Снова вопрос про NAT и PPPoE.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-30 19:28:55

Доброго всем времени суток :) . Наверняка тема уже не раз поднималась, и даже поискав по форуму я нашел для себя некоторые моменты которые мне помогли пролить некий свет на мою проблемку. Но всетаки я прошу у вас помощи, потому как так и не смог до конца для себя определиться.
Есть машина с FreeBSD 7.1
2 сетевых интерфейса, один в локалку, второй соответственно в инет.
Доступ в инет осуществляется через PPPoE (шнуроком напрямую в сетевушку, без модема), ip белый, но динамический, каждый раз при переподключении меняется.
Собрал ядро с опциями
options IPFIREWALL # встраиваем поддержку файрволла в ядро
options IPFIREWALL_VERBOSE # вывод информации об отброшенных пакетах
options IPFIREWALL_VERBOSE_LIMIT=300 # ограничение, чтоб весь /var # логами не засрали
options IPFIREWALL_FORWARD # включаем поддержку перенаправления TCP пакетов ядром
options IPDIVERT # поддержка IP-маскарадинга
options DUMMYNET # поддержка DUMMYNET (искуственное
Дальше следуя статье Лисяры http://www.lissyara.su/?id=1127, пытаюсь настроить НАТ, но почти сразу натыкаюсь на проблему указания исходящего IP, на этом встаю в тупик. Подскажите как настроить НАТ без указания внешнего IP, или может как то можно сделать чтобы он в правилах файрволла динамически обновлялся.
Вот тут человек (shroo0m » 2009-02-20 12:53:21 )пишет http://www.lissyara.su/?id=1127 что нужно пересобрать мир и ядро с опциями, но это видимо немного из другой оперы, там как опции в ядре другии. Будет ли такая конфигурация работать? Дальше читая тему я так и не понял заработало у топикстартера такими образом что то или нет.
Буду благодарен за любые ответы ). Прошу сильно не пинать, ФриБСД тока начал осваивать. До этого работал только с Линукс, а там было проще - поднял максарадинг одним правилом iptables указав входящий и исходящий интерфейсы и все )))) Тут все оказалось несколько сложнее, но это я думаю по ночалу.
Заранее спасибо. :smile:
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex Keda » 2009-08-30 19:45:10

э... а чё - вообще адреса нету?
Убей их всех! Бог потом рассортирует...

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-30 19:48:00

Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex Keda » 2009-08-30 20:10:53

4mz писал(а):Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.
rc.firewall

Код: Выделить всё

IpOut="`cat /tmp/ip.txt`"
NetOut="$IpOut/`cat /tmp/mask.txt`"
в крон раз в минуту

Код: Выделить всё

p3-800# more /root/scripts/get.address.sh
#!/bin/sh

tmp="/tmp/$$.txt"
ip_file="/tmp/ip.txt"
old_ip_file="/tmp/ip.old.txt"
mask_file="/tmp/mask.txt"
fake_file="/tmp/ip.fake.txt"
iface="em0"

/sbin/ifconfig $iface | /usr/bin/grep inet | /usr/bin/awk '{print $2}' > $tmp

if test -s $tmp
then
        cat $tmp > $ip_file
        # ip addresses logging
        date=`/bin/date "+%Y-%m-%d %H:%M:%S"`
        ip="`cat $tmp`"
        echo $date $ip >> /root/scripts/ip.addresses.logging.txt

        /sbin/ifconfig $iface | /usr/bin/grep inet | /usr/bin/awk '{print $4}' > $mask_file
        /usr/bin/touch $old_ip_file
        # diff old and new file
        /usr/bin/diff $ip_file $old_ip_file >/dev/null
        if [ x$? = x1 ]
        then
                # copy new file to old
                cp $ip_file $old_ip_file
                # restart firewall if address != 0.0.0.0
                if [ `cat $ip_file` != "0.0.0.0"
                then
                        sh /etc/rc.firewall.main
                fi
        fi
        # delete fake file
        rm -f $fake_file
else
        # no IP addresses - set fake address
        if test ! -f $fake_file
        then
                echo 1.1.1.1 > $ip_file
                echo 255.255.255.255 > $mask_file
                sh /etc/rc.firewall.main
                rm -f $ip_file
                echo 1.1.1.1 > $fake_file
        fi
fi


rm -f $tmp

Код: Выделить всё

p3-800# grep nat /etc/rc.conf
natd_enable="YES"
natd_interface="em0"
natd_flags="-m -u"
это не повод копи-паста, это повод понять как можно сделать.
Убей их всех! Бог потом рассортирует...

