Снова вопрос про NAT и PPPoE.

[4mz]

Доброго всем времени суток . Наверняка тема уже не раз поднималась, и даже поискав по форуму я нашел для себя некоторые моменты которые мне помогли пролить некий свет на мою проблемку. Но всетаки я прошу у вас помощи, потому как так и не смог до конца для себя определиться.
Есть машина с FreeBSD 7.1
2 сетевых интерфейса, один в локалку, второй соответственно в инет.
Доступ в инет осуществляется через PPPoE (шнуроком напрямую в сетевушку, без модема), ip белый, но динамический, каждый раз при переподключении меняется.
Собрал ядро с опциями
options IPFIREWALL # встраиваем поддержку файрволла в ядро
options IPFIREWALL_VERBOSE # вывод информации об отброшенных пакетах
options IPFIREWALL_VERBOSE_LIMIT=300 # ограничение, чтоб весь /var # логами не засрали
options IPFIREWALL_FORWARD # включаем поддержку перенаправления TCP пакетов ядром
options IPDIVERT # поддержка IP-маскарадинга
options DUMMYNET # поддержка DUMMYNET (искуственное
Дальше следуя статье Лисяры http://www.lissyara.su/?id=1127, пытаюсь настроить НАТ, но почти сразу натыкаюсь на проблему указания исходящего IP, на этом встаю в тупик. Подскажите как настроить НАТ без указания внешнего IP, или может как то можно сделать чтобы он в правилах файрволла динамически обновлялся.
Вот тут человек (shroo0m » 2009-02-20 12:53:21 )пишет http://www.lissyara.su/?id=1127 что нужно пересобрать мир и ядро с опциями, но это видимо немного из другой оперы, там как опции в ядре другии. Будет ли такая конфигурация работать? Дальше читая тему я так и не понял заработало у топикстартера такими образом что то или нет.
Буду благодарен за любые ответы ). Прошу сильно не пинать, ФриБСД тока начал осваивать. До этого работал только с Линукс, а там было проще - поднял максарадинг одним правилом iptables указав входящий и исходящий интерфейсы и все )))) Тут все оказалось несколько сложнее, но это я думаю по ночалу.
Заранее спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

э... а чё - вообще адреса нету?

[4mz]

Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.

[Alex Keda]

Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.

rc.firewall

Код: Выделить всё

IpOut="`cat /tmp/ip.txt`"
NetOut="$IpOut/`cat /tmp/mask.txt`"

в крон раз в минуту

Код: Выделить всё

p3-800# more /root/scripts/get.address.sh
#!/bin/sh

tmp="/tmp/$$.txt"
ip_file="/tmp/ip.txt"
old_ip_file="/tmp/ip.old.txt"
mask_file="/tmp/mask.txt"
fake_file="/tmp/ip.fake.txt"
iface="em0"

/sbin/ifconfig $iface | /usr/bin/grep inet | /usr/bin/awk '{print $2}' > $tmp

if test -s $tmp
then
        cat $tmp > $ip_file
        # ip addresses logging
        date=`/bin/date "+%Y-%m-%d %H:%M:%S"`
        ip="`cat $tmp`"
        echo $date $ip >> /root/scripts/ip.addresses.logging.txt

        /sbin/ifconfig $iface | /usr/bin/grep inet | /usr/bin/awk '{print $4}' > $mask_file
        /usr/bin/touch $old_ip_file
        # diff old and new file
        /usr/bin/diff $ip_file $old_ip_file >/dev/null
        if [ x$? = x1 ]
        then
                # copy new file to old
                cp $ip_file $old_ip_file
                # restart firewall if address != 0.0.0.0
                if [ `cat $ip_file` != "0.0.0.0"
                then
                        sh /etc/rc.firewall.main
                fi
        fi
        # delete fake file
        rm -f $fake_file
else
        # no IP addresses - set fake address
        if test ! -f $fake_file
        then
                echo 1.1.1.1 > $ip_file
                echo 255.255.255.255 > $mask_file
                sh /etc/rc.firewall.main
                rm -f $ip_file
                echo 1.1.1.1 > $fake_file
        fi
fi


rm -f $tmp

Код: Выделить всё

p3-800# grep nat /etc/rc.conf
natd_enable="YES"
natd_interface="em0"
natd_flags="-m -u"

это не повод копи-паста, это повод понять как можно сделать.

