шлюз на FreeBsd9. сложности. требуется помощь

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
atos73
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-12-01 12:35:52

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение atos73 » 2015-12-01 15:28:17

итак.
преамбула:
имеется машина на Proxmox.
в ней два адаптера eth0 и eth1
внутри Проксмокси развернуты три машины. нас интересует машина с фреебсд.
параметры:
Проц 2Ггц
Озу 2Гб
HDD 160Gb
сеть:
адаптер 1 - vmbr0 -> eth0 -> em0 192.168.0.2/24
адаптер 2 - vmbr1 -> eth1 -> em1

em0 смотрит в локалку, em1 будет смотреть на провайдера по статике.

имеем роутер Zyxel. он пока тусуется в сети как DHCP и DNS сервер. ну и работает как роутер по статическому айпи (10.0.016/16). натом проброшены порты внутрь сетки. все работает.
внутри сетки имеем два вебсервера.
192.168.0.88
192.168.0.25

на 88ом стоит апач с редиректом по доменам.

подключили нового провайдера, с сохранением старого. он выдал диапазон адресов 10.0.10.32-36

задача:

убрать роутер и вместо него установить машину на фреебсд. ту, которая в виртуалке крутится.
необходимо чтобы:
1. работал ВПН сервер (уже сделано)
2. стояла самба на em0 адаптере
3. наличие прозрачного прокси
4. редирект 80 порта с внешних адресов на вебсервера. а именно:
10.0.0.16 -> 192.168.10.88
10.0.10.34 -> 192.168.10.88
10.0.10.35 -> 192.168.10.25
10.0.10.36 -> 192.168.10.25
5. наличие DHCP и DNS сервера на шлюза

вот конфиги.

rc.conf

Код: Выделить всё

hostname="ares"
keymap="ru.koi8-r.win.kbd"

# ?????
ifconfig_em0="192.168.10.2 netmask 255.255.255.0"
#ifconfig_em0="192.168.10.1 netmask 255.255.255.0"
#defaultrouter="192.168.10.1"
#ifconfig_em1="10.0.0.16 netmask 255.255.255.252"
ifconfig_em1="inet 10.0.10.33 netmask 255.255.255.248"
ifconfig_em1_alias0="inet 10.0.10.34 netmask 255.255.255.248"
ifconfig_em1_alias1="inet 10.0.10.35 netmask 255.255.255.248"
ifconfig_em1_alias2="inet 10.0.10.36 netmask 255.255.255.248"
ifconfig_em1_alias3="inet 10.0.0.16 netmask 255.255.255.252"
defaultrouter="10.0.10.31"

# ??????
firewall_enable="YES"
#firewall_type="open"
firewall_script="/etc/ipfw.conf"
#firewall_script="/etc/ipfw.rules"
firewall_logging="YES"

# ????????. ??? ? ????????
mpd_enable="YES"
mpd_flags="-b"

# ????? ??? ????? ?? ????, ?? ????????
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
sendmail_outbound_enable="NO"

nmbd_enable="YES"
smbd_enable="YES"

#samba4_enable="YES"
#samba4_script="/etc/smb4.conf"

#squid_enable="YES"

gateway_enable="YES"

# ??????? ??????
rinetd_enable="YES"
inetd_enable="YES"
ntpd_enable="YES"
#natd_enable="YES"
#natd_flags="-a 192.168.10.2"
#natd_interface="em0"
#natd_interface="em1"
#natd_flags="-f /etc/natd.conf"

# DHCP server
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="em0"
dhcpd_withumask="022"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_devfs_enable="YES"
dhcpd_rootdir="/var/db/dhcpd"

# ?????????? ????.. ?? ??????..
sshd_enable="YES"
named_enable="YES"
named_auto_forward="YES"
moused_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
ipfw.conf

Код: Выделить всё

ipfw -q -f flush

#ipfw add allow all from any to any

#ipfw add allow all from any to any via em0

#ipfw add allow all from any to any 3389 via em1 keep-state
#ipfw add allow all from any to any 25 via em1 keep-state
#ipfw add allow all from any to any 110 via em1 keep-state

#ipfw add divert 192.168.10.88,80 all from 192.168.10.0/24 to 10.0.0.16 80
#ipfw add divert 192.168.10.88:80 all from 192.168.10.0/24 to 10.0.10.34 80
#ipfw add divert 192.168.10.88,80 all from 192.168.10.0/24 to 10.0.10.36 80

#mpd
ipfw add allow all from any to me 1701
ipfw add allow all from me to any 1701

#ssh
ipfw add allow all from any 22 to me 22
ipfw add allow all from me 22 to any 22

#rinetd
ipfw add allow all from any to any 25
ipfw add allow all from any to any 110
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 2177
ipfw add allow all from any to any 2188
ipfw add allow all from any to any 2266
ipfw add allow all from any to any 2277
ipfw add allow all from any to any 80
ipfw add allow all from any to any 53
ipfw add allow all from any to any 5676
ipfw add allow all from any to any 5677
ipfw add allow all from any to any 2580
ipfw add allow all from any to any 2585
ipfw add allow all from any to any 8801
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 21
ipfw add allow all from any to any 22
ipfw add allow all from any to any 8006
ipfw add allow all from any to any 3306
ipfw add allow all from any to any 8800
#ipfw add fwd 192.168.10.25,21 tcp from any to me 2177
ipfw add allow all from any to any 8006
ipfw add allow udp from 192.168.10.0/24 to any 53
ipfw add allow tcp from 192.168.10.0/24 to any 53
#ipfw add allow all from 192.168.10.0/24 to 192.168.10.0/24 via em0
#ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.0/24 to any 80 via em1
#ipfw add divert natd ip from any to any via em1
ipfw add allow ip from any to any
dhcpd.conf

Код: Выделить всё

option domain-name "home"; # ?????? ??? ??????
option domain-name-servers 192.168.10.2; #????? DNS ???????
default-lease-time 824000; #????? ?????? ?? ?????????
max-lease-time 864000; # ???????????? ????? ??????

authoritative; # ???????????? dhcp ?????? ? ????
ddns-update-style none; # ????????? ???????????? ????? ?????????? DNS
#deny unknown-clients; # ????????? ?????????? ????????

# 192.168.10.0 # ??????? ? ??????? ????? ???????? ??????
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.20 192.168.10.250; # ????????? ip ??????? ?? ?????? ????????
option routers 192.168.10.2; # ????? ?????????????? ? ????????
}

#
host srvbuh {
hardware ethernet 7e:0d:86:89:94:85;
fixed-address 192.168.10.103;
}
host ezengine {
hardware ethernet 00:23:54:28:b1:dc;
fixed-address 192.168.10.88;
}
host webserver {
hardware ethernet 76:e5:70:8e:9b:c7;
fixed-address 192.168.10.25;
}
host proxmox-prime {
hardware ethernet f4:6d:04:77:75:9e;
fixed-address 192.168.10.212;
}
host proxmox {
hardware ethernet 90:e6:ba:bb:d6:18;
fixed-address 192.168.10.210;
}
mpd.secret

Код: Выделить всё

startup:
        set user atos nimda admin # ?????????????????
        set user foo bar admin
        set user foo1 bar1 user
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load l2tp_server
l2tp_server:
# Define dynamic IP address pool.
        set ippool add pool1 192.168.10.220 192.168.10.235

# Create clonable bundle template named B
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.10.0/24 ippool pool1
        set ipcp dns 192.168.10.2
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
# Create clonable link template named L
        create link template L l2tp
# Set bundle template to use
        set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
        set link mtu 1460
# Configure l2tp
#       set l2tp self 192.168.10.2
        set l2tp self 10.0.10.33
# Allow to accept calls
        set link enable incoming
named.conf

Код: Выделить всё

acl "home" { 192.168.10.0/24; 127.0.0.1; };
options {
// Relative to the chroot directory, if any

listen-on { 127.0.0.1; 192.168.10.2; };
#allow-recursion { ACCESS; };

directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";

forwarders {
10.0.11.55;10.0.11.54;
};

#allow-query { "home"; };
};
rinetd.conf

Код: Выделить всё

# Servers OLD
192.168.10.2 5676 192.168.10.103 3389 #SRVBUH
62.105.136.18 5676 192.168.10.103 3389
94.141.181.43 5676 192.168.10.103 3389

192.168.10.2 5677 192.168.10.111 3389 #EXCHANGE
10.0.0.16 5677 192.168.10.111 3389
10.0.10.33 5677 192.168.10.11 3389

192.168.10.2 2580 192.168.10.200 3389 #PRIME
10.0.0.16 2580 192.168.10.200 3389
10.0.10.33 2580 192.168.10.200 3389

192.168.10.2 2585 192.168.10.205 3389 #WEBSERVER
10.0.0.16 2585 192.168.10.205 3389
10.0.10.33 2585 192.168.10.205 3389

192.168.10.2 8801 192.168.10.101 3389 #EZ 2008
10.0.0.16 8801 192.168.10.101 3389
10.0.10.33 8801 192.168.10.101 3389

# Servers NEW RDP security
192.168.10.2 3389 192.168.10.103 3389 #SRVBUH default

# Services
10.0.10.36 25 192.168.10.99 25
10.0.10.36 110 192.168.10.99 100
10.0.0.16 25 192.168.10.99 25
10.0.0.16 110 192.168.10.99 110

192.168.10.2 80 192.168.10.99 80
10.0.0.16 80 192.168.10.99 80
10.0.10.34 80 192.168.10.99 80
10.0.10.35 80 192.168.10.99 80
10.0.10.36 80 192.168.10.99 80

192.168.10.2 2177 192.168.10.205 21
10.0.0.16 2177 192.168.10.205 21
10.0.10.35 2177 192.168.10.205 21

192.168.10.2 2188 192.168.10.99 21
10.0.0.16 2188 192.168.10.99 21
10.0.10.35 2188 192.168.10.99 21

192.168.10.2 2266 192.168.10.210 22
10.0.0.16 2266 192.168.10.210 22
10.0.10.35 2266 192.168.10.210 22

192.168.10.2 2277 192.168.10.212 22
10.0.0.16 2277 192.168.10.212 22
10.0.10.35 2277 192.168.10.212 22

192.168.10.2 3306 192.168.10.99 3306
10.0.0.16 3306 192.168.10.99 3306
10.0.10.34 3306 192.168.10.99 3306

192.168.10.2 8006 192.168.10.212 8006
10.0.0.16 8006 192.168.10.212 8006
10.0.10.35 8006 192.168.10.212 8006

192.168.10.2 8007 192.168.10.210 8006
10.0.0.16 8007 192.168.10.210 8006
10.0.10.35 8007 192.168.10.210 8006

192.168.10.2 3307 192.168.10.205 3306
10.0.0.16 3307 192.168.10.205 3306
10.0.10.34 3307 192.168.10.205 3306

192.168.10.2 8800 192.168.10.99 8800
10.0.0.16 8800 192.168.10.99 8800
10.0.10.34 8800 192.168.10.99 8800

# ???? ? ?????
logfile /var/log/rinetd.log
проблемы, с которыми столкнулся:
1. при отключении Zyxel DHCP и DNS сервера на шлюзе не работают. раздача адресов происходит ооочень медленно, а днс вообще не пашет. доступы между компами в сетке только по айпи-адресам. для выхода в инет приходится использовать днс-провайдера
2. порты пробрасываются без проблем. все сайты с вебсерверов работают, НО!
- медленно стало оочень
- не работают вебформы отправки(использование smtp.yandex.ru и pop.yandex.ru)

Отправлено спустя 1 час 42 минуты 10 секунд:
народ, я уже обгуглился.. толку ноль.. где косяк то?!
Последний раз редактировалось f_andrey 2015-12-01 13:49:57, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение snorlov » 2015-12-01 15:57:10

С консоли фришки разрешение имен работает али нет, что в /etc/resolv.conf

atos73
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-12-01 12:35:52

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение atos73 » 2015-12-01 16:20:34

вот содержимое:
nameserver 127.0.0.1
nameserver 10.0.11.55
nameserver 10.0.11.54

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение snorlov » 2015-12-01 16:25:33

atos73 писал(а):вот содержимое:
nameserver 127.0.0.1
nameserver 10.0.11.55
nameserver 10.0.11.54
ping на ya.ru хоть идет, и в настройках не вижу ната...

atos73
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-12-01 12:35:52

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение atos73 » 2015-12-01 16:29:19

пинги ходят.. инет раздается пользователям..
насчет ната: в rc.conf натд потушен..
в файерволе есть правило, но закомменчено...

Отправлено спустя 1 минуту 25 секунд:
вот через шлюз сейчас пингую:
пинки.PNG

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение Electronik » 2015-12-01 18:01:30

tracert покажите с машины с которой пинговали
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

atos73
проходил мимо
Сообщения: 4
Зарегистрирован: 2015-12-01 12:35:52

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение atos73 » 2015-12-02 13:24:35

перебрал ДНС и ДХЦП.
в итоге имеем:
1. пинг со шлюpа идет на любой адрес
2. ДХЦП раздает любую конфигурацию сети на любое сетевое устройство. (до этого иногда не присылало или ДНС или шлюз)
3. в ресолве сейчас так:
nameserver 127.0.0.1
nameserver 77.50.0.4 (первичный днс прова2)
nameserver 77.50.1.4 (вторичный днс прова2)
ДНС прова1 удалил полностью
4. параметры рабочих станций:
ip 192.168.10.X
mask 255.255.255.0
gate 192.168.10.2
dns 192.168.10.2

после началось веселье с файерволлом.

вот так выглядит пинги и трейсы, если параметры в rc.conf (firewall_enable="YES"/firewall_type="open"/gateway_enable="YES"/natd_enable="YES"/natd_interface="em1")
етх4.PNG
а вот так, если в rc.conf (firewall_enable="YES"/#firewall_type="open"/firewall_script="/etc/ipfw.conf"/
gateway_enable="YES"/natd_enable="YES"/natd_interface="em1)
етх3.PNG
содержимое ipfw.conf

\ipfw -q -f flush

# sites
ipfw add fwd 192.168.10.99:80 all from 192.168.10.0/24 to 62.105.136.18 80
ipfw add divert 192.168.10.99:80 all from 192.168.10.0/24 to 94.141.181.44 80
ipfw add divert 192.168.10.99:80 all from 192.168.10.0/24 to 94.141.181.46 80

# dns
ipfw add allow udp from 192.168.10.0/24 to any 53
ipfw add allow udp from any to 192.168.10.0/24 53

# mpd
ipfw add allow all from any to me 1701
ipfw add allow all from me to any 1701

# ssh
ipfw add allow all from any 22 to me 22
ipfw add allow all from me 22 to any 22

# rinetd
ipfw add allow all from any to any 25
ipfw add allow all from any to any 110
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 2177
ipfw add allow all from any to any 2188
ipfw add allow all from any to any 2266
ipfw add allow all from any to any 2277
ipfw add allow all from any to any 80
ipfw add allow all from any to any 53
ipfw add allow all from any to any 5676
ipfw add allow all from any to any 5677
ipfw add allow all from any to any 2580
ipfw add allow all from any to any 2585
ipfw add allow all from any to any 8801
ipfw add allow all from any to any 3389
ipfw add allow all from any to any 21
ipfw add allow all from any to any 22
ipfw add allow all from any to any 8006
ipfw add allow all from any to any 3306
ipfw add allow all from any to any 8800

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

шлюз на FreeBsd9. сложности. требуется помощь

Непрочитанное сообщение Electronik » 2015-12-02 14:17:21

добавьте
ipfw add allow icmp from any to any
и попробуйте пинг с трассировкой.
так же сравните значение правил ipfw show до и после пинга с трассировкой, увидите какое правило рубит ваш трафик
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог