freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

[oleg_max]

но defaultrouter из rc.conf удалите в любом случае...

данную строку закоментировал, но сервер еще не перезагружал

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Ну ppp_check.pl наверное каждую минуту проверяет соединение с интом, и если его нет дергает ppp...
А приведите еще раз таблицу маршрутизации после поднятия ppp...

[oleg_max]

pfctl -sa

Выбрал то, что, наверное, интересовало:

TRANSLATION RULES:
nat on tun0 inet from 192.168.1.0/24 to any -> (tun0) round-robin
nat on tun0 from ! (tun0) to any -> (tun0:0)
nat-anchor "ip-pbx" all
rdr pass on tun0 inet proto tcp from any to xxx.xxx.xxx.7 port = aaa -> 192.168.1.103 port aaa
rdr pass on tun0 inet proto tcp from any to xxx.xxx.xxx.7 port = bbb -> 192.168.1.103 port bbb
rdr pass on tun0 inet proto tcp from any to xxx.xxx.xxx.7 port = ssh -> 192.168.1.220 port ххх (машины с данным адресом вообще нет в сети)
rdr-anchor "ip-pbx" all
binat-anchor "ip-pbx" all

FILTER RULES:
scrub in all fragment reassemble
block return in log all
pass quick on lo0 all flags S/SA keep state
pass in on tun0 inet proto udp from any to any port = sip keep state
pass in on tun0 inet proto udp from any to any port = 4569 keep state
pass in on tun0 inet proto udp from any to any port = 5036 keep state
pass in on tun0 inet proto udp from any to any port 9999 >< 20001 keep state
pass in on tun0 inet proto udp from any to any port = 2727 keep state
pass in on tun0 inet proto tcp from any to any port = sip flags S/SA keep state
pass out on tun0 inet proto tcp all flags S/SA keep state
pass out on tun0 proto udp all keep state
pass inet proto icmp all icmp-type echoreq keep state
block drop in quick on tun0 inet from 127.0.0.0/8 to any
block drop in quick on tun0 inet from 192.168.0.0/16 to any
block drop in quick on tun0 inet from 172.16.0.0/12 to any
block drop out quick on tun0 inet from any to 127.0.0.0/8
block drop out quick on tun0 inet from any to 192.168.0.0/16
block drop out quick on tun0 inet from any to 172.16.0.0/12
pass in log on em0 inet from 192.168.1.0/24 to any flags S/SA keep state
pass out on em0 inet from any to 192.168.1.0/24 flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = ftp-data flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = ftp flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = ssh flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = smtp flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = 26 flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = domain flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = xxx flags S/SA keep state (реальный порт убрал)
pass in log quick on tun0 proto tcp from any to any port = kerberos-sec flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = pop3 flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = imap flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = xxx flags S/SA keep state (реальный порт убрал)
pass in log quick on tun0 proto tcp from any to any port = http flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = xxx flags S/SA keep state (реальный порт убрал)
pass in log quick on tun0 proto tcp from any to any port = rdp flags S/SA keep state
pass in log quick on tun0 proto tcp from any to any port = xxx flags S/SA keep state (реальный порт убрал)
pass in log quick on tun0 proto tcp from any to any port = sip flags S/SA keep state
pass in quick on tun0 proto udp from any to any port = ntp keep state
pass in quick on tun0 proto udp from any to any port = domain keep state
pass out on tun0 proto tcp all flags S/SA modulate state
pass out on tun0 proto tcp all flags S/SA keep state
pass out on tun0 proto udp all keep state
pass out on tun0 proto icmp all keep state
anchor "ip-pbx" all

Из state привожу лишь часть, а то очень много там всего. Но если нужно? позже смогу кинуть все содержимое STATE.

STATES:
all udp 192.168.1.255:1947 <- 192.168.1.101:50740 NO_TRAFFIC:SINGLE
all udp 192.168.1.255:137 <- 192.168.1.101:137 NO_TRAFFIC:SINGLE
all udp 255.255.255.255:1947 <- 192.168.1.103:52849 NO_TRAFFIC:SINGLE
all udp 192.168.1.255:1947 <- 192.168.1.103:52849 NO_TRAFFIC:SINGLE
all udp 255.255.255.255:1947 <- 192.168.1.101:50740 NO_TRAFFIC:SINGLE
all udp 192.168.1.99:137 <- 192.168.1.101:137 MULTIPLE:MULTIPLE
all tcp 64.233.162.188:5228 <- 192.168.1.105:43605 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:50645 (192.168.1.105:43605) -> 64.233.162.188:5228 ESTABLISHED:ESTABLISHED
all tcp 74.125.128.188:5228 <- 192.168.1.104:55976 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:58307 (192.168.1.104:55976) -> 74.125.128.188:5228 ESTABLISHED:ESTABLISHED
all tcp 173.194.222.188:5228 <- 192.168.1.104:33853 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:63434 (192.168.1.104:33853) -> 173.194.222.188:5228 ESTABLISHED:ESTABLISHED
all tcp 64.233.164.188:5228 <- 192.168.1.105:49106 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:52460 (192.168.1.105:49106) -> 64.233.164.188:5228 ESTABLISHED:ESTABLISHED
all tcp 64.233.161.188:5228 <- 192.168.1.104:60622 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:54288 (192.168.1.104:60622) -> 64.233.161.188:5228 ESTABLISHED:ESTABLISHED
all tcp 52.0.252.225:4244 <- 192.168.1.105:33704 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:61534 (192.168.1.105:33704) -> 52.0.252.225:4244 ESTABLISHED:ESTABLISHED
all tcp 172.253.118.188:443 <- 192.168.1.105:54725 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:53173 (192.168.1.105:54725) -> 172.253.118.188:443 ESTABLISHED:ESTABLISHED
all tcp 64.233.161.188:5228 <- 192.168.1.104:36944 ESTABLISHED:ESTABLISHED
all tcp xxx.xxx.xxx.7:59439 (192.168.1.104:36944) -> 64.233.161.188:5228

INFO:
Status: Enabled for 17 days 16:11:21 Debug: Urgent

Interface Stats for tun0 IPv4 IPv6
Bytes In 122086787613 0
Bytes Out 11048143415 2880
Packets In
Passed 101345841 0
Blocked 454377 0
Packets Out
Passed 71148107 45
Blocked 25182 0

State Table Total Rate
current entries 2214
searches 359504035 235.4/s
inserts 4397213 2.9/s
removals 4394999 2.9/s
Counters
match 4937137 3.2/s
bad-offset 0 0.0/s
fragment 156 0.0/s
short 0 0.0/s
normalize 73 0.0/s
memory 0 0.0/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 2440 0.0/s
proto-cksum 297 0.0/s
state-mismatch 33180 0.0/s
state-insert 203 0.0/s
state-limit 0 0.0/s
src-limit 0 0.0/s
synproxy 0 0.0/s

TIMEOUTS:
tcp.first 120s
tcp.opening 30s
tcp.established 86400s
tcp.closing 900s
tcp.finwait 45s
tcp.closed 90s
tcp.tsdiff 30s
udp.first 300s
udp.single 150s
udp.multiple 900s
icmp.first 20s
icmp.error 10s
other.first 60s
other.single 30s
other.multiple 60s
frag 30s
interval 10s
adaptive.start 6000 states
adaptive.end 12000 states
src.track 0s

LIMITS:
states hard limit 10000
src-nodes hard limit 10000
frags hard limit 5000
tables hard limit 1000
table-entries hard limit 200000

TABLES:

OS FINGERPRINTS:
700 fingerprints loaded

[oleg_max]

6 декабря в /etc/pf.conf что-то меняли?

Не помню точно ли 6-го менял, может и раньше, но убрал проброс портов на контроллер домена (для удаленного подключения по RDP), и на камеры наблюдения. Ну и подобавлял в ipfw адреса с которых были атаки на сервера. Под виндой смотрел по netstat -O кто в данный момент подключен, потом проверял эти адреса на - abuseipdb.com, если адрес был в списке, банил его.

[Demis]

Ну и подобавлял в ipfw адреса

Т.е. в живую два файерволла работает? (ipfw и pf) так что-ли?
Дайте-ка

Код: Выделить всё

ipfw -d show|grep div

[snorlov]

Судя по всему фришка ставилась в очень далекие времена, на станциях прокси не указывалось, а в то время только pf мог переправлять прозрачно пользователей на сквид, а статистика да и разделение трафика для "нужных" станций нужна была, вот и задействовано была эта схема, ну а потом, кто в силу своей квалификации или еще по каким другим причинам задействовал ipfw...

[Demis]

наверное каждую минуту проверяет соединение с интом

Это меня сбивает с толку, т.к. ТС пишет:

но скрипт каждый 10 сек пингует

При этом мы видим, что:

netwait_enable="YES"

а параметра "netwait_timeout" в rc.conf у него нет, значит должно работать дефолтное из

Код: Выделить всё

cat /etc/defaults/rc.conf|grep netwait
netwait_enable="NO"             # Enable rc.d/netwait (or NO)
#netwait_ip=""                  # IP addresses to be pinged by netwait.
netwait_timeout="60"            # Total number of seconds to perform pings.
#netwait_if=""                  # Interface name to watch link state on.
netwait_if_timeout="30"         # Total number of seconds to monitor link state.

А там дефолты 60 и 30 сек. Крона рутового и пользовательского у него нет, есть только системный /etc/crontab файлик, но и в нем нет 10-ти секунд. Значит еще где-то прописано. Но этак, полемика, к роутингу и файрволу влиять не должно.

[snorlov]

Да на роутере каша из сервисов и костылей

[Demis]

кто в силу своей квалификации или еще по каким другим причинам задействовал ipfw.

Да. Похоже на то... Но мы отдалились от темы.
Когда ТС сможет перезагрузится роутинг должен заработать более-менее нормально.
И не влезая в рулесы ipfw и pf, нужно понять почему у него перестал стартовать squid. Ведь куок лога он показывал:

1564566408.387 240267 192.168.1.11 TCP_MISS/200 885 CONNECT clients6.google.com:443 - DIRECT/216.58.215.78 -
1564566409.392 240158 192.168.1.11 TCP_MISS/200 766 CONNECT people-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566409.632 240231 192.168.1.11 TCP_MISS/200 1141 CONNECT people-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566526.664 240259 192.168.1.11 TCP_MISS/200 5142 CONNECT chat-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566526.853 429798 192.168.1.11 TCP_MISS/200 2179 CONNECT chat-pa.clients6.google.com:443 - DIRECT/172.217.16.10 -
1564566671.802 516947 192.168.1.11 TCP_MISS/200 1680 CONNECT play.google.com:443 - DIRECT/216.58.215.110 -
1564566671.804 231402 192.168.1.11 TCP_MISS/200 4074 CONNECT ssl.gstatic.com:443 - DIRECT/216.58.209.3 -
1564566671.806 1399360 192.168.1.11 TCP_MISS/200 24225 CONNECT play.google.com:443 - DIRECT/172.217.20.206 -
1564566671.807 357362 192.168.1.11 TCP_MISS/200 5077 CONNECT 17.client-channel.google.com:443 - DIRECT/173.194.222.189 -
1564566671.814 1440144 192.168.1.11 TCP_MISS/200 173586 CONNECT mail.google.com:443 - DIRECT/216.58.215.101 -
1574706368.653 37 91.123.157.56 TCP_DENIED/403 3735 GET http://ipdb-bot.ru/HttpRequest/spider3.ashx? - NONE/- text/html
1574753162.240 37 172.104.100.117 TCP_DENIED/403 3625 GET http://(тут внешний адрес нашего сервера):3128/ - NONE/- text/html
1574763960.033 6012 5.188.210.101 TCP_DENIED/403 3926 GET http://5.188.210.101/echo.php - NONE/- text/html
1574763961.563 0 5.188.210.101 TCP_DENIED/403 3926 GET http://5.188.210.101/echo.php - NONE/- text/html

Правда вот какой момент 1564566526.853 это у нас

Код: Выделить всё

echo "1564566526.853"|perl -pe 's/^\d+\.\d+/localtime $&/e;'
Wed Jul 31 12:48:46 2019

а 1574763961.563 это уже

Код: Выделить всё

echo "1574763961.563" | perl -pe 's/^\d+\.\d+/localtime $&/e;'
Tue Nov 26 13:26:01 2019

т.е. сквид перестал работать в июле. А TCP_DENIED пошли в ноябре. Но TCP_DENIED, это значит, что он как минимум запускался и работал, просто не проходил через файрволлы.

[Demis]

Да на роутере каша из сервисов и костылей

Ну что досталось, то и досталось. Благо, что у него есть силы и, главное, желание разобраться со всем этим...

[Demis]

Выдает - unknown directive configtest.

Тогда дайте

Код: Выделить всё

squid -k parse

Только проверьте, как всегда, нет-ли чувствительных данных в выводе и подмените их.

[novik]

C SSH тут отдельная история. Пытался я его реанимировать, но безуспешно.

Уберите из rc.conf

openssh_enable="YES"

Остановите openssh, если он у вас запущен. Сделайте резервную копию конфига (вдруг понадибится.)

Код: Выделить всё

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Скопируйте дефолтный конфиг

Код: Выделить всё

cp /usr/src/crypto/openssh/sshd_config /etc/ssh/sshd_config

Укажите в нём

Код: Выделить всё

Port 22
AddressFamily inet
ListenAddress 192.168.1.99

Запустите демон. Проверьте как он работает

Код: Выделить всё

sockstat | grep sshd

Проверьте из локалки как он работает, попробуйте к нему прицепиться с помощью Putty и настравайте далее, как вам надо. Рекомендую авторизацию по ключам и

Код: Выделить всё

PermitRootLogin no

[Demis]

Но вот нужен ли вообще для нашего офиса свой ДНС? В офисе около 30 компов, два сервера на win 2008 r2 (контроллер домена и 1С сервер), сервер с астериском, но у него свой отдельный канал интерента, freeBSD шлюз, и пара Wi-Fi роутеров.

Короткий ответ - да, нужен.
Но нужно проверить все текущие связки в его (или их) работе.

Суть в том, что виндовс домен (в данном случае домен локальной сети) базируется на своем днс, оный строиться/базируется на AD (актив директори).
Хотя, в техническом смысле, нет особой разницы где именно хранится локальная зона домена AD.
Можно и на bind-е (named) её хранить при соответствующих настройках. Работать будет.

Но обычно никто так не заморачивается.
Поэтому нужно просто "проверить связки".

Тут важно еще помнить/понимать, что если прописывать на клиентских машинах днс провайдера, то сервер провайдера ничего не знает про Ваш внутренний сервер и другие элементы Вашей сети, и клиенты (устройства) могут не получить нужной информации о внутреннем домене или серверах/устройствах.

Возникнет бардак.

Если посмотреть "от клиента сети", то архитектурно должно быть примерно так:
компьютер клиента днс->ип днс вин2к8->на серере forwards на ип днс сервера интернет->192.168.1.99->в named -> forwarders на внешние сервера, хоть на 8.8.8.8.

Поэтому:
1. Днс у Вас скорее всего на КД (контроллере домена).
2. На КД в свойствах самого днс сервера (не путать с зоной или сетевым соединением, хотя его тоже нужно проверять) должно быть указание на 192.168.1.99.
3. На 192.168.1.99 в named.conf раздел forwarders (не путать с forward) указание на 8.8.8.8 или днс провайдера.

Написанное не означает, что нужно бросаться и вносить изменения.
Но нужно сначала проанализировать, попытаться понять, а работают-ли все эти связки?
А каждая в отдельности?
Написанное не заменяет разборок со сквидом. Это попытка скомкано объяснить "ключевых участников сети".

[oleg_max]

Дайте-ка

ipfw -d show|grep div

Ничего не происходит.

Это меня сбивает с толку, т.к. ТС пишет:
oleg_max писал(а): ↑2019-12-23 18:23:38
но скрипт каждый 10 сек пингует

Кусочек ррр лога

Код: Выделить всё

Dec 24 14:00:00 gatew newsyslog[89742]: logfile turned over due to size>100K
Tue Dec 24 14:00:00 EET 2019 PPP works ok!
Dec 24 14:00:04 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(144) state = Opened
Dec 24 14:00:04 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(144) state = Opened
Dec 24 14:00:14 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(145) state = Opened
Dec 24 14:00:14 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(145) state = Opened
Dec 24 14:00:24 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(146) state = Opened
Dec 24 14:00:24 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(146) state = Opened
Dec 24 14:00:35 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(147) state = Opened
Dec 24 14:00:35 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(147) state = Opened
Dec 24 14:00:45 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(148) state = Opened
Dec 24 14:00:45 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(148) state = Opened
Dec 24 14:00:55 gatew ppp[73740]: tun0: LCP: deflink: RecvEchoRequest(149) state = Opened
Dec 24 14:00:55 gatew ppp[73740]: tun0: LCP: deflink: SendEchoReply(149) state = Opened
Tue Dec 24 14:01:00 EET 2019 PPP works ok! 

Тогда дайте

squid -k parse

Код: Выделить всё

Processing configuration file: /usr/local/etc/squid/squid.conf (depth 0)
Starting Authentication on port 192.168.1.99:3128
Disabling Authentication on port 192.168.1.99:3128 (interception enabled)

[oleg_max]

novik,

По поводу SSH, сделал как вы написали

Остановите openssh, если он у вас запущен. Сделайте резервную копию конфига (вдруг понадибится.)