[4mz]

Вау!!!!! Неожидал такого быстрого и качественного ответа! Оромнейшее спасибище! ))) Буду пробовать и пытаться разобраться )))

[Bormental]

если я не ошибаюсь в natd можно указывать не апишник внешний а интерфейс, а апишник может изменяться

[mnz_home]

Заранее спасибо.

Можете посмотреть этот пример. Как раз ваш случай (динамический адрес)
http://forum.lissyara.su/viewtopic.php? ... 41#p186440

[4mz]

Заранее спасибо.

Можете посмотреть этот пример. Как раз ваш случай (динамический адрес)
http://forum.lissyara.su/viewtopic.php? ... 41#p186440

Я этот пост тоже поиском находил, но подумал что не про меня он ))) Спасибо, перечитаю внимательнее....

[4mz]

Всем огромное спасибо за ответы, справился с задачей с помощью кернел ната по статье http://www.lissyara.su/?id=1967, почему ж я раньше не увидел эту статейку, там спокойно можно указать просто внешний интерфейс и все работает.
Как новичку в FreeBSD, мне показалось что правила ipfw намного проще синтаксиса iptables с которым приходилось работать в Linux, что очень порадовало.
Тока вот возникла трабла, входящая скорость почему то очень маленькая, а с исходящая нормльная, заявленная тарифным планом.
Подскажите, может намутил где что? Или с провайдером что?
Входящая скорость 191.55 Kбит/сек
Исходящая скорость 1.93 Mбит/сек
Что может быть? Может DUMMYNET ? Но я ведь его вроде не настраивал....
Ядро собрал с такими опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
Все остальное как в статье. Настройки правил файрволла тоже....
Может NETGRAPH зря? Я его вообще то на всякий случай прикрутил, увидел где то на форуме и подумал что не помешает, а потом разберусь зачем оно )))

[paradox]

подумал что не помешает, а потом разберусь зачем оно )))

кошмар

[4mz]

Да да, знаю что кошмар, но я ведь тока учусь, экспериментирую, к тому же дома на своем домашнем сервачке....подумал, почему бы и нет ))
Неужели проблема в этих "лишних" опциях?

[server801]

для mpd это те самые опции.интернет чем будешь поднимать?я раньше всегда был сторонником ppp штатного,но как оказалось mpd -лучшее решение.да и грузит меньше систему

[4mz]

для mpd это те самые опции.интернет чем будешь поднимать?я раньше всегда был сторонником ppp штатного,но как оказалось mpd -лучшее решение.да и грузит меньше систему

Сейчас тырнет поднимается через ppp. Счас буду искать инфу по mpd, спасибо за наколочку.
Скорость вроде пришла в норму....видимо у прова какие то заморочки были)

[server801]

вот тут я трахалси с такой штукой-все работает http://forum.lissyara.su/viewtopic.php? ... 3&start=25

[4mz]

Снова я к вам с вопросами уважаемые гуру.
Все у меня настроилось, инет раздаецца все рады))) .....но, на попе ровно мне не сидится (хочется все попробовать), и решил я вместо штатного ppp настроить инет через mpd5.
Собрал mpd, настроил, поменял название интерфейса в правилах файрволла. mpd запустился, перезагрузил правила фаерволла все ништяк )) все работает, и с мыслями "какой я маладец", перезагружаю машину, дабы проверить все ли поднимется после ребута. И вот тут меня подстерегли грабли, после ребута, НАТ не поднялся, да и инет на шлюзе тоже пропал, при попытке что либо пингануть получаю Permission Denied. Делаю ipfw flush, затем снова применяю правила для фаера, и "О, чудо!", все снова начинает работать. В общем есть подозрение, что это потому что сначала поднимается НАТ (правила ipfw) а затем только запускается mpd и его интерфейс. А при ppp все было ок. Подскажите что тут можно сделать. Или может ваще мне mpd нинада ))
Просто тут проскакивала информация что mpd лучше и к ресурсам менее требователен.

mpd.conf

Код: Выделить всё

#      команды, выполняющиеся при запуске - должно начинаться со startup
startup:
        #   Установим параметры пользователя
        #    имя      пароль роль_пользователя
set user login passw admin
   #       Разрешим консоль на локалхосте
set console self 127.0.0.1 5005

