Шлюз, проблема маршрутизации.

[Евгений]

Добрый день.
Не так давно я начал изучать фряху, опыта мало. так что прошу не ругать и не бить ногами сильно.
Дела обстоят так: есть компьютер, он будет выполнять роль шлюза. На нем 3 сетевухи. Первая vr0 смотрит в мир. Вторая Vr1 идет в локалку с 50 машинами (ограничивать там ничего не надо, разве что аськи . шмаськи ip 192.168.0.44). Третья Vr2 смотрит то же в локальную сеть 12 машин, но там нужен выборочный инет, и ограничение по портам ip 172.16.0.1. Но самое главное, что бы VR1 и VR2 видели друг друга, локальное окружение. Я поставил FREEBSD 9.1. настроил сетевухи, пересоздал ядро с поддержкой файервола и гейта. В итоге инет есть. VR1 получает интернет. А вот VR2 никак не хочет. Ни инета ни локалки. Я уже с неделю бьюсь над этим, но не получается... Читал статьи всякие примеры, но не выходит
.
Хочу узнать, что и куда нужно прописать что бы компьютеры сети 172.16.0.0/24 видели компы в 192.168.0.0/24 и получали инет.

Код: Выделить всё

[b]rc.conf[/b]

hostname="BSD"
ifconfig_vr0="inet 78.***.***.*** netmask 255.255.255.240"
ifconfig_vr1="inet 192.168.0.44 netmask 255.255.255.0"
ifconfig_vr2="inet 172.16.0.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
firewall_quiet="YES"
natd_interface="vr0"
natd_program="/sbin/natd"
natd_flags="-f /etc/natd.conf"
natd_enable="YES"
defaultrouter="78.***.***.***"
sshd_enable="YES"
moused_enable="YES"
dbus_enable="YES"
hald_enable="YES"
gdm_enable="YES"
gdm_lang="ru_RU.UTF-8"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

[b]root@BSD:/root # ifconfig[/b]
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 34:08:04:2a:1a:08
	inet 78.***.***.*** netmask 0xfffffff0 broadcast 78.***.***.***
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 1c:af:f7:7d:5a:bc
	inet 192.168.0.44 netmask 0xffffff00 broadcast 192.168.0.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
vr2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 1c:bd:b9:87:5a:c2
	inet 172.16.0.1 netmask 0xffffff00 broadcast 172.16.0.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet 127.0.0.1 netmask 0xff000000 

[b]natd.conf[/b]

log	no
dynamic		yes
same_ports	yes
use_sockets	yes

[b]root@BSD:/root # ipfw show[/b]
00050 11085 1565825 divert 8668 ip4 from any to any via vr0
00100    12     600 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
65000 35993 4111145 allow ip from any to any
65535     0       0 allow ip from any to any
root@BSD:/root #

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

прочитайте целиком 1 раз http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
затем распечатайте и прочиатйте на бумаге вариант, который больше всего подходит под вашу задачу и реализуйте максимально близко
потом пишите сюда снова
список из 6 правил и расказ о том как вы в 2013 году пересобирали ядро для включения divert и natd - это очень печально
Я очень глубоко скорблю…(с)

[Евгений]

Спасибо за ответ.
Но собственно я и сам знаю, что 6 правил это не то, что там должно быть написано. В том то и проблема что не знаю что и куда писать. А статью я эту читал уже и не раз но моего варианта там нет. Потому и написал сюда. Что писать правила для файервола сперва нужно что бы работала маршрутизация а в этом то и проблема. Третья сетевуха не работает. (

[vadim64]

Спасибо за ответ.
Но собственно я и сам знаю, что 6 правил это не то, что там должно быть написано. В том то и проблема что не знаю что и куда писать. А статью я эту читал уже и не раз но моего варианта там нет. Потому и написал сюда. Что писать правила для файервола сперва нужно что бы работала маршрутизация а в этом то и проблема. Третья сетевуха не работает. (

посмотрел, и действительно нету
реализуйте у себя пример 1 и дальше доделаем вместе

[Евгений]

Добрый день vadim64
У мну готово. Farewall работает. Первая сеть работает на ура (vr1). Что дальше?

[vadim64]

добрый день
давайте вывод

Код: Выделить всё

cat -n /etc/rc.conf
cat -n /etc/firewall
ifconfig -a

ну и не большую анотацию по интерфейсам и адресам

[Евгений]

Код: Выделить всё

00005   56   5995 allow ip from any to any via vr1
00005   56   5995 allow ip from any to any via vr2
00010    0      0 allow ip from any to any via lo0
00014    5   2007 divert 8668 ip from any to any in via vr0
00015    0      0 check-state
00020    0      0 skipto 800 tcp from any to ***.***.***.*** dst-port 53 out via vr0 setup keep-state
00020    0      0 skipto 800 tcp from any to ***.***.***.*** dst-port 53 out via vr0 setup keep-state
00040    0      0 skipto 800 tcp from any to any dst-port 80 out via vr0 setup keep-state
00050    0      0 skipto 800 tcp from any to any dst-port 443 out via vr0 setup keep-state
00060    0      0 skipto 800 tcp from any to any dst-port 25 out via vr0 setup keep-state
00061    0      0 skipto 800 tcp from any to any dst-port 110 out via vr0 setup keep-state
00070    0      0 skipto 800 tcp from me to any out via vr0 setup uid root keep-state
00080    0      0 skipto 800 icmp from any to any out via vr0 keep-state
00090    0      0 skipto 800 tcp from any to any dst-port 37 out via vr0 setup keep-state
00110    0      0 skipto 800 tcp from any to any dst-port 22 out via vr0 setup keep-state
00120    0      0 skipto 800 tcp from any to any dst-port 43 out via vr0 setup keep-state
00130    0      0 skipto 800 udp from any to any dst-port 123 out via vr0 keep-state
00300    0      0 deny ip from 192.168.0.0/16 to any in via vr0
00301    0      0 deny ip from 172.16.0.0/12 to any in via vr0
00302    0      0 deny ip from 10.0.0.0/8 to any in via vr0
00303    0      0 deny ip from 127.0.0.0/8 to any in via vr0
00304    0      0 deny ip from 0.0.0.0/8 to any in via vr0
00305    0      0 deny ip from 169.254.0.0/16 to any in via vr0
00306    0      0 deny ip from 192.0.2.0/24 to any in via vr0
00307    0      0 deny ip from 204.152.64.0/23 to any in via vr0
00308    0      0 deny ip from 224.0.0.0/3 to any in via vr0
00315    0      0 deny tcp from any to any dst-port 113 in via vr0
00320    0      0 allow tcp from any to any dst-port 137 in via vr0
00321    0      0 allow tcp from any to any dst-port 138 in via vr0
00322    0      0 allow tcp from any to any dst-port 139 in via vr0
00323    0      0 allow tcp from any to any dst-port 81 in via vr0
00330    0      0 deny ip from any to any frag in via vr0
00332    3   1919 deny tcp from any to any established in via vr0
00380    0      0 allow tcp from any to me dst-port 22 in via vr0 setup limit src-addr 2
00390    0      0 allow tcp from any to me dst-port 23 in via vr0 setup limit src-addr 2
00400    2     88 deny log logamount 100 ip from any to any in via vr0
00450    0      0 deny log logamount 100 ip from any to any out via vr0
00800    0      0 divert 8668 ip from any to any out via vr0
00801    0      0 allow ip from any to any
00999    0      0 deny log logamount 100 ip from any to any



****************************************rc.config
hostname="BSD"
ifconfig_vr0="inet ***.***.***.*** netmask 255.255.255.240"
ifconfig_vr1="inet 192.168.0.44 netmask 255.255.255.0"
ifconfig_vr2="inet 172.16.0.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
natd_interface="vr0"
natd_program="/sbin/natd"
natd_flags="-dynamic -m"
natd_enable="YES"
defaultrouter="***.***.***.***"
sshd_enable="YES"
moused_enable="YES"
dbus_enable="YES"
hald_enable="YES"
gdm_enable="YES"
gdm_lang="ru_RU.UTF-8"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

***************************************ipfw.rules

ipfw="/sbin/ipfw"
ipfw -q -f flush

# Задание стандартных переменных
cmd="ipfw -q add"
skip="skipto 800"
pif="vr0"		# название внешнего интерфейса,
			# принадлежащего глобальной сети


$cmd 005 allow all from any to any via vr1
$cmd 005 allow all from any to any via vr2

$cmd 010 allow all from any to any via lo0

$cmd 014 divert natd ip from any to any in via $pif

$cmd 015 check-state

$cmd 020 $skip tcp from any to ***.***.***.*** 53 out via $pif setup keep-state
$cmd 020 $skip tcp from any to ***.***.***.*** 53 out via $pif setup keep-state

$cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state

$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state

$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state
$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state

$cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root

$cmd 080 $skip icmp from any to any out via $pif keep-state

$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state

$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state

$cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state

$cmd 130 $skip udp from any to any 123 out via $pif keep-state

$cmd 300 deny all from 192.168.0.0/16  to any in via $pif  
$cmd 301 deny all from 172.16.0.0/12   to any in via $pif  
$cmd 302 deny all from 10.0.0.0/8      to any in via $pif  
$cmd 303 deny all from 127.0.0.0/8     to any in via $pif  
$cmd 304 deny all from 0.0.0.0/8       to any in via $pif 
$cmd 305 deny all from 169.254.0.0/16  to any in via $pif  
$cmd 306 deny all from 192.0.2.0/24    to any in via $pif  
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif  
$cmd 308 deny all from 224.0.0.0/3     to any in via $pif  

$cmd 315 deny tcp from any to any 113 in via $pif

$cmd 320 allow tcp from any to any 137 in via $pif
$cmd 321 allow tcp from any to any 138 in via $pif
$cmd 322 allow tcp from any to any 139 in via $pif

$cmd 330 deny all from any to any frag in via $pif

$cmd 332 deny tcp from any to any established in via $pif

$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2

$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2

$cmd 400 deny log all from any to any in via $pif

$cmd 450 deny log all from any to any out via $pif

$cmd 800 divert natd ip from any to any out via $pif
$cmd 801 allow ip from any to any

$cmd 999 deny log all from any to any

***********************************ifconfig -a

root@BSD:/root # ifconfig -a
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 34:08:04:2a:1a:08
	inet ***.***.***.*** netmask 0xfffffff0 broadcast ***.***.***.***
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 1c:af:f7:7d:5a:bc
	inet 192.168.0.44 netmask 0xffffff00 broadcast 192.168.0.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
vr2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
	ether 1c:bd:b9:87:5a:c2
	inet 172.16.0.1 netmask 0xffffff00 broadcast 172.16.0.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet 127.0.0.1 netmask 0xff000000 

[vadim64]

Евгений, я предложил вам реализовать пример 1 из статьи терминуса
Перед этим обратил ваше внимание на то, что в 2013 году использование natd и divert очень печально.
Я так сказал не потому, что это навевает у меня какие то печальные воспоминания. Я так сказал, потому что начиная с FreeBSD 8 в системе есть более качественные способы управления пакетами. natd - это программа, которая запускается в так называемом userland, она не является частью ядра. Поэтому производительность такого решения, чисто архитектурно, мала. Формально она ещё не deprecated, но по факту она мертва. Использовать natd приемлемо только в случаях, когда какой либо функционал системы жёстко привязан к этому кастылю.
Я понимаю, что возможно статья терминуса 2009 года сложнее, чем статья лисяры 2006 года. Но нужно, нужно делать всё нормально.

по делу: вот что вам нужно сделать
1. /etc/rc.conf привести к виду

Код: Выделить всё

hostname="BSD"
ifconfig_vr0="inet ***.***.***.*** netmask 255.255.255.240"
ifconfig_vr1="inet 192.168.0.44 netmask 255.255.255.0"
ifconfig_vr2="inet 172.16.0.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_nat_enable="YEW"
defaultrouter="***.***.***.***"
sshd_enable="YES"
moused_enable="YES"
dbus_enable="YES"
hald_enable="YES"
gdm_enable="YES"
gdm_lang="ru_RU.UTF-8"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

2. далее /etc/ipfw.rules

Код: Выделить всё

add 1040 allow ip from any to any via vr1
add 1041 allow ip from any to any via vr2

# боимся непонятного
add 1050 deny ip from any to 192.168.0.0/16 in recv vr0
add 1060 deny ip from 192.168.0.0/16 to any in recv vr0
add 1070 deny ip from any to 172.16.0.0/12 in recv vr0
add 1080 deny ip from 172.16.0.0/12 to any in recv vr0
add 1090 deny ip from any to 10.0.0.0/8 in recv vr0
add 10100 deny ip from 10.0.0.0/8 to any in recv vr0
add 10110 deny ip from any to 169.254.0.0/16 in recv vr0
add 10120 deny ip from 169.254.0.0/16 to any in recv vr0

# настройка ната.
# опции переноса строк "\" надо убрать все должно быть в одну строчку
# опции redirect_port приведены для примера - как делать "проброс портов"
nat 1 config log if vr0 reset same_ports deny_in \
redirect_port tcp 1.2.3.4:6881 6881 \
redirect_port udp 1.2.3.4:4444 4444 \
redirect_port tcp 192.168.1.24:25 25

# заварачиваем все что проходит через внешний интерфейс в нат
add 10130 nat 1 ip from any to any via vr0

# боимся непонятного
add 65534 deny all from any to any

3. /etc/sysctl.conf

Код: Выделить всё

net.inet.ip.fw.one_pass=1

это вступит в работу после перезагрузки

Если вы опять будете возиться с natd, я отказываюсь вам помогать

[Евгений]

Да. я понимаю что я не прав. Я просто учусь и пытаюсь разобраться... Что то у меня получается что то нет. Учусь. Многое не понятно.

По делу, я лично так и не понял того что вы написали.
Мне нужен не новый конфиг, а та самая строка которая запустит наконец мою третью сетевуху. Что в мое конфиге добавить нужно?

К стати то что вы прислали я так понимаю это без NATD?

[vadim64]

то что мы вам прислали - это новый конфиг без натд
вы должнывыкинуть ваши конфиг и использовать те что я вам предложил

[sadchok]

В конфиге очепятка.

Код: Выделить всё

firewall_nat_enable="YEW"

vadim64 прав
Не стоит учится (разбиратся) на том что морально устарело.

[vadim64]

сори что пишу куда попало
щас сижу в шоке:
поставил openindiana на виртуалку, перезагрузил, она получила по дхцп адрес
на то чтобы загуглить и сменить ей адрес на статический и не deprecated методами ушло 43 минуты

[Евгений]

Вставил. Ни vr1 ни vr2 не работают.
это не понятно.

nat 1 config log if vr0 reset same_ports deny_in \
redirect_port tcp 1.2.3.4:6881 6881 \
redirect_port udp 1.2.3.4:4444 4444 \
redirect_port tcp 192.168.1.24:25 25

Как я понял её писать нужно так..

nat 1 config log if vr0 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881 redirect_port udp 1.2.3.4:4444 4444 redirect_port tcp 192.168.1.24:25 25

так же не ясно что значит 1.2.3.4:6881 6881 1.2.3.4:4444 4444 192.168.1.24:25 25 у меня таких IP даже и нет(((((

в инете я конечно посмотрел и понял что это перенаправление портов но тут у мну еще больше вопросов и мне кажется я никогда не найду ответ на них.

[vadim64]

ок, давайте разбираться

Код: Выделить всё

sysctl -a | grep one_pass
ipfw show
ipfw nat 1 show config
ifconfig

[Евгений]

Мне кажется что я должен забыть про фряху и поставить просто винду. Видимо я дурак и месяц угробил просто зря...
конфиги такие же как вы и прислали нового там ничего нет ((

[vadim64]

а я скопировал их со статьи
получается что всех подставил терминус

давай вывод команд, которые я сказал, истеричка!

[vadim64]

хотя уже не стоит торопиться, я через 4 минуты на вызодных

[vadim64]

В конфиге очепятка.

Код: Выделить всё

firewall_nat_enable="YEW"

vadim64 прав
Не стоит учится (разбиратся) на том что морально устарело.

да, кстати тоже важно

[Евгений]

Я не истеричка..! Просто если вы понимаете о чем речь , неужели нельзя и написать как это должно выглядеть. Я сижу месяц над этим уделяю все свободное время.. И меня интересует один единственный вопрос как запустить 3 сетевую карту. А вы шмаляете меня то туда то сюда.. то устарело.. блин какая разница устарело или нет ... оно же работет..? Или я не прав снова?

[gumeniuc]

Может PF попробуете ? Сдаётся мне он как-то попроще.

Убирайте natd, ipfw

rc.conf:

Код: Выделить всё

pf_enable="YES"                 # Enable PF (load module if required)
pf_rules="/etc/pf.conf"         # rules definition file for pf

/etc/pf.conf

Код: Выделить всё

ext_if="vr0"

nat on $ext_if inet from vr1:network  to any -> ($ext_if:0)
nat on $ext_if inet from vr2:network to any -> ($ext_if:0)


block all

pass out on $ext_if

pass on vr1
pass on vr2

Для начала так, а потом уже порты поотключаете...

[sadchok]

/etc/rc.conf

Код: Выделить всё

hostname="BSD"
ifconfig_vr0="inet ***.***.***.*** netmask 255.255.255.240"
ifconfig_vr1="inet 192.168.0.44 netmask 255.255.255.0"
ifconfig_vr2="inet 172.16.0.1 netmask 255.255.255.0"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_nat_enable="YES"
defaultrouter="***.***.***.***"
sshd_enable="YES"
moused_enable="YES"
dbus_enable="YES"
hald_enable="YES"
gdm_enable="YES"
gdm_lang="ru_RU.UTF-8"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

/etc/ipfw.rules

Код: Выделить всё

#!/bin/sh

 fwcmd="/sbin/ipfw"
 ${fwcmd} -f flush

# VAR

if_inet="vr0"
if_lan1="vr1"
if_lan2="vr2"

# Для себя

 ${fwcmd} add check-state
 ${fwcmd} add allow ip from me to any keep-state via ${if_inet}
 ${fwcmd} add allow ip from me to any keep-state via ${if_lan1}
 ${fwcmd} add allow ip from me to any keep-state via ${if_lan2}
 ${fwcmd} add allow ip from me to any

# Для локалок

${fwcmd} add allow ip from any to any via ${if_lan1}
${fwcmd} add allow ip from any to any via ${if_lan2}

# SSH

 ${fwcmd} add allow ip from any to any 22

# Nat

 ${fwcmd} nat 1 config log if ${if_inet} reset same_ports deny_in
 ${fwcmd} add nat 1 ip from any to any via ${if_inet}

${fwcmd} add deny all from any to any

[Bayerische]

Евгений
Вы должны похоронить natd, вне зависимости, получается оно у вас или нет.
Если у вас быстрый конь, это не значит, что нужно скакать на нём во весь опор в противоположном направлении.
Начинайте сначала, и правильно.

[vadim64]

раз в теме предлагается использовать PF, предлагаю тогда сразу уж смотреть в сторону iptables

[Dmitriy_3206]

vadim64
iptables ?!!!!! на FreeBSD ?!

[vintovkin]

товарищи, если нужна маршрутизация на фре, то:
1 - статические маршруты прописать
2 - динамический роутинг ( поставить с портов QUAGGA)

автору -

arp -a
netstat -rn
ifconfig -a

имхо , если с натд не охота заморачиваться, то ipnat намного легче и удобней в настройке, тем более новичку, чтобы не погружаться во все эти конфиги и правила фаерволов ...

итак мы получили quagga & ipnat на выходе ...

зы, у кваги интерфейс как у циски ...