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-30 20:15:04

Вау!!!!! Неожидал такого быстрого и качественного ответа! Оромнейшее спасибище! ))) Буду пробовать и пытаться разобраться ))) :Yahoo!: :good:
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Аватара пользователя
Bormental
сержант
Сообщения: 267
Зарегистрирован: 2008-09-26 21:26:35
Откуда: подмордорье
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Bormental » 2009-08-30 20:52:47

если я не ошибаюсь в natd можно указывать не апишник внешний а интерфейс, а апишник может изменяться
:evil:

mnz_home
проходил мимо

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение mnz_home » 2009-08-30 21:51:40

4mz писал(а): Заранее спасибо. :smile:
Можете посмотреть этот пример. Как раз ваш случай (динамический адрес)
http://forum.lissyara.su/viewtopic.php? ... 41#p186440

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-31 4:12:42

mnz_home писал(а):
4mz писал(а): Заранее спасибо. :smile:
Можете посмотреть этот пример. Как раз ваш случай (динамический адрес)
http://forum.lissyara.su/viewtopic.php? ... 41#p186440


Я этот пост тоже поиском находил, но подумал что не про меня он ))) Спасибо, перечитаю внимательнее.... :good:

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-31 19:24:22

Всем огромное спасибо за ответы, справился с задачей с помощью кернел ната по статье http://www.lissyara.su/?id=1967, почему ж я раньше не увидел эту статейку, там спокойно можно указать просто внешний интерфейс и все работает. :smile:
Как новичку в FreeBSD, мне показалось что правила ipfw намного проще синтаксиса iptables с которым приходилось работать в Linux, что очень порадовало.
Тока вот возникла трабла, входящая скорость почему то очень маленькая, а с исходящая нормльная, заявленная тарифным планом.
Подскажите, может намутил где что? Или с провайдером что?
Входящая скорость 191.55 Kбит/сек
Исходящая скорость 1.93 Mбит/сек
Что может быть? Может DUMMYNET ? Но я ведь его вроде не настраивал.... :unknown:
Ядро собрал с такими опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
Все остальное как в статье. Настройки правил файрволла тоже....
Может NETGRAPH зря? Я его вообще то на всякий случай прикрутил, увидел где то на форуме и подумал что не помешает, а потом разберусь зачем оно )))
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение paradox » 2009-08-31 19:26:24

подумал что не помешает, а потом разберусь зачем оно )))
кошмар

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-31 19:28:07

Да да, знаю что кошмар, но я ведь тока учусь, экспериментирую, к тому же дома на своем домашнем сервачке....подумал, почему бы и нет )) :smile:
Неужели проблема в этих "лишних" опциях? :pardon:
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1398
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение server801 » 2009-08-31 20:16:21

для mpd это те самые опции.интернет чем будешь поднимать?я раньше всегда был сторонником ppp штатного,но как оказалось mpd -лучшее решение.да и грузит меньше систему

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-08-31 20:28:40

server801 писал(а):для mpd это те самые опции.интернет чем будешь поднимать?я раньше всегда был сторонником ppp штатного,но как оказалось mpd -лучшее решение.да и грузит меньше систему
Сейчас тырнет поднимается через ppp. Счас буду искать инфу по mpd, спасибо за наколочку. :smile:
Скорость вроде пришла в норму....видимо у прова какие то заморочки были)
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1398
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение server801 » 2009-08-31 21:12:27

вот тут я трахалси с такой штукой-все работает http://forum.lissyara.su/viewtopic.php? ... 3&start=25

4mz
рядовой
Сообщения: 26
Зарегистрирован: 2009-08-30 18:59:12
Откуда: Челябинск

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение 4mz » 2009-09-10 10:41:01

Снова я к вам с вопросами уважаемые гуру. :oops:
Все у меня настроилось, инет раздаецца все рады))) .....но, на попе ровно мне не сидится (хочется все попробовать), и решил я вместо штатного ppp настроить инет через mpd5.
Собрал mpd, настроил, поменял название интерфейса в правилах файрволла. mpd запустился, перезагрузил правила фаерволла все ништяк )) все работает, и с мыслями "какой я маладец", перезагружаю машину, дабы проверить все ли поднимется после ребута. И вот тут меня подстерегли грабли, после ребута, НАТ не поднялся, да и инет на шлюзе тоже пропал, при попытке что либо пингануть получаю Permission Denied. Делаю ipfw flush, затем снова применяю правила для фаера, и "О, чудо!", все снова начинает работать. В общем есть подозрение, что это потому что сначала поднимается НАТ (правила ipfw) а затем только запускается mpd и его интерфейс. А при ppp все было ок. Подскажите что тут можно сделать. Или может ваще мне mpd нинада ))
Просто тут проскакивала информация что mpd лучше и к ресурсам менее требователен.

mpd.conf

Код: Выделить всё

#      команды, выполняющиеся при запуске - должно начинаться со startup
startup:
        #   Установим параметры пользователя
        #    имя      пароль роль_пользователя
set user login passw admin
   #       Разрешим консоль на локалхосте
set console self 127.0.0.1 5005

