210.215
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ng2, link-type NULL (BSD loopback), capture size 96 bytes
18:30:17.791635 IP 92.113.210.215.52466 > 2.1.2.33.1723: S 1502213724:1502213724(0) win 8192 <mss 1452,nop,wscale 8,nop,nop,sackOK>
18:30:17.791723 IP 2.112.209.33.1723 > 92.113.210.215.52466: R 0:0(0) ack 1502213725 win 0
18:30:18.323898 IP 92.113.210.215.52466 > 2.1.2.33.1723: S 1502213724:1502213724(0) win 8192 <mss 1452,nop,wscale 8,nop,nop,sackOK>
18:30:18.324006 IP 2.112.209.33.1723 > 92.113.210.215.52466: R 0:0(0) ack 1 win 0
18:30:18.862542 IP 92.113.210.215.52466 > 2.1.2.33.1723: S 1502213724:1502213724(0) win 8192 <mss 1452,nop,nop,sackOK>
18:30:18.862664 IP 2.112.209.33.1723 > 92.113.210.215.52466: R 0:0(0) ack 1 win 0
в результате, ничего(vpn) не работает
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: setfib + ipfw nat + gre

Непрочитанное сообщение hizel » 2009-08-31 10:23:40

не вижу setfib и tag это немножко из другой оперы ;]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: setfib + ipfw nat + gre

Непрочитанное сообщение terminus » 2009-08-31 10:35:45

ЕМНИП redirect_proto поломан - используйте ipfw для того чтобы выцепить gre трафик и потом передавайте его на redirect_addr.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: setfib + ipfw nat + gre

Непрочитанное сообщение buryanov » 2009-08-31 11:39:09

hizel писал(а):не вижу setfib и tag это немножко из другой оперы ;]

Код: Выделить всё

${FwCMD} add setfib 0 tag 1 all from table\(10\) to any

#################################

# nat for table 10 full access
${FwCMD} nat 2000 config ip ${ip_nat33} \
                        redirect_port tcp 10.4.2.79:1723 1723 \
                        redirect_proto gre 10.4.2.79 ${ip_nat33}

${FwCMD} add nat 2000 all from any to any tagged 1

Код: Выделить всё

[root@hqgw1 /var/named/var]# ipfw table 10 list
10.4.2.79/32 0
terminus писал(а):ЕМНИП redirect_proto поломан - используйте ipfw для того чтобы выцепить gre трафик и потом передавайте его на redirect_addr.
Поломан в чём, при использовании setfib?
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: setfib + ipfw nat + gre

Непрочитанное сообщение terminus » 2009-08-31 11:49:09

Поломан в чём, при использовании setfib?
просто неработает. по крайней мере мне его никогда и никак не удавалось завести... :(
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: setfib + ipfw nat + gre

Непрочитанное сообщение buryanov » 2009-08-31 14:08:28

Но при данной конфигурации у меня всё работает, я сделал изменения:

Код: Выделить всё

${FwCMD} add nat 2000 all from table\(10\) to any out xmit ${ifwan}
поменял на

Код: Выделить всё

${FwCMD} add setfib 0 tag 1 all from table\(10\) to any
${FwCMD} add nat 2000 all from any to any tagged 1
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov