mpd5 фрибсд 7.1

[NeG-56]

Сюда вывести?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

ну да. используя

Код: Выделить всё

Code

[NeG-56]

Таблица

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            drs8               UGS         0     1000    ng0
10.8.0.1           10.64.82.1         UGHS        3     1056    em0
10.64.82.0         link#1             U           0        0    em0
10.64.82.221       link#1             UHS         0        0    lo0
drs8               link#5             UH          0        0    ng0
host-94-41-185-47. link#5             UHS         0        0    lo0
localhost          link#3             UH          0        0    lo0
192.168.0.0        link#2             U           0       28    em1
192.168.0.224      link#2             UHS         0        0    lo0

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UH          lo0
fe80::%lo0         link#3             U           lo0
fe80::1%lo0        link#3             UHS         lo0
ff01:3::           fe80::1%lo0        U           lo0
ff02::%lo0         fe80::1%lo0        U           lo0

IPFW:

Код: Выделить всё

00100    0      0 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400    0      0 deny ip from any to ::1
00500    0      0 deny ip from ::1 to any
00600    0      0 allow ipv6-icmp from :: to ff02::/16
00700    0      0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800    0      0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900    0      0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000    0      0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 5072 464872 allow ip from any to any
65535    0      0 deny ip from any to any

mpd.conf

Код: Выделить всё

startup:

default:
	load dialup
dialup:
	create bundle static B1
	set iface route default
#	set ipcp ranges 0.0.0.0/0 0.0.0.0/0
	create link static L1 pptp
	set link action bundle B1
	set link accept chap
	set auth authname "***"
	set auth password "******"
	set link max-redial 0
	set link keep-alive 20 75
	set pptp peer 10.8.0.1
	set pptp disable windowing
	open
	

rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Wed Aug 18 23:46:56 2010
# Created: Wed Aug 18 23:46:56 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="ekonom.o56.ru"
#defaultrouter="10.64.82.1"
#sshd_enable="YES"
ifconfig_em0="DHCP"
#static_routes="vpn"
#route_vpn="10.8.0.1 10.64.82.1"
#mpd_enable="YES"
natd_enable="YES"
natd_interface="ng0"
firewall_enable="YES"
firewall_type="OPEN"
ifconfig_em1="inet 192.168.0.224 255.255.255.0"
route_enable="YES"
#router="/sbin/routed"
#router_flags="-q"
keymap="ru.koi8-r"
keyrate="fast"
mousechar_start="3"
saver="daemon"
scrnmap="koi8-r2cp866"

[NeG-56]

По поводу /etc/rc.d/natd restart
Команда так выполняется?Дополнять не надо ничего?

[vadim64]

У вас нат отстутствует в правилах фаервола))
Советую вам сделать свой личный фаервол, за примерами - на сайт.

[NeG-56]

У вас нат отстутствует в правилах фаервола))
Советую вам сделать свой личный фаервол, за примерами - на сайт.

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"

Этого мало?

[vadim64]

кстати, не совсем понятно, почему у вас его нет. попробуйте после перезапуска натд перезапустить и фаерволл

Код: Выделить всё

# /etc/rc.d/natd restart
# /etc/rc.d/ipfw restart

[vadim64]

фаервол типа ОПЕН - предустановлен. Хорошой практикой считается делать свои собственные наборы правил.

[NeG-56]

фаервол типа ОПЕН - предустановлен. Хорошой практикой считается делать свои собственные наборы правил.

Ну для начала и открытый можно попробовать.А раз с ним то не идет то свои правила рано делать.
Щас попробую:

Код: Выделить всё

При использовании внутренних адресов необходимо включить NAT на шлюзе. В файле /etc/rc.conf надо прописать следующее:
natd_enable=«YES»
natd_interface=«внешний_интерфейс»
firewall_enable= «YES»
firewall_type= «/usr/local/etc/firewall.conf»
а после этого надо создать файл /usr/local/etc/firewall.conf и прописать в него хотя бы следующее:
add divert natd all from any to any via <внутрений_интерфейс>
add allow all from any to any
что приводит к тому, что разрешается все.

Код: Выделить всё

/etc/rc.d/ipfw restart

Bad command.restart

[vadim64]

фаервол типа ОПЕН - предустановлен. Хорошой практикой считается делать свои собственные наборы правил.

Ну для начала и открытый можно попробовать.А раз с ним то не идет то свои правила рано делать.
Щас попробую:

Код: Выделить всё

При использовании внутренних адресов необходимо включить NAT на шлюзе. В файле /etc/rc.conf надо прописать следующее:
natd_enable=«YES»
natd_interface=«внешний_интерфейс»
firewall_enable= «YES»
firewall_type= «/usr/local/etc/firewall.conf»
а после этого надо создать файл /usr/local/etc/firewall.conf и прописать в него хотя бы следующее:
add divert natd all from any to any via <внутрений_интерфейс>
add allow all from any to any
что приводит к тому, что разрешается все.

http://forum.lissyara.su/posting.php?mo ... 53&t=27901#
Очень позновательно . Сделайте так как написано, у вас то не так.

[NeG-56]

Ссылка куда ссылается у Вас?
<внутрений_интерфейс> интерфейс смотрящий в локальную сеть?

[vadim64]

Забейте на ссылку
Да, локальный интерфейс

[NeG-56]

После таких манипуляция даже на фряхе ип не может получить внешний и сайты соотвественно не пингуются.Таблица маршрутизации изменилась.первым стал интерфейс em0

[vadim64]

каких именно? те что я посоветовал? или как в вашем руководстве?

[NeG-56]

каких именно? те что я посоветовал? или как в вашем руководстве?

После того руководства

[server801]

Код: Выделить всё

set ipcp ranges 0.0.0.0/0 0.0.0.0/0

это почему закоменчено?
вот я тут трахался с ппое и разруливанием маршрутизации подсети, выданной провом. некоторые моменты можно подчерпнуть http://portal.san.ru/forums/index.php?s ... 45191&st=0

[NeG-56]

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"

Почему же при таких параметрах и перезагрузке натд не идет инет в лвс.Ведь все открыто и инет на фряхе есть!

[vadim64]

потому что у вас в фаерволе нет заворота в нат

[NeG-56]

Код: Выделить всё

Простой шлюз на FreeBSD
Перезагрузились, залогинились под рутом.
Набираем команду ifconfig, смотрим, какие у нас есть сетевые карты. Предположим, мы увидели rl0 и rl1, в rl0 воткнута сеть провайдера, который дал нам такие параметры:
ip-адрес 192.168.1.5
маска 255.255.255.0
шлюз: 192.168.1.1
DNS1: 192.168.1.2
DNS2: 192.168.1.3
В rl1 воткнута наша сеть. Мы решили сделать её с адресным пространством 10.10.10.*
Тогда для начала настроим сетевые интерфейсы и обеспечим передачу пакетов между ними:

echo gateway_enable=«YES» > /etc/rc.conf
echo ifconfig_rl0=«inet 192.168.1.5 netmask 255.255.255.0» > /etc/rc.conf
echo ifconfig_rl1=«inet 10.10.10.1 nemask 255.255.255.0» >> /etc/rc.conf
echo defaultrouter=«192.168.1.1» >> /etc/rc.conf
echo nameserver 192.168.1.2 > /etc/resolv.conf
echo nameserver 192.168.1.3 >> /etc/resolv.conf


Теперь нам надо добавить фаервол и его «заворачивающий» модуль в автозагрузку. Даём следующие команды:

echo ipfw_load=«YES» > /boot/loader.conf
echo ipdivert_load=«YES» >> /boot/loader.conf


в loader.conf
ipfw_nat_load="YES"



Создадим файлик для автостарта при загрузке с нужными правилами фаервола и натом:

echo natd -interface rl0 > /usr/local/etc/rc.d/autoexec.sh
echo ipfw add 10000 divert natd all from any to any via rl0 >> /usr/local/etc/rc.d/autoexec.sh
echo ipfw add 65000 allow all from any to any >> /usr/local/etc/rc.d/autoexec.sh
chmod 777 /usr/local/etc/rc.d/autoexec.sh


Вот собственно и всё. После перезагрузки наша FreeBSD станет роутером, а подключенные к ней компьютеры с адресами 10.10.10.*, маской 255.255.255.0, основным шлюзом 10.10.10.1 и с ДНСами что дал нам провайдер (192.168.1.2 и 192.168.1.3) будут иметь доступ к интернету. Как видите, ничего сложного, установить систему сложнее, чем сделать из неё простейший шлюз.

Я все сделал под себя:

Код: Выделить всё

Простой шлюз на FreeBSD
Перезагрузились, залогинились под рутом.
Набираем команду ifconfig, смотрим, какие у нас есть сетевые карты. Предположим, мы увидели rl0 и rl1, в rl0 воткнута сеть провайдера, который дал нам такие параметры:
ip-адрес  10.64.82.221
маска 255.255.255.0
шлюз: 10.64.82.1
DNS1: такой то 
DNS2: такой то
В rl1 воткнута наша сеть.
Тогда для начала настроим сетевые интерфейсы и обеспечим передачу пакетов между ними:

echo gateway_enable=«YES» > /etc/rc.conf
echo ifconfig_rl0=«inet 10.64.82.221 netmask 255.255.255.0» > /etc/rc.conf
echo ifconfig_rl1=«inet 192.168.0.224 nemask 255.255.255.0» >> /etc/rc.conf
echo defaultrouter=«10.64.82.1» >> /etc/rc.conf
echo nameserver таакоойто> /etc/resolv.conf
echo nameserver такойто >> /etc/resolv.conf


Теперь нам надо добавить фаервол и его «заворачивающий» модуль в автозагрузку. Даём следующие команды:

echo ipfw_load=«YES» > /boot/loader.conf
echo ipdivert_load=«YES» >> /boot/loader.conf


в loader.conf
ipfw_nat_load="YES"



Создадим файлик для автостарта при загрузке с нужными правилами фаервола и натом(ng0 впн подключение):

echo natd -interface ng0 > /usr/local/etc/rc.d/autoexec.sh
echo ipfw add 10000 divert natd all from any to any via ng0 >> /usr/local/etc/rc.d/autoexec.sh
echo ipfw add 65000 allow all from any to any >> /usr/local/etc/rc.d/autoexec.sh
chmod 777 /usr/local/etc/rc.d/autoexec.sh


Вот собственно и всё. 

Таблица после поднятия

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
10.0.0.0/8         link#1             U           0       26    em0
10.8.0.1           10.64.82.1         UGHS        1      162    em0
10.64.82.221       link#1             UHS         0        0    lo0
127.0.0.1          link#4             UH          0        0    lo0
192.168.0.0/24     link#2             U           1     1810    em1
192.168.0.224      link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#4                        U           lo0
fe80::1%lo0                       link#4                        UHS         lo0
ff01:4::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

фаер

Код: Выделить всё

10000  230  13414 divert 8668 ip from any to any via em0
65000 4306 312008 allow ip from any to any
65535   16    994 deny ip from any to any

Кстати.

[vadim64]

фаер сделайте

Код: Выделить всё

10000  230  13414 divert 8668 ip from any to any via ng0
65000 4306 312008 allow ip from any to any
65535   16    994 deny ip from any to any

[NeG-56]

А судя по таблице раздача пойдет в лвс?
Не сделаю я фаер потому что мозгов не хватит.Уже вторую неделю делаю этот шлюз

[vadim64]

давай делай!
немного осталась!
я зря что ли своё время тратил с тобоЙ!

[NeG-56]

Спасибо конечно большое но мой мозг исяк.Я уже какие то правила не пробовал

[NeG-56]

Начался новый день.Сегодня наконец то сделал что при загрузке фряхи автоматом мпд поднимается и не надо прописывать вручную статический ип и удалять дефолт.
Нашел фаервол типа рабочий у своего прова на форуме:

Код: Выделить всё

Файл /etc/natd.conf:
Код:
same_ports yes
use_sockets yes
dynamic yes
Последняя опция (dynamic yes) является КЛЮЧЕВОЙ при использовании интернета с динамическим IP-адресом (за подробностями в man natd).
Файл /etc/rc.firewall:Код:
#!/bin/sh
                                               # Объявляем файл скриптом

                                               # Объявляем переменные
if_ext="ng0"                            # Внешняя сетевая карта (Ufanet)
if_int="xl0"                              # Внутренняя сетевая карта (Локальная сеть)

ip_int="192.168.51.254"                   # Внутренний IP-адрес (Локальная сеть)

local_lan="192.168.51.0/24"              # Сегмент локальной сети

ssh_port="XXXXX"                        # SSH-порт FreeBSD-сервера

dns_servers="81.30.199.5, 81.30.199.94, 81.30.199.50" # IP-адреса DNS-серверов

/sbin/ipfw -f flush
/sbin/ipfw -f pipe flush

/sbin/ipfw add allow ip from any to any $ssh_port
/sbin/ipfw add allow ip from any $ssh_port to any

/sbin/ipfw add allow ip from me to 10.8.0.1,10.8.3.1,10.8.0.8 1723
/sbin/ipfw add allow ip from 10.8.0.1,10.8.3.1,10.8.0.8 1723 to me
/sbin/ipfw add allow gre from any to any

/sbin/ipfw add divert natd all from any to any via ng0

                                        # Работа с DNS-серверами из локалки
/sbin/ipfw add allow udp from $local_lan to $dns_servers 53
/sbin/ipfw add allow udp from $dns_servers 53 to $local_lan

                                        # Хождение пакетов по внутренним интерфейсам
/sbin/ipfw add allow all from $local_lan to $local_lan via $if_int
/sbin/ipfw add allow all from any to any via lo0

/sbin/ipfw add allow ip from any to any uid root out via ng0 keep-state
/sbin/ipfw add allow ip from any to any uid squid out via ng0 keep-state


                                        # Разрешить ICMP пакеты
/sbin/ipfw add allow log icmp from any to any

/sbin/ipfw add allow ip from me to any

                                        # Закрыть все и не пущать
/sbin/ipfw add deny all from $local_lan to not $local_lan via $if_int
/sbin/ipfw add deny log all from any to any
В таком варианте переподключение PPTP VPN на работу NATd и IPFW не влияет.

Я переделал:

Код: Выделить всё

#!/bin/sh
                                               # Объявляем файл скриптом
                                               # Объявляем переменные
if_ext="ng0"                            # Внешняя сетевая карта (Ufanet) (виртуальное соединение после поднятия мпд)
if_int="em1"                              # Внутренняя сетевая карта (Локальная сеть) (КАК Я ПОНЯЛ сетевая которая смотрит в локалку предприятия)
ip_int="192.168.0.224"                   # Внутренний IP-адрес (Локальная сеть)(Ее ип)
local_lan="192.168.0.0/24"              # Сегмент локальной сети (ЕЕ СЕГМЕНТ)

ssh_port="XXXXX"                        # SSH-порт FreeBSD-сервера (не знаю)

dns_servers="79.140.16.5, 79.140.19.2, 10.8.0.3" # IP-адреса DNS-серверов

/sbin/ipfw -f flush
/sbin/ipfw -f pipe flush

/sbin/ipfw add allow ip from any to any $ssh_port
/sbin/ipfw add allow ip from any $ssh_port to any

/sbin/ipfw add allow ip from me to 10.8.0.1,10.8.3.1,10.8.0.8 1723
/sbin/ipfw add allow ip from 10.8.0.1,10.8.3.1,10.8.0.8 1723 to me
/sbin/ipfw add allow gre from any to any

/sbin/ipfw add divert natd all from any to any via ng0

                                        # Работа с DNS-серверами из локалки
/sbin/ipfw add allow udp from $local_lan to $dns_servers 53
/sbin/ipfw add allow udp from $dns_servers 53 to $local_lan

                                        # Хождение пакетов по внутренним интерфейсам
/sbin/ipfw add allow all from $local_lan to $local_lan via $if_int
/sbin/ipfw add allow all from any to any via lo0

/sbin/ipfw add allow ip from any to any uid root out via ng0 keep-state
/sbin/ipfw add allow ip from any to any uid squid out via ng0 keep-state


                                        # Разрешить ICMP пакеты
/sbin/ipfw add allow log icmp from any to any

/sbin/ipfw add allow ip from me to any

                                        # Закрыть все и не пущать
/sbin/ipfw add deny all from $local_lan to not $local_lan via $if_int
/sbin/ipfw add deny log all from any to any

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            79.140.16.80       UGS         0      238    ng0
10.8.0.1           10.64.82.1         UGHS        1      749    em0
10.64.82.0/24      link#1             U           0        0    em0
10.64.82.221       link#1             UHS         0        0    lo0
79.140.16.80       link#5             UH          0        0    ng0
94.41.130.245      link#5             UHS         0        0    lo0
127.0.0.1          link#3             UH          0        0    lo0
192.168.0.0/24     link#2             U           0       54    em1
192.168.0.224      link#2             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UH          lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01:3::/32                       fe80::1%lo0                   U           lo0
ff02::%lo0/32                     fe80::1%lo0                   U           lo0

Код: Выделить всё

00100   37   2640 allow ip from me to 10.8.0.1,10.8.3.1,10.8.0.8 dst-port 1723
00200   71   4272 allow ip from 10.8.0.1,10.8.3.1,10.8.0.8 1723 to me
00300  922  62224 allow gre from any to any
00400  206  26396 divert 8668 ip from any to any via ng0
00500   48   3349 allow udp from 192.168.0.0/24 to 79.140.16.5,79.140.19.2,10.8.0.3 dst-port 53
00600   96  19914 allow udp from 79.140.16.5,79.140.19.2,10.8.0.3 53 to 192.168.0.0/24
00700 3963 439517 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via em1
00800    0      0 allow ip from any to any via lo0
00900    5    565 allow ip from any to any uid root out via ng0 keep-state
01000   32   2648 allow log icmp from any to any
01100   48   3349 allow ip from me to any
01200  433  41028 deny ip from 192.168.0.0/24 to not 192.168.0.0/24 via em1
01300   73   9877 deny log ip from any to any
65535    0      0 deny ip from any to any

В итоге интерент есть только на фряхе(((

[vadim64]

Код: Выделить всё

/sbin/ipfw add allow all from $local_lan to $local_lan via $if_int

преобразовать в

Код: Выделить всё

/sbin/ipfw add allow all from any to any via $if_int