ipfw+natd

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-15 12:31:27

Всем доброго времени суток!
пытаюсь настроить рутер Freebsd8.1, имеется две сетевых(одна смотрит в локалку, другая в нет).подключение к инету настроено через PPPoE(модем скайлинк)
проблема в следующем:не могу зайти по ссш из соседней локальной сети, и разумеется отсутсвует подключение к инет.Подскажите, может не верно что в правилах?
конфиги:
"/etc/ppp/ppp.conf"

Код: Выделить всё

default:
 set log Phase tun command

myisp:
 set device PPPoE:fxp0
 set authname user9010145968
 set authkey qrs4KRyJ
 enable dns                             # request DNS info (for resolv.conf)
 add default HISADDR                    # Add a (sticky) default route
/etс/rc.conf

Код: Выделить всё

gateway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/test"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
# -- sysinstall generated deltas -- # Wed Feb 16 13:42:51 2011
ifconfig_xl0="inet 10.3.1.7  netmask 255.255.255.0"
mousechar_start="3"
saver="daemon"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
scrnmap="koi8-r2cp866"
keyrate="normal"
keymap="ru.koi8-r"
#defaultrouter="10.3.1.1"
hostname="test"
#логирование
syslogd_enable="NO"
syslog_ng_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
# -- sysinstall generated deltas -- # Sat Mar  5 14:42:57 2011
ifconfig_fxp0="inet 77.243.243.141  netmask 255.255.255.255"
defaultrouter="77.243.243.141"
hostname="test "
etc/ipfw.rule

Код: Выделить всё

#!/bin/sh
#                                ipfw.rule
fw="/sbin/ipfw";        iif="rl0";      oif="vr0";      oifIP="77.243.243.141";tif="gre102";    
cInet="10.3.1.0/24{1-100}";
lan="10.3.1.0/24";              blan="10.3.1.255/32";
IPMRA1="194.67.23.0/24{62,100,154,196}";        IPMRA2="194.67.57.0/24{11,121,142,150,206,244}";        IPMRA3="194.186.55.0/24{12,17-36}"

${fw} disable firewall && ${fw} -q flush && /bin/echo '' > /var/log/security
${fw} add 10 pass ip from any to any via lo0;   ${fw} add 11 deny ip from any to 127.0.0.0/8;
${fw} add 12 deny ip from 127.0.0.0/8 to any
${fw} add 13 deny ip from any to any frag

#${fw} add 20 pass ip from any to any via ${iif}
#${fw} add 21 pass ip from any to any via ${tif}
${fw} add 31 pass icmp from any to any via ${iif}
${fw} add 32 pass icmp from any to any via ${tif}
#${fw} add 33 pass log esp from any to any
#${fw} add 34 pass log gre from any to any
${fw} add 35 pass udp from any 500 to any

#${fw} add 50 count log ip from ${lan} to any
#${fw} add 51 count ip from any to ${lan}
#${fw} add 52 count log ip from any to ${oifIP}

${fw} add 110 skipto 1000 ip from any to any in recv ${iif}
${fw} add 120 skipto 2000 ip from any to any out xmit ${iif}
${fw} add 130 skipto 3000 ip from any to any in recv ${oif}
${fw} add 140 skipto 4000 ip from any to any out xmit ${oif}
#${fw} add 150 skipto 5000 ip from any to any in recv ${tif}
#${fw} add 160 skipto 6000 ip from any to any out xmit ${tif}
#${fw} add 170 pass log logamount 1000 ip from any to any via gif40
${fw} add 210 deny log logamount 1000 ip from any to any
#===============================================================================
# internal-in;
${fw} add 1000 deny ip from ${lan} to ${IPMRA1} in via ${iif}
${fw} add deny ip from ${lan} to ${IPMRA2} in via ${iif}
${fw} add deny ip from ${lan} to ${IPMRA3} in via ${iif}
${fw} add pass log logamount 1000 tcp from any to 10.1.8.1 limit dst-addr 3
${fw} add 1999 pass ip from any to any in via ${iif}
# internal-out; в LAN
${fw} add 2000 count ip from any to any out via ${iif}
${fw} add 2999 pass ip from any to any out via ${iif}
#===============================================================================
# external-in 3000; Из ISP
# Закрыть приватные сети с инета
${fw} add 3000 deny ip from 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16 to any in recv ${oif}
${fw} add deny ip from any to 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16 in recv ${oif}
${fw} add pass icmp from any to any icmptypes 0,8,3,5,11
${fw} add deny icmp from any to any
#${fw} add pass tcp from any to any 22 in via ${oif}
${fw} add pass tcp from 77.243.0.0/24,85.172.0.0/16 to any 22 in via ${oif}
${fw} add deny tcp from any to any 22 in via ${oif}
${fw} add pass tcp from any to me 22 in via ${oif}
${fw} add 3300 divert natd log ip from any to ${oifIP} in via ${oif}
${fw} add pass all from 85.172.6.122 to 77.243.243.141 in via ${oif}
${fw} add pass all from any to ${cInet}
${fw} add pass esp from 85.172.6.122 to 77.243.243.141 in via ${oif}
${fw} add pass tcp from any to ${oifIP} in via ${oif}
${fw} add pass udp from any 123 to me 123 in via ${oif}
${fw} add pass udp from any 53 to me in via ${oif}
${fw} add 3999 deny log logamount 1000 all from any to any in via ${oif}
# external-out 4000
${fw} add 4000 count ip from any to any out via ${oif}
${fw} add divert natd log logamount 1000 ip from ${cInet} to any out via ${oif}
${fw} add pass esp from any to any out via ${oif}
${fw} add pass all from me to any keep-state out via ${oif}
${fw} add 4999 pass log logamount 1000 all from any to any out keep-state out via ${oif}
#============================================================================================
# gre102-in 5000
#${fw} add 5000 count ip from any to any in via ${tif}
#${fw} add 5990 pass log logamount 1000 ip from any to any in via ${tif}
# gre102-out 6000
#${fw} add 6000 count ip from any to any out via ${tif}
#${fw} add 6990 pass log logamount 1000 ip from any to any out via ${tif}
#==============================================================================================
${fw} add 65500 deny log logamount 1000 all from any to any
${fw} enable firewall
etc/natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
опции ядра

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPDIVERT
options         IPSEC
options         IPSEC_DEBUG
device          crypto
Последний раз редактировалось vadim64 2011-03-15 16:26:00, всего редактировалось 1 раз.
Причина: [code][/code]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: ipfw+natd

Непрочитанное сообщение rmn » 2011-03-15 13:53:47

firewall_script="/etc/test"
etc/ipfw.rule
ты уж определись...

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-15 15:02:39

Прошу прощения, ошиблась при составлении сообщения
конфиги:
"/etc/ppp/ppp.conf"

Код: Выделить всё

default:
 set log Phase tun command

myisp:
 set device PPPoE:fxp0
 set authname user9010145968
 set authkey qrs4KRyJ
 enable dns                             # request DNS info (for resolv.conf)
 add default HISADDR                    # Add a (sticky) default route
/etс/rc.conf

Код: Выделить всё

gateway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/test"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
# -- sysinstall generated deltas -- # Wed Feb 16 13:42:51 2011
ifconfig_xl0="inet 10.3.1.7  netmask 255.255.255.0"
mousechar_start="3"
saver="daemon"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
scrnmap="koi8-r2cp866"
keyrate="normal"
keymap="ru.koi8-r"
#defaultrouter="10.3.1.1"
hostname="test"
#логирование
syslogd_enable="NO"
syslog_ng_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
# -- sysinstall generated deltas -- # Sat Mar  5 14:42:57 2011
ifconfig_fxp0="inet 77.243.243.141  netmask 255.255.255.255"
defaultrouter="77.243.243.141"
hostname="test "
etc/test

Код: Выделить всё

#!/bin/sh
#                                ipfw.rule
fw="/sbin/ipfw";        iif="rl0";      oif="vr0";      oifIP="77.243.243.141";tif="gre102";    
cInet="10.3.1.0/24{1-100}";
lan="10.3.1.0/24";              blan="10.3.1.255/32";
IPMRA1="194.67.23.0/24{62,100,154,196}";        IPMRA2="194.67.57.0/24{11,121,142,150,206,244}";        IPMRA3="194.186.55.0/24{12,17-36}"

${fw} disable firewall && ${fw} -q flush && /bin/echo '' > /var/log/security
${fw} add 10 pass ip from any to any via lo0;   ${fw} add 11 deny ip from any to 127.0.0.0/8;
${fw} add 12 deny ip from 127.0.0.0/8 to any
${fw} add 13 deny ip from any to any frag

#${fw} add 20 pass ip from any to any via ${iif}
#${fw} add 21 pass ip from any to any via ${tif}
${fw} add 31 pass icmp from any to any via ${iif}
${fw} add 32 pass icmp from any to any via ${tif}
#${fw} add 33 pass log esp from any to any
#${fw} add 34 pass log gre from any to any
${fw} add 35 pass udp from any 500 to any

#${fw} add 50 count log ip from ${lan} to any
#${fw} add 51 count ip from any to ${lan}
#${fw} add 52 count log ip from any to ${oifIP}

${fw} add 110 skipto 1000 ip from any to any in recv ${iif}
${fw} add 120 skipto 2000 ip from any to any out xmit ${iif}
${fw} add 130 skipto 3000 ip from any to any in recv ${oif}
${fw} add 140 skipto 4000 ip from any to any out xmit ${oif}
#${fw} add 150 skipto 5000 ip from any to any in recv ${tif}
#${fw} add 160 skipto 6000 ip from any to any out xmit ${tif}
#${fw} add 170 pass log logamount 1000 ip from any to any via gif40
${fw} add 210 deny log logamount 1000 ip from any to any
#===============================================================================
# internal-in;
${fw} add 1000 deny ip from ${lan} to ${IPMRA1} in via ${iif}
${fw} add deny ip from ${lan} to ${IPMRA2} in via ${iif}
${fw} add deny ip from ${lan} to ${IPMRA3} in via ${iif}
${fw} add pass log logamount 1000 tcp from any to 10.1.8.1 limit dst-addr 3
${fw} add 1999 pass ip from any to any in via ${iif}
# internal-out; в LAN
${fw} add 2000 count ip from any to any out via ${iif}
${fw} add 2999 pass ip from any to any out via ${iif}
#===============================================================================
# external-in 3000; Из ISP
# Закрыть приватные сети с инета
${fw} add 3000 deny ip from 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16 to any in recv ${oif}
${fw} add deny ip from any to 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16 in recv ${oif}
${fw} add pass icmp from any to any icmptypes 0,8,3,5,11
${fw} add deny icmp from any to any
#${fw} add pass tcp from any to any 22 in via ${oif}
${fw} add pass tcp from 77.243.0.0/24,85.172.0.0/16 to any 22 in via ${oif}
${fw} add deny tcp from any to any 22 in via ${oif}
${fw} add pass tcp from any to me 22 in via ${oif}
${fw} add 3300 divert natd log ip from any to ${oifIP} in via ${oif}
${fw} add pass all from 85.172.6.122 to 77.243.243.141 in via ${oif}
${fw} add pass all from any to ${cInet}
${fw} add pass esp from 85.172.6.122 to 77.243.243.141 in via ${oif}
${fw} add pass tcp from any to ${oifIP} in via ${oif}
${fw} add pass udp from any 123 to me 123 in via ${oif}
${fw} add pass udp from any 53 to me in via ${oif}
${fw} add 3999 deny log logamount 1000 all from any to any in via ${oif}
# external-out 4000
${fw} add 4000 count ip from any to any out via ${oif}
${fw} add divert natd log logamount 1000 ip from ${cInet} to any out via ${oif}
${fw} add pass esp from any to any out via ${oif}
${fw} add pass all from me to any keep-state out via ${oif}
${fw} add 4999 pass log logamount 1000 all from any to any out keep-state out via ${oif}
#============================================================================================
# gre102-in 5000
#${fw} add 5000 count ip from any to any in via ${tif}
#${fw} add 5990 pass log logamount 1000 ip from any to any in via ${tif}
# gre102-out 6000
#${fw} add 6000 count ip from any to any out via ${tif}
#${fw} add 6990 pass log logamount 1000 ip from any to any out via ${tif}
#==============================================================================================
${fw} add 65500 deny log logamount 1000 all from any to any
${fw} enable firewall
etc/natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
опции ядра

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPDIVERT
options         IPSEC
options         IPSEC_DEBUG
device          crypto
Последний раз редактировалось vadim64 2011-03-15 16:27:09, всего редактировалось 1 раз.
Причина: [code][/code]

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-15 15:04:18

форматирование поправьте, будьте лапкой
и покажите

Код: Выделить всё

ipfw show

Код: Выделить всё

netstat -rnW
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-15 15:39:56

Код: Выделить всё

test# ipfw show
00010 0   0 allow ip from any to any via lo0
00011 0   0 deny ip from any to 127.0.0.0/8
00012 0   0 deny ip from 127.0.0.0/8 to any
00013 0   0 deny ip from any to any frag
00031 0   0 allow icmp from any to any via rl0
00032 0   0 allow icmp from any to any via gre102
00035 0   0 allow udp from any 500 to any
00110 0   0 skipto 1000 ip from any to any in recv rl0
00120 0   0 skipto 2000 ip from any to any out xmit rl0
00130 0   0 skipto 3000 ip from any to any in recv vr0
00140 0   0 skipto 4000 ip from any to any out xmit vr0
00210 6 724 deny log logamount 1000 ip from any to any
01000 0   0 deny ip from 10.3.1.0/24 to 194.67.23.0/24{62,100,154,196} in via rl0
01100 0   0 deny ip from 10.3.1.0/24 to 194.67.57.0/24{11,121,142,150,206,244} in via rl0
01200 0   0 deny ip from 10.3.1.0/24 to 194.186.55.0/24{12,17-36} in via rl0
01300 0   0 allow log logamount 1000 tcp from any to 10.1.8.1 limit dst-addr 3
01999 0   0 allow ip from any to any in via rl0
02000 0   0 count ip from any to any out via rl0
02999 0   0 allow ip from any to any out via rl0
03000 0   0 deny ip from 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,169.254.0.0/16 to any in recv vr0
03100 0   0 deny ip from any to 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,169.254.0.0/16 in recv vr0
03200 0   0 allow icmp from any to any icmptypes 0,3,5,8,11
03300 0   0 deny icmp from any to any
03300 0   0 divert 8668 log logamount 5 ip from any to 77.243.243.141 in via vr0
03400 0   0 allow tcp from 77.243.0.0/24,85.172.0.0/16 to any dst-port 22 in via vr0
03500 0   0 deny tcp from any to any dst-port 22 in via vr0
03600 0   0 allow tcp from any to me dst-port 22 in via vr0
03700 0   0 allow ip from 85.172.6.122 to 77.243.243.141 in via vr0
03800 0   0 allow ip from any to 10.3.1.0/24{1-100}
03900 0   0 allow esp from 85.172.6.122 to 77.243.243.141 in via vr0
03999 0   0 deny log logamount 1000 ip from any to any in via vr0
04000 0   0 allow tcp from any to 77.243.243.141 in via vr0
04000 0   0 count ip from any to any out via vr0
04100 0   0 allow udp from any 123 to me dst-port 123 in via vr0
04200 0   0 allow udp from any 53 to me in via vr0
04300 0   0 divert 8668 log logamount 1000 ip from 10.3.1.0/24{1-100} to any out via vr0
04400 0   0 allow esp from any to any out via vr0
04500 0   0 allow ip from me to any out via vr0 keep-state
04999 0   0 allow log logamount 1000 ip from any to any out out via vr0 keep-state
65500 0   0 deny log logamount 1000 ip from any to any
65535 1  64 allow ip from any to any


test# netstat -rnW
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use    Mtu    Netif Expire
default            77.243.240.172     UGS         0      162   1500     fxp0
10.3.1.0/24        link#1             U           1      889   1500      xl0
10.3.1.7           link#1             UHS         0        0  16384      lo0
77.243.240.172     link#6             UHS         0        0   1492     tun0
77.243.243.141     link#2             UHS         1        0  16384      lo0 =>
77.243.243.141/32  link#2             U           0        0   1500     fxp0
127.0.0.1          link#5             UH          0       26  16384      lo0

Internet6:
Destination                       Gateway                       Flags    Refs      Use    Mtu    Netif Expire
::1                               ::1                           UH          0        0  16384      lo0
fe80::%lo0/64                     link#5                        U           0        0  16384      lo0
fe80::1%lo0                       link#5                        UHS         0        0  16384      lo0
ff01:5::/32                       fe80::1%lo0                   U           0        0  16384      lo0
ff02::%lo0/32                     fe80::1%lo0                   U           0        0  16384      lo0

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-15 15:46:43

Код: Выделить всё

00210 6 724 deny log logamount 1000 ip from any to any
ну и где вы взяли эти правила?