#       Это настройки по умолчанию - они будут вызваны при обычном запуске
default:
   load    pppoe_client

pppoe_client:
#
# PPPoE client: только исходящие соединения, автоматический реконнект,
# адреса получаются по ipcp, односторонняя аутентификация,
# маршрут по умолчанию смотрит на шлюз провайдера
#

   create bundle static B1
   set iface route default
   set ipcp ranges 0.0.0.0/0 0.0.0.0/0
   #   Запросим ДНС у удаленного сервера
   #   Это не всегда работает :(
   set ipcp enable req-pri-dns
   set ipcp enable req-sec-dns

   create link static L1 pppoe
   set link action bundle B1
   #   Надо указать свои логин и пароль
   set auth authname login
   set auth password passw
   set link max-redial 0
   set link mtu 1412
   set link keep-alive 10 60
   #   Тут надо прописать свой интерфейс
   set pppoe iface rl0
   #    Не устанавливать имя сервиса, так как мы - клиент
   set pppoe service ""
   #   Запустить соединение
   open

 

ppp.conf

Код: Выделить всё

default:
 set log Phase tun command
 set ifaddr 0 0

domru:
 set device PPPoE:rl0
 set authname login
 set authkey passw
 set dial
 set login
 add default HISADDR                    # Add a (sticky) default route
firewall

Код: Выделить всё

# правила разрешающие трафик через локальный интерфейс lo0
# будут добавляться автоматически сами при старте фаервола
# 100 allow ip from any to any via lo0
# 200 deny ip from any to 127.0.0.0/8
# 300 deny ip from 127.0.0.0/8 to any

# разрешаем все через интерфейс локальной сети
add 1040 allow ip from any to any via rl1

# боимся непонятного
add 1050 deny ip from any to 192.168.0.0/16 in recv ng0
add 1060 deny ip from 192.168.0.0/16 to any in recv ng0
add 1070 deny ip from any to 172.16.0.0/12 in recv ng0
add 1080 deny ip from 172.16.0.0/12 to any in recv ng0
add 1090 deny ip from any to 10.0.0.0/8 in recv ng0
add 10100 deny ip from 10.0.0.0/8 to any in recv ng0
add 10110 deny ip from any to 169.254.0.0/16 in recv ng0
add 10120 deny ip from 169.254.0.0/16 to any in recv ng0

# настройка ната
nat 1 config log if ng0 reset same_ports deny_in

# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via ng0
Челябинские сисадмины настолько суровы, что пользователи предпочитают работать на счетах.....;)

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 16:34:12

Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение paradox » 2009-09-10 16:41:04

Alex_hha писал(а):Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!
не флуди
все там нормально используеться
это то ко в линуксе через пятидесятибуковное правило все реализуеться

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex Keda » 2009-09-10 16:58:09

Alex_hha писал(а):Жесть, это вот так через Ж реализуется NAT с диначмическим ip во FreeBSD?!
Алёша, сиди уже в разделе линуха, там хоть в лужи не садишься во всех подряд постах =)
нат реализуется одной строкой.
вот тока это не винда, как и раздел где я тебе рекомендовал сидеть, и сделать можно по разному - ограничений практически нет =)
Убей их всех! Бог потом рассортирует...

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 18:27:44

не флуди
все там нормально используеться
это то ко в линуксе через пятидесятибуковное правило все реализуеться
вы аб чем?

На линуксе я набираю
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

И все, у вас какие то самописные скрипты. И это по вашему нормально?!!!
нат реализуется одной строкой.
а твои скрипты это для понта? :-D

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 18:30:02

Алёша, сиди уже в разделе линуха, там хоть в лужи не садишься во всех подряд постах =)
ты о чем вообще? Я в freebsd форуме только изредка ибо не использую (почти :-D ) эту ОС. Вот и все.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение paradox » 2009-09-10 18:40:09

у нас еще проще
и без скриптов
если не в теме то не троли)

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 18:49:08

у нас еще проще
и без скриптов
да я уже увидел как у вас все просто. Просто таки user friendly :-D

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение paradox » 2009-09-10 18:52:02

что ты видел?
покажи мне то что ты видел
где это динамический нат настраиваеться спомощю скриптов

зы
будешь тролить
специально на твой аккаунт и на всю твою сеть попрошу лиса поставить фильтр
что бы тем нетфорк и фрибсд тебе видно небыло)

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 19:52:43

Ок
Вы про внешний ИП ? Есть, но постоянно меняется при переподключении.
после этого идут два скрипта, т.е. я так понимаю, которые решают проблему человека. Или я что то не так понял? :)

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Снова вопрос про NAT и PPPoE.

Непрочитанное сообщение Alex_hha » 2009-09-10 19:56:29

2 paradox
relax, be happy

Чо то ты прямо таки на свой счет принимаешь любое высказывание. Я например как то спокойно отношусь к твоим словам - "это то ко в линуксе через пятидесятибуковное правило все реализуеться" хотя это полный бред :)