IPFW+nat+MPD5

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
warman
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-01-11 15:22:36

IPFW+nat+MPD5

Непрочитанное сообщение warman » 2011-07-29 9:10:51

rl0 - внешний интерфейс
rl1 - интерфейс смотрит на сервер Радиуса
rl2 - внутренний интерфейс

Код: Выделить всё

#!/bin/sh -
setup_loopback () {
        ############
        # Only in rare cases do you want to change these rules
        #
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

. /etc/rc.subr
. /etc/network.subr

fwcmd="/sbin/ipfw"
${fwcmd} -f flush

setup_loopback

${fwcmd} add 100 allow ip from any to any via rl2
${fwcmd} add 110 allow ip from 192.168.140.0/24 to 192.168.140.0/24 via rl1
${fwcmd} add 120 allow ip from any to any via rl0

${fwcmd} add 130 deny ip from 169.254.0.0/16 to any in recv rl0
${fwcmd} add 140 deny ip from any to 169.254.0.0/16 in recv rl0
${fwcmd} add 150 deny ip from 169.254.0.0/16 to any in recv rl1
${fwcmd} add 160 deny ip from any to 169.254.0.0/16 in recv rl1
${fwcmd} add 170 deny ip from 169.254.0.0/16 to any in recv rl2
${fwcmd} add 170 deny ip from any to 169.254.0.0/16 in recv rl2
${fwcmd} add 190 deny ip from 10.0.0.0/16 to any in recv rl0
${fwcmd} add 200 deny ip from any to 10.0.0.0/16 in recv rl0

${fwcmd} nat 10 config log if rl0
${fwcmd} add 210 nat 10 ip4 from 10.214.8.0/21 to any via rl0
клиенты MPD получают адреса из сети 10.214.8.0/21
натится должны только клиенты мпд, но почему то их траффик попадает в запрещающее правило 65535 deny all any to any :cz2:

граждане гуру, подскажите ошибку в конфиге фаерволла.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: IPFW+nat+MPD5

Непрочитанное сообщение vadim64 » 2011-07-29 9:40:24

Код: Выделить всё

${fwcmd} add 210 nat 10 ip4 from any to me via rl0
не советую юзать эти сетевухи
выкиньте их, пожалуйста
и с праздником
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: IPFW+nat+MPD5

Непрочитанное сообщение vadim64 » 2011-07-29 9:41:27

и вы, бля, вообще смотрите иногда ipfw show? у вас правила разные под одними номерами
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

snorlov
подполковник
Сообщения: 3714
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPFW+nat+MPD5

Непрочитанное сообщение snorlov » 2011-07-29 9:45:55

У вас везде фигурируют интерфейсы, насколько помню в mpd создаются интерфейсы ng*

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: IPFW+nat+MPD5

Непрочитанное сообщение vadim64 » 2011-07-29 10:54:35

+1
пиать, я прозыркал
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
warman
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-01-11 15:22:36

Re: IPFW+nat+MPD5

Непрочитанное сообщение warman » 2011-08-01 10:58:05

Код: Выделить всё

#!/bin/sh -
setup_loopback () {
        ############
        # Only in rare cases do you want to change these rules
        #
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}
. /etc/rc.subr
. /etc/network.subr
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
setup_loopback
${fwcmd} nat 10 config log ip <ext_ip>
${fwcmd} add allow ip from any to any via rl0
${fwcmd} add allow ip from any to any via rl1
${fwcmd} add allow ip from any to any via rl2
${fwcmd} add nat 10 ip from 10.214.8.0/21 to any
${fwcmd} add nat 10 ip from any to <ext_ip>

Код: Выделить всё

serv# ipfw show
00100     0       0 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
01040     0       0 deny ip from 169.254.0.0/16 to any in recv rl0
01050     0       0 deny ip from any to 169.254.0.0/16 in recv rl0
01060     0       0 deny ip from 169.254.0.0/16 to any in recv rl1
01070     0       0 deny ip from any to 169.254.0.0/16 in recv rl1
01080     0       0 deny ip from 169.254.0.0/16 to any in recv rl2
01090     0       0 deny ip from any to 169.254.0.0/16 in recv rl2
01190   975   66859 allow ip from any to any via rl0
01290    44    5518 allow ip from any to any via rl1
01390 14539 1245743 allow ip from any to any via rl2
01490     0       0 allow ip from 10.214.8.0/21 to 10.214.8.0/21
01590   760   45221 nat 10 ip from 10.214.8.0/21 to any
01690     0       0 nat 10 ip from any to <ext_ip>
65535     0       0 deny ip from any to any
пакеты в НАТ улетают, и на этом все заканчивается(
фаер настраиваю впервые за 5 лет админства.

Anubis_Donetsk
рядовой
Сообщения: 34
Зарегистрирован: 2010-10-01 16:13:19

Re: IPFW+nat+MPD5

Непрочитанное сообщение Anubis_Donetsk » 2011-08-03 14:42:50

nat 10 config log reset same_ports deny_in if rl0
allow ip from me to any
nat 10 ip from 10.214.8.0/21 to any
nat 10 ip from any to me in via rl0

както так, наваял на скорую руку, проше сильно не критиковать