начините с того, что в ppp есть тоже nat и в фаерволе выставьте всем ходить куда хотят, потом усложняйте
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-15 17:13:37

благодарю за ответ - очень информативно.
на данный момент
ipfw show

Код: Выделить всё

65535 302 32831 allow ip from any to any
в rc.conf относительно ppp вот такие изменения:

Код: Выделить всё

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
ppp_nat="NO"
gateway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/fw.testBSD"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
не могли бы Вы, уважаемый Hizel, расшифровать вот эту фразу "в ppp есть тоже nat"???
ошибки на данном этапе вот такие:
ping

Код: Выделить всё

ping: cannot resolve www.ya.ru: Host name lookup failure
пинг ДНС

Код: Выделить всё

PING 77.243.240.230 (77.243.240.230): 56 data bytes
ping: sendto: Invalid argument
ping: sendto: Invalid argument
ping: sendto: Invalid argument
ping: sendto: Invalid argument
ping: sendto: Invalid argument
^C
--- 77.243.240.230 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-15 17:23:46

1. natd без ipfw работать не будет
2. зачем убирать nat из ppp?
3. зачем вешать адрес который приходит от провайдера на ppp на fxp0 ?
77.243.240.172 link#6 UHS 0 0 1492 tun0

Код: Выделить всё

ifconfig_fxp0="inet 77.243.243.141  netmask 255.255.255.255"
defaultrouter="77.243.243.141"
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-15 17:32:59

я не убираю nat из ppp, изначально его и не ставила туда, т.к. по ману не было сказано о такой опции
и не вешаю адрес который приходит от провайдера.
я указываю в настройках для fxp0 77.243.243.141, далее поднимается туннель (при этом я ни чего для этого не делаю)
ifconfig

Код: Выделить всё

xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=80009<RXCSUM,VLAN_MTU,LINKSTATE>
        ether 00:04:76:74:f1:bf
        inet 10.3.1.7 netmask 0xffffff00 broadcast 10.3.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:5e:e7:9a
        inet 77.243.243.141 netmask 0xffffffff broadcast 77.243.243.141
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet 77.243.243.141 --> 77.243.240.164 netmask 0xffffffff
        Opened by PID 501
netstat -rmW

Код: Выделить всё

194/196/390 mbufs in use (current/cache/total)
192/70/262/8768 mbuf clusters in use (current/cache/total/max)
192/64 mbuf+clusters out of packet secondary zone in use (current/cache)
0/2/2/4384 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/2192 9k jumbo clusters in use (current/cache/total/max)
0/0/0/1096 16k jumbo clusters in use (current/cache/total/max)
432K/197K/629K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0/3/2448 sfbufs in use (current/peak/max)
0 requests for sfbufs denied
0 requests for sfbufs delayed
0 requests for I/O initiated by sendfile
0 calls to protocol drain routines

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-15 17:39:39

а до обознался :-)

так будет работать?

Код: Выделить всё

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
ppp_nat="YES"
gateway_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/fw.testBSD"
а вообще с этого шлюза что нибудь пингуется?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 8:46:54

с указанным выше опциями, так же ни чего не пингуется. с этого шлюза пинг не идет вообще ни куда

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-16 9:32:00

ну а собственно туннель то работает ваш или работал ли?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

snorlov
подполковник
Сообщения: 3807
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: ipfw+natd

Непрочитанное сообщение snorlov » 2011-03-16 10:21:27

Файер загружается у вас раньше чем поднимается ppp, поэтому наверное и нет разрешения имени...
Я бы сначала вообще отключил бы файер, т.е. указал в rc.conf

Код: Выделить всё

firewall_enable="YES"
# firewall_script="/etc/fw.testBSD"
firewall_type="OPEN"
после поднятия ppp, посмотрел бы содержимое resolv.conf и лишь после этого начал бы рихтовать правила файера.
неплохо было бы узнать

Код: Выделить всё

uname -a
P.S. Посмотрите на скрипты ppp linkup для перезагрузки правил файера после дозвона

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 14:03:42

выставила в rc.conf, параметры как пишет snorlov

Код: Выделить всё

firewall_enable="YES"
#firewall_script="/etc/fw.testBSD"
firewall_type="OPEN"
на счет поднятия ppp не совсем понятно. у меня ведь в rc.conf стоят опции чтоб соединение стартовало при загрузке?

Код: Выделить всё

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
ppp_nat="YES"
uname -a

Код: Выделить всё

FreeBSD test  8.1-STABLE-201008 FreeBSD 8.1-STABLE-201008 
относительно ppp Link, думаю сначала нужно с основой разобраться.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-16 14:05:33

посомтрите логи, судя по тому что у вас есть tun значит что то поднимается, попингуйте другой конец туннеля(77.243.240.164), посмотрите в

Код: Выделить всё

tcpdump -i tun0 -np
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 15:35:17

конец туннеля имеет свойство меняться, при попытке пинга ответа нет.

при попытке выполнить tcpdump

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel
вот что в ppp.log

Код: Выделить всё

r 16 15:29:28 test ppp[501]: tun0: Phase: bundle: Authenticate
Mar 16 15:29:28 test ppp[501]: tun0: Phase: deflink: his = CHAP 0x05, mine = none
Mar 16 15:29:28 test ppp[501]: tun0: Phase: Chap Input: CHALLENGE (16 bytes from PDSN1-CM6)
Mar 16 15:29:28 test ppp[501]: tun0: Phase: Chap Output: RESPONSE (user9010145968)
Mar 16 15:29:28 test ppp[501]: tun0: Phase: Chap Input: SUCCESS
Mar 16 15:29:28 test ppp[501]: tun0: Phase: deflink: lcp -> open
Mar 16 15:29:28 test ppp[501]: tun0: Phase: bundle: Network
Mar 16 15:29:29 test ppp[501]: tun0: Phase: deflink: IPV6CP protocol reject closes IPV6CP !
прям таки и не знаю что делать.....

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-16 15:42:03

Код: Выделить всё

default            77.243.240.172     UGS         0      162   1500     fxp0

Код: Выделить всё

77.243.240.172     link#6             UHS         0        0   1492     tun0
для проверки, после отключения удалите default маршрут и впендюрьте по новой через tun0

он почему-то решает что у вас конец туннеля за fxp0 :-\
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 16:23:46

я ни чего не включаю и не отключаю. но по вашему совету удалила маршрут, хотя и не создавала его. по крайней мере пошли пинги внутри сети. но вот как "впендюрить маршрут по новой через tun0", я признаться честно , не знаю

snorlov
подполковник
Сообщения: 3807
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: ipfw+natd

Непрочитанное сообщение snorlov » 2011-03-16 16:31:23

У меня вопрос, откуда вы взяли эти настройки

Код: Выделить всё

ifconfig_fxp0="inet 77.243.243.141  netmask 255.255.255.255"
defaultrouter="77.243.243.141"

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw+natd

Непрочитанное сообщение hizel » 2011-03-16 16:32:47

s/после отключения/после подключения ppp/ sorry

вот почитайте ваша проблема http://lists.freebsd.org/pipermail/free ... 58225.html
после того как поднимается туннель tun0 ppp должен внедрить default маршрут через tun0, но с 8.x начались странности и он с какого-то перепугу внедряется через сетевую карточку и естественно неправильно работает

маршрут добавьте

Код: Выделить всё

route add default <ip кончика туннеля>
в последний раз конец туннеля был 77.243.240.164
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 16:42:36

нет. ситуация не меняется

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: ipfw+natd

Непрочитанное сообщение rmn » 2011-03-16 16:42:50

hizel писал(а): вот почитайте ваша проблема ...
не-не. у нее проблема в том, что:

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:07:e9:5e:e7:9a
        inet 77.243.243.141 netmask 0xffffffff broadcast 77.243.243.141
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet 77.243.243.141 --> 77.243.240.164 netmask 0xffffffff
        Opened by PID 501
правильно snorlov говорит. убрать

Код: Выделить всё

ifconfig_fxp0="inet 77.243.243.141  netmask 255.255.255.255"
defaultrouter="77.243.243.141"
из rc.conf и все будет работать

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 16:52:21

как так убрать???это адрес, который мне дает провайдер. что же мне тогда указывать в настройках для интерфейса fxp0???

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: ipfw+natd

Непрочитанное сообщение rmn » 2011-03-16 16:56:34

anyLo писал(а):как так убрать???это адрес, который мне дает провайдер. что же мне тогда указывать в настройках для интерфейса fxp0???
ничего. это pppoe. Адрес назначится автоматически с вашей стороны туннеля

anyLo
рядовой
Сообщения: 26
Зарегистрирован: 2011-02-17 9:11:13

Re: ipfw+natd

Непрочитанное сообщение anyLo » 2011-03-16 17:17:16

пинги в инет отсутствуют, если удалить из rc.conf информацию о fxp0