Помогите разобратся с роутером....

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-24 19:20:28

Имеем:
Машина с 2 сетевыми
alc0 - интернет (Ip присваивается через DHCP от прова. Всегда один и тотже.)
ste0 - сетка из 12 компов

Пересобрал ядро по примеру с сайта с параметрами:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         DUMMYNET
options         HZ="1000"
Из ядра ничего не убирал, лишь дописал эти строки.

В rc.conf:

Код: Выделить всё

gateway_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
moused_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.conf"
#rinetd_enable="YES" №пока закоменчена... потом подниму.
ifconfig_nfe0="DHCP"
ifconfig_ste0="inet 192.168.1.199 netmask 255.255.255.0"
dhcpd_enable="YES"
dhcpd_flags="-q" # отключаем вывод копирайта и прочего при старте dhcpd
dhcpd_ifaces="ste0" # сетевой интерфейс на котором будет работать dhcpd
Конфиг фаервола:

Код: Выделить всё

#!/bin/sh
 fwcmd="/sbin/ipfw"
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

 ${fwcmd} add 1040 allow ip from any to any via ste0

 ${fwcmd} add 1020 allow tcp from any to any ssh
 ${fwcmd} add 1030 allow tcp from any ssh to any
 ${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
 ${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
 ${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
 ${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
 ${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
 ${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0
 ${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
 ${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0
 ${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
 ${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
 ${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} add 10130 skipto 10160 ip from 192.168.1.221 to any
 ${fwcmd} add 10140 skipto 10160 ip from any to 192.168.1.221
 ${fwcmd} add 10131 skipto 10160 ip from 192.168.1.222 to any
 ${fwcmd} add 10141 skipto 10160 ip from any to 192.168.1.222
 ${fwcmd} add 10150 queue 1 ip from any to any out xmit alc0
 ${fwcmd} add 10160 nat 1 ip from any to any via alc0
 ${fwcmd} add 10161 allow ip from 192.168.1.221 to any
 ${fwcmd} add 10162 allow ip from any to 192.168.1.221
 ${fwcmd} add 10163 allow ip from 192.168.1.222 to any
 ${fwcmd} add 10164 allow ip from any to 192.168.1.222
 ${fwcmd} add 10170 queue 2 ip from any to any in recv alc0
 ${fwcmd} add 10180 allow all from any to any
 ${fwcmd} add 10230 allow all from any to any
 ${fwcmd} add 65534 deny all from any to any
Поставил DHCP из портов версия 41.
Как сказано в примере внес строку в /etc/sysctl.conf

Код: Выделить всё

net.inet.ip.fw.one_pass=0
На выходе имеем:
Сервак конектится к нету. Получает свой IP. Начинает IP раздавать.
Но пропинговать с него я ничего не могу. Ни внутреннюю сеть ни тот же mail.ru
И интернета соответственно на компах нет. :st:

Подскажите в чем косяк? :bn:

P.S. Я не асс поэтому буду рад любым замечаниям! Только сильно не пинайте...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3714
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Помогите разобратся с роутером....

Непрочитанное сообщение snorlov » 2011-02-24 19:55:41

А никто и пинать не будет, Вы только для начала займитесь своим образованием, узнайте про tcp/ip, его маршрутизация, что надо сделать, чтобы роутер стал роутером, и что делает вещица, именуемая файрволом....почитайте статьи на сайте....

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-24 20:12:31

Я знал что найду здесь понимающих людей...
Что такое фаервол я представление имею. С принципами его работы я знаком. Про протоколы передачи данных тоже читал. Проблема в том что я очень мало работал с FreeBSD, чаще приходится настраивать аппаратные решения. Но в данном случае меня аппаратные средства не устроят.... с freebsd работаю отсилы месяц... поверьте принципы работы все го вышеизложенного мне знакомы... вот только в практике надо натаскатся.... а без грабель тут ни как... так что вот....
Процесс обучения и заключается в объяснении совершенных ошибок....

P.S. "Почему же нечего - если работали с приложением, которое тут не описано, почему б не написать - может кто-то наступит на одни грабли меньше? :) Наступать-то всё равно придётся... :)))" http://www.lissyara.su

P.P.S. C названием темы ошибся... Бывает... После работы устал чутка.... Пусть поменяют...

Гость
проходил мимо

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Гость » 2011-02-24 20:25:32

Подскажите в чем косяк?
а зачем вам так много правил фаервола?
удалите все
оставте
add 100 allow ip from any to any
и у вас все заработает

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-24 20:27:53

Там если посмотреть такая задача:
Всем компам в сети кроме двух надо выдавать лимитированную скорость... А двум избранным полную.... У меня была идея выкинуть правила но чтото не кашерно это.... я кстати и в них накосячить мог...

Гость
проходил мимо

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Гость » 2011-02-24 20:31:40

а если зарачу разбить на под задачи и решать постепенно?
одну решили, решаете следующую
и паралельно проверяете не поламали ли вы предыдущие

я про задачи с фареволом

а не сразу впихнуть с двадцаток правил и бежать спрашивать что не правильно

при таком подходе все не правильно

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-24 20:40:49

возможно =) ладно попробуем...

snorlov
подполковник
Сообщения: 3714
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Помогите разобратся с роутером....

Непрочитанное сообщение snorlov » 2011-02-25 0:10:17

Spics писал(а):возможно =) ладно попробуем...
У вас внешняя сетевуха nfe0, а в правилах фигурирует alc0...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Помогите разобратся с роутером....