#       Это настройки по умолчанию - они будут вызваны при обычном запуске
default:
   load    pppoe_client

pppoe_client:
#
# PPPoE client: только исходящие соединения, автоматический реконнект,
# адреса получаются по ipcp, односторонняя аутентификация,
# маршрут по умолчанию смотрит на шлюз провайдера
#

   create bundle static B1
   set iface route default
   set ipcp ranges 0.0.0.0/0 0.0.0.0/0
   #   Запросим ДНС у удаленного сервера
   #   Это не всегда работает :(
   set ipcp enable req-pri-dns
   set ipcp enable req-sec-dns

   create link static L1 pppoe
   set link action bundle B1
   #   Надо указать свои логин и пароль
   set auth authname login
   set auth password passw
   set link max-redial 0
   set link mtu 1412
   set link keep-alive 10 60
   #   Тут надо прописать свой интерфейс
   set pppoe iface rl0
   #    Не устанавливать имя сервиса, так как мы - клиент
   set pppoe service ""
   #   Запустить соединение
   open

 

ppp.conf

Код: Выделить всё

default:
 set log Phase tun command
 set ifaddr 0 0

domru:
 set device PPPoE:rl0
 set authname login
 set authkey passw
 set dial
 set login
 add default HISADDR                    # Add a (sticky) default route

firewall

Код: Выделить всё

# правила разрешающие трафик через локальный интерфейс lo0
# будут добавляться автоматически сами при старте фаервола
# 100 allow ip from any to any via lo0
# 200 deny ip from any to 127.0.0.0/8
# 300 deny ip from 127.0.0.0/8 to any

# разрешаем все через интерфейс локальной сети
add 1040 allow ip from any to any via rl1

# боимся непонятного
add 1050 deny ip from any to 192.168.0.0/16 in recv ng0
add 1060 deny ip from 192.168.0.0/16 to any in recv ng0
add 1070 deny ip from any to 172.16.0.0/12 in recv ng0
add 1080 deny ip from 172.16.0.0/12 to any in recv ng0
add 1090 deny ip from any to 10.0.0.0/8 in recv ng0
add 10100 deny ip from 10.0.0.0/8 to any in recv ng0
add 10110 deny ip from any to 169.254.0.0/16 in recv ng0
add 10120 deny ip from 169.254.0.0/16 to any in recv ng0

# настройка ната
nat 1 config log if ng0 reset same_ports deny_in

# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via ng0

[Alex_hha]

Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!

[paradox]

Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!

не флуди
все там нормально используеться
это то ко в линуксе через пятидесятибуковное правило все реализуеться

[Alex Keda]

Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!

Алёша, сиди уже в разделе линуха, там хоть в лужи не садишься во всех подряд постах
нат реализуется одной строкой.
вот тока это не винда, как и раздел где я тебе рекомендовал сидеть, и сделать можно по разному - ограничений практически нет

[Alex_hha]

не флуди
все там нормально используеться
это то ко в линуксе через пятидесятибуковное правило все реализуеться

вы аб чем?

На линуксе я набираю
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

И все, у вас какие то самописные скрипты. И это по вашему нормально?!!!

нат реализуется одной строкой.

а твои скрипты это для понта?

[Alex_hha]

Алёша, сиди уже в разделе линуха, там хоть в лужи не садишься во всех подряд постах

ты о чем вообще? Я в freebsd форуме только изредка ибо не использую (почти ) эту ОС. Вот и все.

[paradox]

у нас еще проще
и без скриптов
если не в теме то не троли)

[Alex_hha]

у нас еще проще
и без скриптов

да я уже увидел как у вас все просто. Просто таки user friendly

[paradox]

что ты видел?
покажи мне то что ты видел
где это динамический нат настраиваеться спомощю скриптов

зы
будешь тролить
специально на твой аккаунт и на всю твою сеть попрошу лиса поставить фильтр
что бы тем нетфорк и фрибсд тебе видно небыло)

[Alex_hha]

Ок

Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.

после этого идут два скрипта, т.е. я так понимаю, которые решают проблему человека. Или я что то не так понял?

[Alex_hha]

2 paradox
relax, be happy

Чо то ты прямо таки на свой счет принимаешь любое высказывание. Я например как то спокойно отношусь к твоим словам - "это то ко в линуксе через пятидесятибуковное правило все реализуеться" хотя это полный бред