Помогите разобратся с роутером....

[Spics]

Имеем:
Машина с 2 сетевыми
alc0 - интернет (Ip присваивается через DHCP от прова. Всегда один и тотже.)
ste0 - сетка из 12 компов

Пересобрал ядро по примеру с сайта с параметрами:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"

Из ядра ничего не убирал, лишь дописал эти строки.

В rc.conf:

Код: Выделить всё

gateway_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
moused_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
#rinetd_enable="YES" №пока закоменчена... потом подниму.
ifconfig_nfe0="DHCP"
ifconfig_ste0="inet 192.168.1.199 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_flags="-q" # отключаем вывод копирайта и прочего при старте dhcpd
dhcpd_ifaces="ste0" # сетевой интерфейс на котором будет работать dhcpd

Конфиг фаервола:

Код: Выделить всё

#!/bin/sh
 fwcmd="/sbin/ipfw"
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

 ${fwcmd} add 1040 allow ip from any to any via ste0

 ${fwcmd} add 1020 allow tcp from any to any ssh
 ${fwcmd} add 1030 allow tcp from any ssh to any
 ${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
 ${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
 ${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
 ${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
 ${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
 ${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0
 ${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
 ${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0
 ${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
 ${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
 ${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} add 10130 skipto 10160 ip from 192.168.1.221 to any
 ${fwcmd} add 10140 skipto 10160 ip from any to 192.168.1.221
 ${fwcmd} add 10131 skipto 10160 ip from 192.168.1.222 to any
 ${fwcmd} add 10141 skipto 10160 ip from any to 192.168.1.222
 ${fwcmd} add 10150 queue 1 ip from any to any out xmit alc0
 ${fwcmd} add 10160 nat 1 ip from any to any via alc0
 ${fwcmd} add 10161 allow ip from 192.168.1.221 to any
 ${fwcmd} add 10162 allow ip from any to 192.168.1.221
 ${fwcmd} add 10163 allow ip from 192.168.1.222 to any
 ${fwcmd} add 10164 allow ip from any to 192.168.1.222
 ${fwcmd} add 10170 queue 2 ip from any to any in recv alc0
 ${fwcmd} add 10180 allow all from any to any
 ${fwcmd} add 10230 allow all from any to any
 ${fwcmd} add 65534 deny all from any to any

Поставил DHCP из портов версия 41.
Как сказано в примере внес строку в /etc/sysctl.conf

Код: Выделить всё

net.inet.ip.fw.one_pass=0

На выходе имеем:
Сервак конектится к нету. Получает свой IP. Начинает IP раздавать.
Но пропинговать с него я ничего не могу. Ни внутреннюю сеть ни тот же mail.ru
И интернета соответственно на компах нет.

Подскажите в чем косяк?

P.S. Я не асс поэтому буду рад любым замечаниям! Только сильно не пинайте...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

А никто и пинать не будет, Вы только для начала займитесь своим образованием, узнайте про tcp/ip, его маршрутизация, что надо сделать, чтобы роутер стал роутером, и что делает вещица, именуемая файрволом....почитайте статьи на сайте....

[Spics]

Я знал что найду здесь понимающих людей...
Что такое фаервол я представление имею. С принципами его работы я знаком. Про протоколы передачи данных тоже читал. Проблема в том что я очень мало работал с FreeBSD, чаще приходится настраивать аппаратные решения. Но в данном случае меня аппаратные средства не устроят.... с freebsd работаю отсилы месяц... поверьте принципы работы все го вышеизложенного мне знакомы... вот только в практике надо натаскатся.... а без грабель тут ни как... так что вот....
Процесс обучения и заключается в объяснении совершенных ошибок....

P.S. "Почему же нечего - если работали с приложением, которое тут не описано, почему б не написать - может кто-то наступит на одни грабли меньше? Наступать-то всё равно придётся... ))" http://www.lissyara.su

P.P.S. C названием темы ошибся... Бывает... После работы устал чутка.... Пусть поменяют...

[Гость]

Подскажите в чем косяк?

а зачем вам так много правил фаервола?
удалите все
оставте
add 100 allow ip from any to any
и у вас все заработает

[Spics]

Там если посмотреть такая задача:
Всем компам в сети кроме двух надо выдавать лимитированную скорость... А двум избранным полную.... У меня была идея выкинуть правила но чтото не кашерно это.... я кстати и в них накосячить мог...

[Гость]

а если зарачу разбить на под задачи и решать постепенно?
одну решили, решаете следующую
и паралельно проверяете не поламали ли вы предыдущие

я про задачи с фареволом

а не сразу впихнуть с двадцаток правил и бежать спрашивать что не правильно

при таком подходе все не правильно

[Spics]

возможно ладно попробуем...

[snorlov]

возможно ладно попробуем...

У вас внешняя сетевуха nfe0, а в правилах фигурирует alc0...

[FreeBSP]

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any 

попробуй начать с чего то вроде этого
нумерацию правил имхо лучше потом настроить

[Spics]

Ты абсолютно прав... Антиспуфинг всему виной... Как только я его выключил все заработало как надо.... спасибо огромное....

[FreeBSP]

Пазялст
Логично же что не надо резать 192.168/16 когда сам в ней находишься
И посмотри в сторону структурирования правил. В твоей простыне сам не разберешься через несколько менсяцев
И используй макросы( по нашему - переменные), они повышают гибкость и читабельность кода для постороннего

[Spics]

Народ, я навернно волшебник по части косяков....

Код: Выделить всё

Line 2: Bad command 'fwcmd="/sbin/ipfw"'

Что это может значить?
Ipfw list мне теперь выдает что у меня одно правило: 65... запрещено все....

[FreeBSP]

покажи скрипт полностью

http://www.opennet.ru/openforum/vsluhfo ... 74735.html

[Spics]

я взял тот что ты предлагал:

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any

Как мне показалось он более понятен...

[Spics]

УУпс...мой косяк....dev/hends и dev/head... Лагают чегото)

[FreeBSP]

мои там тоже есть
писал сходу сюда - проверить было не на чем
но их оставлю в качестве домашнего задания
будут конкретные вопросы/проблемы - пиши

[Spics]

Всплыла проблема мне не понятная гугл ответа не дал....

DHCP присваивает ip машине, я захажу в свойства подключения клиента и вижу что машина только принимает пакеты а слать их не хочет... Отправленных 0...

В это время сервер пингует сетку и интернет...

[Spics]

Поправка сетку не пингует...

[Alex Keda]

оффтоп
лучше расскажите про железку
два сетевых интерфейса, и оба я вижу первый раз в жизни.
аж маны пошёл раскуривать.

[Spics]

сетевые:
alc0 встроеная в мать:
Atheros AR8132L 10/100 Мбит/сек
ste0 Zвнешняя сетевушка... марку не помню...

народ проблема давит! Выручайте!!!
на серве есть интерент а на клиенте нет!!!

[Alex Keda]

Код: Выделить всё

ipfw show