Непрочитанное сообщение FreeBSP » 2011-02-25 12:17:52

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush
 ${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any 

попробуй начать с чего то вроде этого
нумерацию правил имхо лучше потом настроить
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-25 16:29:38

Ты абсолютно прав... Антиспуфинг всему виной... Как только я его выключил все заработало как надо.... спасибо огромное....

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Помогите разобратся с роутером....

Непрочитанное сообщение FreeBSP » 2011-02-25 19:59:19

Пазялст =)
Логично же что не надо резать 192.168/16 когда сам в ней находишься =)
И посмотри в сторону структурирования правил. В твоей простыне сам не разберешься через несколько менсяцев
И используй макросы( по нашему - переменные), они повышают гибкость и читабельность кода для постороннего
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-25 20:06:30

Народ, я навернно волшебник по части косяков....

Код: Выделить всё

Line 2: Bad command 'fwcmd="/sbin/ipfw"'
Что это может значить?
Ipfw list мне теперь выдает что у меня одно правило: 65... запрещено все....

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Помогите разобратся с роутером....

Непрочитанное сообщение FreeBSP » 2011-02-25 20:12:36

покажи скрипт полностью

http://www.opennet.ru/openforum/vsluhfo ... 74735.html
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-25 20:20:37

я взял тот что ты предлагал:

Код: Выделить всё

#!/bin/sh
# начнем-с
fwcmd="/sbin/ipfw"

# самоопределимся
ExtIF="alc0"
ExtIP=`ifconfig $ExtIF | grep inet | awk '{print $2}'`

IntIF="ste0"
IntIP=`ifconfig $IntIF | grep inet | awk '{print $2}'`
IntMaskLen=24

IntLan=${IntIP}/${IntMaskLen}

VIP="{ 192.168.1.221 , 192.168.1.222 }

# очистимся
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

# внутреннее сообщение + антиспуфинг
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to 127.0.0.0/8 

# всегда сохраняй контроль над собой
# и своим сервером
${fwcmd} add allow tcp from any to me ssh
${fwcmd} add allow tcp from me ssh to any

# бывший антиспуфинг наверное и блочил все без разбору 
# но поскольку сети называть вы постеснялись, выключим его
#${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
#${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
#${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
#${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
#${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
#${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0

# Скажи НЕТ автонастроенной сети!
# и вообще, перестань разговаривать с сетями
${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

# Здесь настраиваем медные трубы
# настройку огня и воды доверьте специалистам
${fwcmd} pipe 1 config bw 10Mbit/s queue 60 gred 0.002/10/30/0.1 
${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
${fwcmd} pipe 2 config bw 3Mbit/s queue 60 gred 0.002/10/30/0.1
${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

# just for fun
# мы не будем использовать NAT
# не настроив его
${fwcmd} nat 1 config if ${ExtIF} reset same_ports deny_in

# Посторонись!
${fwcmd} add skipto 5000 ip from ${VIP} to any
${fwcmd} add skipto 5000 ip from any to ${VIP}

${fwcmd} add queue 1 ip from $IntLan  to any out recv $IntIF xmit $ExtIF

${fwcmd} add 5000 nat 1 ip from any to any via $ExtIF
${fwcmd} add allow ip from ${VIP} to any in
${fwcmd} add allow ip from any to ${VIP} out

${fwcmd} add queue 2 ip from any to $IntLan out recv $ExtIF xmit $IntIF

# локальная сеть + антиспуфинг на внутреннем интерфейсе
${fwcmd} add allow ip from $IntLan to any in via $IntIF
${fwcmd} add allow ip from any to $IntLan out via $IntIF

${fwcmd} add allow ip from any to me
${fwcmd} add allow ip from me to any
Как мне показалось он более понятен...

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-25 20:56:34

УУпс...мой косяк....dev/hends и dev/head... Лагают чегото)

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Помогите разобратся с роутером....

Непрочитанное сообщение FreeBSP » 2011-02-25 21:13:08

мои там тоже есть
писал сходу сюда - проверить было не на чем
но их оставлю в качестве домашнего задания
будут конкретные вопросы/проблемы - пиши
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-26 17:31:05

Всплыла проблема мне не понятная гугл ответа не дал....

DHCP присваивает ip машине, я захажу в свойства подключения клиента и вижу что машина только принимает пакеты а слать их не хочет... Отправленных 0...

В это время сервер пингует сетку и интернет...

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-26 20:15:38

Поправка сетку не пингует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35182
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Alex Keda » 2011-02-27 0:25:38

оффтоп
лучше расскажите про железку
два сетевых интерфейса, и оба я вижу первый раз в жизни.
аж маны пошёл раскуривать.
Убей их всех! Бог потом рассортирует...

Spics
рядовой
Сообщения: 44
Зарегистрирован: 2010-11-27 22:35:18

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Spics » 2011-02-27 10:01:39

сетевые:
alc0 встроеная в мать:
Atheros AR8132L 10/100 Мбит/сек
ste0 Zвнешняя сетевушка... марку не помню...

народ проблема давит! Выручайте!!!
на серве есть интерент а на клиенте нет!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35182
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Помогите разобратся с роутером....

Непрочитанное сообщение Alex Keda » 2011-02-27 13:18:51

Код: Выделить всё

ipfw show
Убей их всех! Бог потом рассортирует...