преамбула:
имеется машина на Proxmox.
в ней два адаптера eth0 и eth1
внутри Проксмокси развернуты три машины. нас интересует машина с фреебсд.
параметры:
Проц 2Ггц
Озу 2Гб
HDD 160Gb
сеть:
адаптер 1 - vmbr0 -> eth0 -> em0 192.168.0.2/24
адаптер 2 - vmbr1 -> eth1 -> em1
em0 смотрит в локалку, em1 будет смотреть на провайдера по статике.
имеем роутер Zyxel. он пока тусуется в сети как DHCP и DNS сервер. ну и работает как роутер по статическому айпи (10.0.016/16). натом проброшены порты внутрь сетки. все работает.
внутри сетки имеем два вебсервера.
192.168.0.88
192.168.0.25
на 88ом стоит апач с редиректом по доменам.
подключили нового провайдера, с сохранением старого. он выдал диапазон адресов 10.0.10.32-36
задача:
убрать роутер и вместо него установить машину на фреебсд. ту, которая в виртуалке крутится.
необходимо чтобы:
1. работал ВПН сервер (уже сделано)
2. стояла самба на em0 адаптере
3. наличие прозрачного прокси
4. редирект 80 порта с внешних адресов на вебсервера. а именно:
10.0.0.16 -> 192.168.10.88
10.0.10.34 -> 192.168.10.88
10.0.10.35 -> 192.168.10.25
10.0.10.36 -> 192.168.10.25
5. наличие DHCP и DNS сервера на шлюза
вот конфиги.
rc.conf
Код: Выделить всё
hostname="ares"
keymap="ru.koi8-r.win.kbd"
# ?????
ifconfig_em0="192.168.10.2 netmask 255.255.255.0"
#ifconfig_em0="192.168.10.1 netmask 255.255.255.0"
#defaultrouter="192.168.10.1"
#ifconfig_em1="10.0.0.16 netmask 255.255.255.252"
ifconfig_em1="inet 10.0.10.33 netmask 255.255.255.248"
ifconfig_em1_alias0="inet 10.0.10.34 netmask 255.255.255.248"
ifconfig_em1_alias1="inet 10.0.10.35 netmask 255.255.255.248"
ifconfig_em1_alias2="inet 10.0.10.36 netmask 255.255.255.248"
ifconfig_em1_alias3="inet 10.0.0.16 netmask 255.255.255.252"
defaultrouter="10.0.10.31"
# ??????
firewall_enable="YES"
#firewall_type="open"
firewall_script="/etc/ipfw.conf"
#firewall_script="/etc/ipfw.rules"
firewall_logging="YES"
# ????????. ??? ? ????????
mpd_enable="YES"
mpd_flags="-b"
# ????? ??? ????? ?? ????, ?? ????????
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
sendmail_outbound_enable="NO"
nmbd_enable="YES"
smbd_enable="YES"
#samba4_enable="YES"
#samba4_script="/etc/smb4.conf"
#squid_enable="YES"
gateway_enable="YES"
# ??????? ??????
rinetd_enable="YES"
inetd_enable="YES"
ntpd_enable="YES"
#natd_enable="YES"
#natd_flags="-a 192.168.10.2"
#natd_interface="em0"
#natd_interface="em1"
#natd_flags="-f /etc/natd.conf"
# DHCP server
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="em0"
dhcpd_withumask="022"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_devfs_enable="YES"
dhcpd_rootdir="/var/db/dhcpd"
# ?????????? ????.. ?? ??????..
sshd_enable="YES"
named_enable="YES"
named_auto_forward="YES"
moused_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
Код: Выделить всё
ipfw -q -f flush
#ipfw add allow all from any to any
#ipfw add allow all from any to any via em0
#ipfw add allow all from any to any 3389 via em1 keep-state
#ipfw add allow all from any to any 25 via em1 keep-state
#ipfw add allow all from any to any 110 via em1 keep-state
#ipfw add divert 192.168.10.88,80 all from 192.168.10.0/24 to 10.0.0.16 80
#ipfw add divert 192.168.10.88:80 all from 192.168.10.0/24 to 10.0.10.34 80
#ipfw add divert 192.168.10.88,80 all from 192.168.10.0/24 to 10.0.10.36 80
#mpd
ipfw add allow all from any to me 1701
ipfw add allow all from me to any 1701
#ssh
ipfw add allow all from any 22 to me 22
ipfw add allow all from me 22 to any 22
#rinetd
ipfw add allow all from any to any 25
ipfw add allow all from any to any 110
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 2177
ipfw add allow all from any to any 2188
ipfw add allow all from any to any 2266
ipfw add allow all from any to any 2277
ipfw add allow all from any to any 80
ipfw add allow all from any to any 53
ipfw add allow all from any to any 5676
ipfw add allow all from any to any 5677
ipfw add allow all from any to any 2580
ipfw add allow all from any to any 2585
ipfw add allow all from any to any 8801
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 21
ipfw add allow all from any to any 22
ipfw add allow all from any to any 8006
ipfw add allow all from any to any 3306
ipfw add allow all from any to any 8800
#ipfw add fwd 192.168.10.25,21 tcp from any to me 2177
ipfw add allow all from any to any 8006
ipfw add allow udp from 192.168.10.0/24 to any 53
ipfw add allow tcp from 192.168.10.0/24 to any 53
#ipfw add allow all from 192.168.10.0/24 to 192.168.10.0/24 via em0
#ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.0/24 to any 80 via em1
#ipfw add divert natd ip from any to any via em1
ipfw add allow ip from any to any
Код: Выделить всё
option domain-name "home"; # ?????? ??? ??????
option domain-name-servers 192.168.10.2; #????? DNS ???????
default-lease-time 824000; #????? ?????? ?? ?????????
max-lease-time 864000; # ???????????? ????? ??????
authoritative; # ???????????? dhcp ?????? ? ????
ddns-update-style none; # ????????? ???????????? ????? ?????????? DNS
#deny unknown-clients; # ????????? ?????????? ????????
# 192.168.10.0 # ??????? ? ??????? ????? ???????? ??????
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.20 192.168.10.250; # ????????? ip ??????? ?? ?????? ????????
option routers 192.168.10.2; # ????? ?????????????? ? ????????
}
#
host srvbuh {
hardware ethernet 7e:0d:86:89:94:85;
fixed-address 192.168.10.103;
}
host ezengine {
hardware ethernet 00:23:54:28:b1:dc;
fixed-address 192.168.10.88;
}
host webserver {
hardware ethernet 76:e5:70:8e:9b:c7;
fixed-address 192.168.10.25;
}
host proxmox-prime {
hardware ethernet f4:6d:04:77:75:9e;
fixed-address 192.168.10.212;
}
host proxmox {
hardware ethernet 90:e6:ba:bb:d6:18;
fixed-address 192.168.10.210;
}
Код: Выделить всё
startup:
set user atos nimda admin # ?????????????????
set user foo bar admin
set user foo1 bar1 user
set console self 127.0.0.1 5005
set console open
set web self 0.0.0.0 5006
set web open
default:
load l2tp_server
l2tp_server:
# Define dynamic IP address pool.
set ippool add pool1 192.168.10.220 192.168.10.235
# Create clonable bundle template named B
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.10.0/24 ippool pool1
set ipcp dns 192.168.10.2
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template L l2tp
# Set bundle template to use
set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460
# Configure l2tp
# set l2tp self 192.168.10.2
set l2tp self 10.0.10.33
# Allow to accept calls
set link enable incoming
Код: Выделить всё
acl "home" { 192.168.10.0/24; 127.0.0.1; };
options {
// Relative to the chroot directory, if any
listen-on { 127.0.0.1; 192.168.10.2; };
#allow-recursion { ACCESS; };
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
forwarders {
10.0.11.55;10.0.11.54;
};
#allow-query { "home"; };
};
Код: Выделить всё
# Servers OLD
192.168.10.2 5676 192.168.10.103 3389 #SRVBUH
62.105.136.18 5676 192.168.10.103 3389
94.141.181.43 5676 192.168.10.103 3389
192.168.10.2 5677 192.168.10.111 3389 #EXCHANGE
10.0.0.16 5677 192.168.10.111 3389
10.0.10.33 5677 192.168.10.11 3389
192.168.10.2 2580 192.168.10.200 3389 #PRIME
10.0.0.16 2580 192.168.10.200 3389
10.0.10.33 2580 192.168.10.200 3389
192.168.10.2 2585 192.168.10.205 3389 #WEBSERVER
10.0.0.16 2585 192.168.10.205 3389
10.0.10.33 2585 192.168.10.205 3389
192.168.10.2 8801 192.168.10.101 3389 #EZ 2008
10.0.0.16 8801 192.168.10.101 3389
10.0.10.33 8801 192.168.10.101 3389
# Servers NEW RDP security
192.168.10.2 3389 192.168.10.103 3389 #SRVBUH default
# Services
10.0.10.36 25 192.168.10.99 25
10.0.10.36 110 192.168.10.99 100
10.0.0.16 25 192.168.10.99 25
10.0.0.16 110 192.168.10.99 110
192.168.10.2 80 192.168.10.99 80
10.0.0.16 80 192.168.10.99 80
10.0.10.34 80 192.168.10.99 80
10.0.10.35 80 192.168.10.99 80
10.0.10.36 80 192.168.10.99 80
192.168.10.2 2177 192.168.10.205 21
10.0.0.16 2177 192.168.10.205 21
10.0.10.35 2177 192.168.10.205 21
192.168.10.2 2188 192.168.10.99 21
10.0.0.16 2188 192.168.10.99 21
10.0.10.35 2188 192.168.10.99 21
192.168.10.2 2266 192.168.10.210 22
10.0.0.16 2266 192.168.10.210 22
10.0.10.35 2266 192.168.10.210 22
192.168.10.2 2277 192.168.10.212 22
10.0.0.16 2277 192.168.10.212 22
10.0.10.35 2277 192.168.10.212 22
192.168.10.2 3306 192.168.10.99 3306
10.0.0.16 3306 192.168.10.99 3306
10.0.10.34 3306 192.168.10.99 3306
192.168.10.2 8006 192.168.10.212 8006
10.0.0.16 8006 192.168.10.212 8006
10.0.10.35 8006 192.168.10.212 8006
192.168.10.2 8007 192.168.10.210 8006
10.0.0.16 8007 192.168.10.210 8006
10.0.10.35 8007 192.168.10.210 8006
192.168.10.2 3307 192.168.10.205 3306
10.0.0.16 3307 192.168.10.205 3306
10.0.10.34 3307 192.168.10.205 3306
192.168.10.2 8800 192.168.10.99 8800
10.0.0.16 8800 192.168.10.99 8800
10.0.10.34 8800 192.168.10.99 8800
# ???? ? ?????
logfile /var/log/rinetd.log
1. при отключении Zyxel DHCP и DNS сервера на шлюзе не работают. раздача адресов происходит ооочень медленно, а днс вообще не пашет. доступы между компами в сетке только по айпи-адресам. для выхода в инет приходится использовать днс-провайдера
2. порты пробрасываются без проблем. все сайты с вебсерверов работают, НО!
- медленно стало оочень
- не работают вебформы отправки(использование smtp.yandex.ru и pop.yandex.ru)
Отправлено спустя 1 час 42 минуты 10 секунд:
народ, я уже обгуглился.. толку ноль.. где косяк то?!