FreeBSD test 12.2-RELEASE-p4 FreeBSD 12.2-RELEASE-p4 GENERIC amd64
ipwf вместе с ситемой
ipfw_nat ядерный "нат"
dhcpd 4.4.2
dhclient вместе с системой
unbound вместе с системой
есть 3(4) интерфейса nfe0, (rl0 - сейчас не используется), rl1 и wlan0
nfe0(10.10.10.50) смотри в мою локалку и в роутер (10.10.10.1)
rl1(172.16.0.1) используется как wan для тестовой железки с OpwnWRT и на нём же висит dhcpd(x.x.0.10-x.x.0.20)
wlan0(dhclient - 192.168.43.232) получает трафик (и-нет подключение) с планшета (192.168.43.1)
задача: nfe0 должен обслуживать саму систему(test), а с wlan0 весь трафик и все dns'ы, ntp'шки и т.д., должны передаваться в rl1 (т.е. в железку с OpenWRT) ни как не контактируя с системой
как такое возможно сделать?
прочитал достаточно много разной литературы и в большинстве случаев всё сводится к фаерволу и ядерному нату, но вот как то не получается настроить
помогите советом/исправлением в конфиге/дайте почитать конкретоно по теме
из получившегося: есть пинги
.........................OpenWRT <--> rl1
.........................OpenWRT --> wlan0
.........................OpenWRT --> планш
с планша могу пинговать только wlan0, дальше ХЗ почему не получается (в логах ipfw при пингах дальше, к примеру 172.16.0.1, вообще полнейшая тишина), т.е. не могу дальше этого интерфейса пробиться
конфиги:
/etc/ipfw.rules
Код: Выделить всё
add 401 check-state
nat 1 config if wlan0 log same_ports reset
add 700 nat 1 log ip from any to any via wlan0
# allow all installed connections
add 800 allow tcp from any to any established
# pass ALL into localNet
add 810 allow ip from any to any via nfe0 keep-state
# DNS for server
add 820 allow log udp from any 53 to any via nfe0
add 830 allow log udp from any to any 53 via nfe0
# NTPD for server
add 840 pass log udp from any to any 123 via nfe0 keep-state
add 1000 allow log tcp from any to any via rl1
add 1010 allow log udp from any to any via rl1
add 1020 allow log icmp from any to any via rl1
add 2000 allow log tcp from any to any via wlan0
add 2010 allow log udp from any to any via wlan0
add 2020 allow log icmp from any to any via wlan0
add 65500 deny log all from any to any
Код: Выделить всё
root@test:~ # /sbin/ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00401 check-state :default
00700 nat 1 log ip from any to any via wlan0
00800 allow tcp from any to any established
00810 allow ip from any to any via nfe0 keep-state :default
00820 allow log udp from any 53 to any via nfe0
00830 allow log udp from any to any 53 via nfe0
00840 allow log udp from any to any 123 via nfe0 keep-state :default
01000 allow log tcp from any to any via rl1
01010 allow log udp from any to any via rl1
01020 allow log icmp from any to any via rl1
02000 allow log tcp from any to any via wlan0
02010 allow log udp from any to any via wlan0
02020 allow log icmp from any to any via wlan0
65500 deny log ip from any to any
Код: Выделить всё
hostname="test"
gateway_enable="YES"
network_interfaces="AUTO"
ifconfig_nfe0="inet 10.10.10.50 netmask 255.255.0.0"
ifconfig_rl1="inet 172.16.0.1 netmask 255.255.255.0"
wlans_rtwn0="wlan0"
ifconfig_wlan0="WPA SYNCDHCP mtu 1450"
wpa_supplicant_enable="YES"
wpa_supplicant_flags="-s"
defaultrouter="10.10.10.1"
sshd_enable="YES"
ntpd_enable="YES"
ntpd_sync_on_start="YES"
webmin_enable="YES"
local_unbound_enable="YES"
# Start dhcp & mpd5 & ipfw & nat
dhcpd_enable="YES"
#mpd_flag="-b"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_logging="YES"
firewall_nat_interface="wlan0"
firewall_type=/etc/ipfw.rules
Код: Выделить всё
timeout 60;
retry 60;
reboot 10;
select-timeout 5;
initial-interval 2;
interface "wlan0"
{
request routers,
subnet-mask,
broadcast-address,
time-offset,
domain-name,
domain-name-servers,
host-name;
require subnet-mask,
domain-name-servers;
prepend domain-name-servers 127.0.0.1;
}
Код: Выделить всё
ctrl_interface=/var/run/wpa_supplicant
eapol_version=2
ap_scan=1
fast_reauth=1
autoscan=periodic:30
network={
ssid="T5"
scan_ssid=1
psk="***"
proto=RSN
key_mgmt=WPA-PSK
ap_max_inactivity=60
}
Код: Выделить всё
server:
# only errors to log 0
verbosity: 0
# log file tuning
# the log file, "" means log to stderr.
# Use of this option sets use-syslog to "no"
logfile: "/log/unbound.log"
# Log to syslog(3) if yes. The log facility LOG_DAEMON is used to
# log to. If yes, it overrides the logfile.
use-syslog: no
# print UTC timestamp in ascii to logfile, default is epoch in seconds.
log-time-ascii: yes
log-queries: yes
# port default 53
port: 53
# local interface
interface: 127.0.0.1
interface: 172.16.0.1
interface-automatic: no
# outgoing interface
outgoing-interface: 192.168.43.232
# connect from net
access-control: 172.16.0.0/24 allow
access-control: 127.0.0.1 allow
# anti spoofing without DNSSEC
harden-glue: yes
#
prefetch: yes
prefetch-key: yes
# count to start unbound process
# num-threads: 4
# fast reallocation of resources
so-reuseport: yes
# ipv6 is off
do-ip6: no
do-ip4: yes
do-udp: yes
do-tcp: no
# start as a daemon
do-daemonize: yes
# hide soft version in request (id.server и hostname.bind, version.server и version.bind).
hide-identity: yes
hide-version: yes
username: unbound
directory: /var/unbound
chroot: /var/unbound
pidfile: /var/run/local_unbound.pid
auto-trust-anchor-file: /var/unbound/root.key
include: /var/unbound/forward.conf
include: /var/unbound/lan-zones.conf
include: /var/unbound/control.conf
include: /var/unbound/conf.d/*.conf
Код: Выделить всё
forward-zone:
name: "."
forward-addr: 192.168.43.1
Код: Выделить всё
server:
# Unblock reverse lookups for LAN addresses
unblock-lan-zones: yes
insecure-lan-zones: yes
Код: Выделить всё
ddns-update-style none;
#DNS servers
option domain-name-servers 10.10.10.1, 10.10.10.50, 127.0.0.1;
#time to reset address
default-lease-time 5;
#time to USE addres
max-lease-time 7200;
authoritative;
#to log system
log-facility local7;
log (info,concat("*** dhcp-parameter-request-list:
",binary-to-ascii(10,8,",",config-option dhcp-parameter-request-list),"
***"));
# DHCP l2tp
subnet 172.16.0.0 netmask 255.255.255.0 {
use-host-decl-names on;
range 172.16.0.10 172.16.0.20;
interface rl1;
option routers 172.16.0.1;
option broadcast-address 172.16.0.255;
option subnet-mask 255.255.255.0;
option netbios-name-servers 172.16.0.1;
option netbios-dd-server 172.16.0.1;
option netbios-node-type 8;
option ntp-servers ntp2.stratum2.ru;
option domain-name-servers 172.16.0.1;
}