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

И далее по списку, не помогло. Ошибка та же по поводу SSL:

Код: Выделить всё

/usr/sbin/ssh-keygen: undefined symbol "ssh_OpenSSL_add_all_algorithms"
Performing sanity check on sshd confoguration
/usr/sbin/sshd: undefined symbol "ssh_OpenSSL_add_all_algorithms"
/etc/rc.d/sshd: WARNING: failed precmd routine for sshd

[oleg_max]

Поэтому:
1. Днс у Вас скорее всего на КД (контроллере домена).
2. На КД в свойствах самого днс сервера (не путать с зоной или сетевым соединением, хотя его тоже нужно проверять) должно быть указание на 192.168.1.99.
3. На 192.168.1.99 в named.conf раздел forwarders (не путать с forward) указание на 8.8.8.8 или днс провайдера.

На контроллере домена в свойствах DNS закладка Forwarders -> 192.168.1.99, и два ДНС сервера провайдера.
На 192.168.1.99 в named.conf в разделе forwarders несколько дней назад удалил кучу непонятных публичных ДНС, и оставил два провайдеровских, и 8.8.8.8

[oleg_max]

не путать с зоной или сетевым соединением, хотя его тоже нужно проверять

В настройках сети на КД первый ДНС 192.168.1.99, второй 8.8.8.8

[oleg_max]

Когда ТС сможет перезагрузится роутинг должен заработать более-менее нормально.

Код: Выделить всё

netstat -rn

После перезагрузки сервера:

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
0.0.0.0/8          link#1             U           0        0   alc0 =>
default            xxx.xxx.xxx.8      UGS         0     5424   tun0
127.0.0.1          link#9             UH          0        5    lo0
192.168.1.0/24     link#7             U           0    12066    em0
192.168.1.99       link#7             UHS         0        0    lo0
xxx.xxx.xxx.7      link#10            UHS         0        0    lo0
xxx.xxx.xxx.8      link#10            UHS         0        0   tun0

[oleg_max]

После перезагрузки сервера интернет пока работает нормально. Но в IPFW я еще ничего не добавлял. После перезагрузки нужно заново добавлять в черный список все адреса. Файла с настройками для ipfw нет, но при добавлении

Код: Выделить всё

ipfw add [номер_правила] deny all from [abuse_ip_addr] to any адрес блокируется...

Знаю - тупо, но на тот момент мне главное было заблокировать заблокировать адреса чтобы вебка 1С стала нормально работать. Как добавлять в pf конкретные адреса или подсеть не до конца еще разобрался.

Если сделать

Код: Выделить всё

ipfw list

то на данный момент есть вот такое:

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65535 deny ip from any to any 

Пока ничего добавлять не буду. К сожалению завтра у нас выходной, проверить нормально работу инета смогу уже в четверг. И в четверг попробую добавить в ipfw адреса и посмотреть че будет с инетом...

[Demis]

интернет пока работает нормально.

Т.е. вообще нормально? И начальных проблем нет?
А я тут целую оду написал:
Гуд.
Гейт опять скакнул с x.5 на x.8 (в предыдущий раз было наоборот с x.8 на x.5). Но это не должно быть проблемой. Так приезжает от провайдера. Скажем так, в теории если у провайдера нет проблем, т.е. одинаково настроены хосты x.8 и x.5, то все будет хорошо. Но если вдруг заметите, что на одном интернет "работает так", а на другом "работает не так", то это предмет обращения к провайдеру "ребята, а все-ли в порядке с таким-то гейтом". Но это лирика.

По поводу днс.
Пока оставьте так, но возьмите на крючек "в мозг".

По уму на КД "в настройках днс сети" должен быть ип самого КД и не более того (это если один виндовый днс в локальном домене).

А в его (ну т.е. в КД днс-сервере) форварде уже только один 192.168.1.99.
А соответственно такие как 8.8.8.8 должны появлятся в форвардах на Вашем гейте.

Можно "не читать далее".
Тут нужно сделать отступление и еще немного лирики написать.
Дело в том, что формально "в настройках днс сети" тогда должен быть ип с адресом 127.0.0.1.
И адрес локального днс сервера тоже должен быть 127.0.0.1.
Но для винды это проблема. В силу разных причин.
На практике мне удалось только один или два раза вбить 127.0.0.1 на win2k или winnt (подзабыл уже).
Причем только на уровне когда только самый первый раз активируешь и настраиваешь ейный днс (в рамках мастера настройки домена АД).
Во всех остальных случаях оная даже не даст этого сделать.
По-моему только на win2k8 это наконец заработало. Но не суть.
На практике нормально срабатывает тот ип который назначили самому серверу.
И работает "годами".

В вашем случае могут быть незначительные отступления.
Т.к. Вы указывали, что есть еще одна дырка в инет, отдельный канал на астериксе, соответственно есть вероятность, что от астерикса пакетики (тот-же voice-ip) должны ходить внутри сети.
А это означает не только "сведение" всех пакетиков по соответствующим гейтвеям в сети.

Есть еще особенность у днс-сервера винды, по крайней мере начиная с нт и до вин2к8 включительно.
Когда "падает" (ну пропало с ним соединение) первый по списку форварда днс-сервер, то винда переключается на второй, если он есть. А вот вернуться назад забывает и живет в таком виде до перезапуска службы днс-сервера. Что очень не радует конечно, но селяви...
Теперь "не читать далее" закончилось.

[Demis]

Выскажу, осторожно, одну мысль бинд, т.е. named, тоже не безгрешен.
Может и подвиснуть, не часто, но тоже бывает.
Успеваешь забыть, что это возможно.
И его просто передернуть нужно.

Код: Выделить всё

/etc/rc.d/named restart

и проверить после, что он стартанул

Код: Выделить всё

/etc/rc.d/named status
named is running as pid 2721.

[novik]

И далее по списку, не помогло. Ошибка та же по поводу SSL:

Вам нужно или системные пересобирать,

Код: Выделить всё

# cd /usr/src/secure/usr.bin/ssh-keygen
# make clean
# make depend
# make
# make install

вот не пойму только что ssh-keygen, ssh или openssl (они все в /usr/src/secure/usr.bin/) или использовать из порта, указав в /etc/rc.conf:

Код: Выделить всё

sshd_program="/usr/local/sbin/sshd"

Если тот что из порта тоже не работает, пересоберите порт.

Как добавлять в pf конкретные адреса или подсеть не до конца еще разобрался.

Блокировать входящие соединенеия от IP 8.8.8.8 к чему бы то нибыло на внешнем интерфейсе:

Код: Выделить всё

block drop in log quick on $ext_if from 8.8.8.8 to any

Вставлять сразу после

Код: Выделить всё

block in log all

Или что\куда вам блокировать надо?
Уберите IPFW.

[Demis]

Пока ничего добавлять не буду.

Правильно. Не спешите.
А ип можно и скриптом добавить.

Делаете пустой файл:

Код: Выделить всё

touch /etc/fw.block

Редактируете внеся построчно нужные ип:

Код: Выделить всё

ee /etc/fw.block
212.119.208.22
212.119.208.23
212.119.208.24
212.119.208.25
212.119.208.26
212.119.208.27

Делаете скрипт block.sh с текстом:

Код: Выделить всё

#!bin/sh
cat /etc/fw.block | sed '/ *#/d; /^ *$/d' | while read ip; do
  ipfw add 1 deny all from ${ip} to any
done

Потом выполняете его:

Код: Выделить всё

sh block.sh

Где разместить файл в телом скрипта не проблема.
Вроде не должно создать проблем если у Вас по дефолту баш прописан.
Текст скрипта написал на вскидку, мог и опечататься.
Хотя, если использовать таблицы, то вроде легче самому ipfw будет.
Это примерно так тогда:

Код: Выделить всё

#!bin/sh

ipfw -f table 1 flush
cat /etc/fw.block | sed '/ *#/d; /^ *$/d' | while read ip; do
  ipfw table 1 add ${ip}
done

ipfw add 1 deny all from table\(1\) to any

Только нужно убедиться, что таблица 1 не занята и правило 1 тоже.

[Demis]

Блокировать входящие соединенеия от IP 8.8.8.8

А зачем ему блокировать, внешний, гугловский днс 8.8.8.8 ? Не понимаю.

[novik]

А зачем ему блокировать, внешний, гугловский днс 8.8.8.8 ? Не понимаю.

Вместо 8.8.8.8 конечно же нужно подставить другие требуемые IP, или подсети. Это был пример.
Если требуемых к заблокированию IP много, то можно использовать таблицу и динамически заполнять её. Но это не в 1 строчку в pf.conf