2 ipfw nat и pipe. не получается настроить :(

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-10 7:30:23

извиняюсь за молчание, экзамен в сууботу был, готовился к нему...
товарисч, у вас за dc0 не 10/8 а 10.10.241.128/25
я полголовы сломал, пока понял что не так
для конкретно моего ip, да маска 25...
10.10.241.241 шлюз 10.10.241.129 маска 255.255.255.128
а вся сеть университета находится в подсети 10/8 (всей сети университета, а не только моей подсети) + 195.208/16 (кафедральная подсеть моего факультета, остальные есть мне они не нужны)
У вас есть интерфейс ng* и соответственно сеть InetLan, куда она должна иметь доступ? Должна ли шейпиться?
это созданный mpd сервер для подключения к нашей подсети из университета и иногда для выхода в инет(документы, расчеты чтобы взять с компа(до сих пор хожу без флешки:), и когда что то надо из тех. характеристик, выйти в инет... вроде больше ни для чего... ))
В конфигах выше есть два ip 192.168.50.188 и 192.168.40.188. Для одного использовались соединения по ssh,а для другого используется правило для второго ната. Что из них оставлять?
*.50.188 это моя машина, сижу тестю, настраиваю... поэтому она была прописана...
*.40.188 это мой кпк...
раньше требовалось разграничить кого подключать по wi-fi кого нет... жакт большой, но не все помогали поднять машину, провести инет, и не все платят за инет(скидываемся все кому нужен, дешевле получается...), а тут недавно помогли в теме, кого надо прописал и доволен :))

на счет выхода в инет(использовать второй нат, уже не требуется(я про сеть *.40.0/24)... пока что... народ не хатит в инет лазить, локалки хвататет(по крайней мере те кто по wi-fi сидят :) )... а мне с кпк тока ssh да irc с jabber нужны, а они локально в университете сервера стоят...), а те у кого компы, активно юзают и то и то...

пока конфиги не тестировал, у меня сегодня в час еще экзамен, сижу играюсь со скрипом одним...(учу так билеты:) )

вечером отвечу, и наверное протестю конфиги...
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-10 8:54:24

FreeBSP писал(а):давай на ты. я - авось не седовласый старец =)
по теме:
есть много способов освежевать кошку © Альф
тоесть не существует оптимальной конфигурации, банально из-за того что есть разные критерии оптимальности и разные способы ее достижения

мне мой конфиг больше нравится, потому что мой =)
но принципиальной разницы вроде нет и твой вполне логичен

хотя попробовал твой и у меня не работал, вроде и ошибки в скрипте были, и не работало что то.. хотя может быть, это и я сам сломал =)

PS но я сам диллетант =) что то знаю, что то умею, что то понимаю.. но не все и не всегда =(

PPS ужатые харды весят около 830 метров в сумме
Давай.

Если ты заметил,то у меня правила идут в таком порядке: шейпинг исходящих - нат - шейпинг входящих. Я думал,что входящий из вне в сеть пакет, попадет в правило шейпирования только поле ната, раньше его просто быть не может. Но твои правила мою теорию пошатнули(на картинке видно, что счетчик пакетов работает), поэтому и спрашивал.
Переделаю, для теста правила, в рабочей сетке - посмотрим,как скажется на производительности и делении на всех канала.

PS. Так я тоже не профи. Мы в этом плане похожи:)

PPS. Насчет образов подумаю.
Все гениальное - просто!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-10 8:57:35

QweЯty писал(а):извиняюсь за молчание, экзамен в сууботу был, готовился к нему...

вечером отвечу, и наверное протестю конфиги...
В связи с новыми фактами (наличием сети 195.208), правила переделаю, а потом уже тестить будете...
Все гениальное - просто!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-10 9:17:15

А вот и подправленные правила.

Код: Выделить всё

fw=/sbin/ipfw

RadIf="dc0"
RadIP="10.10.241.241"
RadLan="10.10.241.128/25"

LocIf="fxp0"
LocIP="192.168.60.241"
LocLan="192.168.60.0/24"

MyIf="re0"
MyIP="192.168.50.241"
MyLan="192.168.50.0/24"

WireLan="192.168.40.0/24"
WireIf="wlan0"
WireIP="192.168.40.241"

MainWLan="192.168.1.0/24"
MainWIf="stge0"
MainWIP="192.168.1.241"

InetIf="ng*"
InetLan="192.168.100.0/24"

dc0_nets="{10/8 195.208/16}"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

# Конфигурация нат
${fw} nat 2 config log if ${RadIf} reset same_ports deny_in
${fw} nat 1 config log if ${MainWIf} reset same_ports deny_in

# Конфигурация пайпов
${fw} pipe 1 config bw 3500kbit/s # from fxp0 to dc0
${fw} pipe 2 config bw 3500kbit/s # from dc0 to fxp0
${fw} pipe 3 config bw 3500kbit/s # from fxp0 to stge0
${fw} pipe 4 config bw 3500kbit/s # from stge0 to fxp0
${fw} pipe 5 config bw 3500kbit/s # from wlan0 to dc0
${fw} pipe 6 config bw 3500kbit/s # from dc0 to wlan0

# SSH
${fw} add allow ip from 192.168.50.188 to me 22
${fw} add allow ip from me 22 to 192.168.50.188

# стандартные правила
${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

${fw} add pipe 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add pipe 5 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}

# NAT (dc0)
${fw} add nat 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${MyLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${InetLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${dc0_nets} to ${RadIP} in recv ${RadIf}

${fw} add pipe 2 ip from ${dc0_nets} to ${LocLan} in recv ${RadIf}
${fw} add pipe 6 ip from ${dc0_nets} to ${WireLan} in recv ${RadIf}

${fw} add pipe 3 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}

#NAT (stge0)
${fw} add nat 2 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${MyLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${InetLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from not ${dc0_nets} to ${MainWIP} in recv ${MainWIf}

${fw} add pipe 4 ip from not ${dc0_nets} to ${LocLan} in recv ${MainWIf}

# Разрешения для сетей на внутренних интефейсах
${fw} add allow ip from any to any 
Все гениальное - просто!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение FreeBSP » 2011-01-10 14:32:58

/25 сетка всплывает только при попытке ставить роутер на 10/8 сетку. иначе за интерфейсом уже должна быть 10/8 сетка и роутер на нее не нужен и невозможен.
QweЯty писал(а):извиняюсь за молчание, экзамен в сууботу был, готовился к нему...
экзамен - святое =)
QweЯty писал(а):для конкретно моего ip, да маска 25...
10.10.241.241 шлюз 10.10.241.129 маска 255.255.255.128
а вся сеть университета находится в подсети 10/8 (всей сети университета, а не только моей подсети) + 195.208/16 (кафедральная подсеть моего факультета, остальные есть мне они не нужны)
узрел сие в таблице маршрутизации и радовался увиденному несказанно
QweЯty писал(а):на счет выхода в инет(использовать второй нат, уже не требуется(я про сеть *.40.0/24)... пока что... народ не хатит в инет лазить, локалки хвататет(по крайней мере те кто по wi-fi сидят :) )... а мне с кпк тока ssh да irc с jabber нужны, а они локально в университете сервера стоят...), а те у кого компы, активно юзают и то и то...

пока конфиги не тестировал, у меня сегодня в час еще экзамен, сижу играюсь со скрипом одним...(учу так билеты:) )

вечером отвечу, и наверное протестю конфиги...
так несколько я понял, wlan0 только в nat1 и ходит. ну и в остальные внутренние сетки. при чем тут нат2 который вроде как запрещен
QweЯty писал(а):надо занатить три сети и запайпить 2, а одну запретить... вот так.... :) надеюсь...
в теории, возможно знаю, как запретить wlan выходить во второй нат...
QweЯty писал(а):занатить 3 подсети на dc0
и занатить 2 подсети на stge0 (запретив wlan0 на stge0)
у меня для wlan0 запрещено все, кроме внутренних, 10/8 и 195.208
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-10 17:51:34

по поводу wlan0 так и надо..
запретить ходить на нат2 ходить только в нат1


p.s. потестить сил нету:( спать!!!!!!!

p.p.s. пятак:) по экзамену...
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение FreeBSP » 2011-01-10 18:19:19

грац
поздравляю!
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 3:23:01

наконец решился....
вот:
на этот скрипт:

Код: Выделить всё

fw=/sbin/ipfw

RadIf="dc0"
RadIP="10.10.241.241"
RadLan="10.10.241.128/25"

LocIf="fxp0"
LocIP="192.168.60.241"
LocLan="192.168.60.0/24"

MyIf="re0"
MyIP="192.168.50.241"
MyLan="192.168.50.0/24"

WireLan="192.168.40.0/24"
WireIf="wlan0"
WireIP="192.168.40.241"

MainWLan="192.168.1.0/24"
MainWIf="stge0"
MainWIP="192.168.1.241"

InetIf="ng*"
InetLan="192.168.100.0/24"

dc0_nets="{10/8 195.208/16}"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

# Конфигурация нат
${fw} nat 2 config log if ${RadIf} reset same_ports deny_in
${fw} nat 1 config log if ${MainWIf} reset same_ports deny_in

# Конфигурация пайпов
${fw} pipe 1 config bw 3500kbit/s # from fxp0 to dc0
${fw} pipe 2 config bw 3500kbit/s # from dc0 to fxp0
${fw} pipe 3 config bw 3500kbit/s # from fxp0 to stge0
${fw} pipe 4 config bw 3500kbit/s # from stge0 to fxp0
${fw} pipe 5 config bw 3500kbit/s # from wlan0 to dc0
${fw} pipe 6 config bw 3500kbit/s # from dc0 to wlan0

# SSH
${fw} add allow ip from 192.168.50.188 to me 22
${fw} add allow ip from me 22 to 192.168.50.188

# стандартные правила
${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

${fw} add pipe 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add pipe 5 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}

# NAT (dc0)
${fw} add nat 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${MyLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${InetLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${dc0_nets} to ${RadIP} in recv ${RadIf}

${fw} add pipe 2 ip from ${dc0_nets} to ${LocLan} in recv ${RadIf}
${fw} add pipe 6 ip from ${dc0_nets} to ${WireLan} in recv ${RadIf}

${fw} add pipe 3 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}

#NAT (stge0)
${fw} add nat 2 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${MyLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${InetLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from not ${dc0_nets} to ${MainWIP} in recv ${MainWIf}

${fw} add pipe 4 ip from not ${dc0_nets} to ${LocLan} in recv ${MainWIf}

# Разрешения для сетей на внутренних интефейсах
${fw} add allow ip from any to any
пишет:

Код: Выделить всё

radist04ka# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
ipfw nat 2 config if dc0 log deny_in same_ports reset
ipfw nat 1 config if stge0 log deny_in same_ports reset
00100 allow ip from 192.168.50.188 to me dst-port 22
00200 allow ip from me 22 to 192.168.50.188
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0
ipfw: missing ")"

ipfw: missing ")"

ipfw: hostname ``re0'' unknown
ipfw: missing ")"

ipfw: missing ")"

ipfw: missing ")"

ipfw: missing ")"

ipfw: missing ")"

ipfw: missing ")"

ipfw: missing ")"

ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
ipfw: hostname ``'' unknown
00500 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.
честно говоря не понял, каким боком там замешан hostname

работает тока это:

Код: Выделить всё

radist04ka# ipfw show
00100   0     0 allow ip from 192.168.50.188 to me dst-port 22
00200   0     0 allow ip from me 22 to 192.168.50.188
00300   0     0 deny ip from any to any frag
00400   0     0 allow ip from any to any via lo0
00500 413 47070 allow ip from any to any
65535   0     0 deny ip from any to any
изменил dc0_nets="{10/8 195.208/16}" на dc0_nets="10/8 195.208/16"
ругается так:

Код: Выделить всё

radist04ka# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
ipfw nat 2 config if dc0 log deny_in same_ports reset
ipfw nat 1 config if stge0 log deny_in same_ports reset
00100 allow ip from 192.168.50.188 to me dst-port 22
00200 allow ip from me 22 to 192.168.50.188
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: hostname ``re0'' unknown
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: unrecognised option [-1] 195.208/16

ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <195.208/16>
ipfw: missing ``to''
00500 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.
UPD.

с ipfw: hostname ``re0'' unknown

нашел, исправил:)
теперь все ругаются как ipfw: missing ")"
тока где тама () такие скобки????
нигде нету....тем более пропущенных :)
p.s.
по поводу () чувствую что sh считает в "{10/8 195.208/16}" {} за исполняемый код... а вот как их заэкранировать.. \ , ' ', `` не помогли... хотя может не так/не там писал?

p.p.s.

немного дописал скрипт, вроде проверил все правильно, но на всяк. случай проверьте:

Код: Выделить всё

radist04ka# cat rc.firewall7
#!/bin/sh

fw=/sbin/ipfw

# Interface Radik
RadIf="dc0"
RadIP="10.10.241.241"
RadLan="10.10.241.128/25"

# Interface Local Net
LocIf="fxp0"
LocIP="192.168.60.241"
LocLan="192.168.60.0/24"

# Interface My Net
MyIf="re0"
MyIP="192.168.50.241"
MyLan="192.168.50.0/24"

# Interface WiFi Net
WireLan="192.168.40.0/24"
WireIf="wlan0"
WireIP="192.168.40.241"

# Inteface InterNet
MainWLan="192.168.1.0/24"
MainWIf="stge0"
MainWIP="192.168.1.241"

# Interface Abills Net
InetIf="ng*"
InetLan="192.168.100.0/24"

# Net of Radik
dc0_nets="{10/8 195.208/16}"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

# Конфигурация нат
${fw} nat 2 config log if ${RadIf} reset same_ports deny_in
${fw} nat 1 config log if ${MainWIf} reset same_ports deny_in

# Конфигурация пайпов
${fw} pipe 1 config bw 5500kbit/s   # from fxp0 to dc0
${fw} pipe 2 config bw 5500kbit/s   # from dc0 to fxp0
${fw} pipe 3 config bw 128kbit/s    # from fxp0 to stge0
${fw} pipe 4 config bw 128kbit/s    # from stge0 to fxp0
${fw} pipe 5 config bw 3000kbit/s   # from wlan0 to dc0
${fw} pipe 6 config bw 3000kbit/s   # from dc0 to wlan0

${fw} pipe 7 config bw 1024kbit/s    # from re0 to stge0
${fw} pipe 8 config bw 1024kbit/s    # from stge0 to re0
${fw} pipe 9 config bw 6500kbit/s   # from re0 to dc0
${fw} pipe 10 config bw 6500kbit/s  # from dc0 to re0

# SSH
${fw} add allow ip from 192.168.50.188 to me 22
${fw} add allow ip from me 22 to 192.168.50.188

# стандартные правила
${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

${fw} add pipe 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add pipe 5 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add pipe 9 ip from ${MyLan} to ${dc0_nets} out xmit ${RadIf}

# NAT (dc0)
${fw} add nat 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${WireLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${MyLan} to ${dc0_nets} out xmit ${RadIf}

# не понял про это правило....куда пускает ${InetLan} ? это внутренние адреса выдаваемые mpd сервером...
# их занатить... пока что сам не знаю куда... пусть пока просто висят в системе... 
# ${fw} add nat 1 ip from ${InetLan} to ${dc0_nets} out xmit ${RadIf}
${fw} add nat 1 ip from ${dc0_nets} to ${RadIP} in recv ${RadIf}

${fw} add pipe 2 ip from ${dc0_nets} to ${LocLan} in recv ${RadIf}
${fw} add pipe 6 ip from ${dc0_nets} to ${WireLan} in recv ${RadIf}
${fw} add pipe 10 ip from ${dc0_nets} to ${MyLan} in recv ${RadIf}

${fw} add pipe 3 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add pipe 7 ip from ${MyLan} to not ${dc0_nets} out xmit ${MainWIf}

#NAT (stge0)
${fw} add nat 2 ip from ${LocLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${MyLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from ${InetLan} to not ${dc0_nets} out xmit ${MainWIf}
${fw} add nat 2 ip from not ${dc0_nets} to ${MainWIP} in recv ${MainWIf}

${fw} add pipe 4 ip from not ${dc0_nets} to ${LocLan} in recv ${MainWIf}
${fw} add pipe 8 ip from not ${dc0_nets} to ${MyLan} in recv ${MainWIf}

# Разрешения для сетей на внутренних интефейсах
${fw} add allow ip from any to any
radist04ka#
p.s. буду еще делать проброс портов для удаленного рабочего стола виндовс
эти правила куда следует лучше писать? в самое начало или конец правил?

p.p.s. обьединил кучу своих сообщений в одно...

может стоит добавить такую функцию как мультипостинг? где все сообщения одного автора сливаются в одно до определенного момента(10-15 минут думаю хватит)
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 9:46:13

Ошибся я :( ,надо было такую конструкцию:

Код: Выделить всё

dc0_nets="10.0.0.0/8, 195.208.0.0/16"

Код: Выделить всё

# не понял про это правило....куда пускает ${InetLan} ? это внутренние адреса выдаваемые mpd сервером...
# их занатить... пока что сам не знаю куда... пусть пока просто висят в системе... 
# ${fw} add nat 1 ip from ${InetLan} to ${dc0_nets} out xmit ${RadIf}
Это правило можно убрать, поскольку оно осуществляет нат InetLan на dc0. Т.е. чтобы клиенты вашего mpd сервера имели доступ к dc0_nets. Оно им не надо,они же сами оттуда :)
Доступ в инет для этих же клиентов осуществляется через nat 2(смотрите ниже).

Больше в скрипте проблем не вижу. Все должно заработать.

Код: Выделить всё

с ipfw: hostname ``re0'' unknown
А от чего была ошибка?
p.s. буду еще делать проброс портов для удаленного рабочего стола виндовс
эти правила куда следует лучше писать? в самое начало или конец правил?
Уточните из какой и в какую сети?
Все гениальное - просто!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 13:19:12

А от чего была ошибка?
ошибся местами с MyIf и MyLan, исправил тут же...

Код: Выделить всё

dc0_nets="10.0.0.0/8, 195.208.0.0/16"
вот:

правила завелись, но пакеты не ходют...
даже днс запросы к машине не говоря же о дальше куд то...

Код: Выделить всё

radist04ka# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
ipfw nat 2 config if dc0 log deny_in same_ports reset
ipfw nat 1 config if stge0 log deny_in same_ports reset
00100 allow ip from 192.168.50.188 to me dst-port 22
00200 allow ip from me 22 to 192.168.50.188
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0
00500 pipe 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00600 pipe 5 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00700 pipe 9 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00800 nat 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00900 nat 1 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
01000 nat 1 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
01100 nat 1 ip from 10.0.0.0/8,195.208.0.0/16 to 10.10.241.124 in recv dc0
01200 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24 in recv dc0
01300 pipe 6 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.40.0/24 in recv dc0
01400 pipe 10 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24 in recv dc0
01500 pipe 3 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit s                                       tge0
01600 pipe 7 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit s                                       tge0
01700 nat 2 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit st                                       ge0
01800 nat 2 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit st                                       ge0
01900 nat 2 ip from 192.168.100.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit s                                       tge0
02000 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.241 in recv stge0
02100 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24 in recv st                                       ge0
02200 pipe 8 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24 in recv st                                       ge0
02300 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.
radist04ka# ipfw show
00100   0     0 allow ip from 192.168.50.188 to me dst-port 22
00200   0     0 allow ip from me 22 to 192.168.50.188
00300   0     0 deny ip from any to any frag
00400   0     0 allow ip from any to any via lo0
00500   0     0 pipe 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out                                        xmit dc0
00600   0     0 pipe 5 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out                                        xmit dc0
00700  21  1124 pipe 9 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out                                        xmit dc0
00800   0     0 nat 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out x                                       mit dc0
00900   0     0 nat 1 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out x                                       mit dc0
01000   0     0 nat 1 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out x                                       mit dc0
01100 209 17151 nat 1 ip from 10.0.0.0/8,195.208.0.0/16 to 10.10.241.124 in recv                                        dc0
01200   0     0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24 in r                                       ecv dc0
01300   0     0 pipe 6 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.40.0/24 in r                                       ecv dc0
01400   0     0 pipe 10 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24 in                                        recv dc0
01500   0     0 pipe 3 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16                                        out xmit stge0
01600  29  8460 pipe 7 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16                                        out xmit stge0
01700   0     0 nat 2 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16 o                                       ut xmit stge0
01800   0     0 nat 2 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 o                                       ut xmit stge0
01900   0     0 nat 2 ip from 192.168.100.0/24 to not 10.0.0.0/8,195.208.0.0/16                                        out xmit stge0
02000 117 29642 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.241 in                                        recv stge0
02100   0     0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24                                        in recv stge0
02200   0     0 pipe 8 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24                                        in recv stge0
02300 172 31502 allow ip from any to any
65535   0     0 deny ip from any to any
на винде:

Код: Выделить всё

C:\Documents and Settings\Adm>ping mail.ru
При проверке связи не удалось обнаружить узел mail.ru. Проверьте имя узла и повт
орите попытку.

C:\Documents and Settings\Adm>
в это время ipfw show:

Код: Выделить всё

radist04ka# ipfw show
00100   0     0 allow ip from 192.168.50.188 to me dst-port 22
00200   0     0 allow ip from me 22 to 192.168.50.188
00300   0     0 deny ip from any to any frag
00400   8  1426 allow ip from any to any via lo0
00500   0     0 pipe 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00600   0     0 pipe 5 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00700  16   768 pipe 9 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00800   0     0 nat 1 ip from 192.168.60.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
00900   0     0 nat 1 ip from 192.168.40.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
01000   0     0 nat 1 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
01100 666 42310 nat 1 ip from 10.0.0.0/8,195.208.0.0/16 to 10.10.241.124 in recv dc0
01200   0     0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24 in recv dc0
01300   0     0 pipe 6 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.40.0/24 in recv dc0
01400   0     0 pipe 10 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24 in recv dc0
01500   0     0 pipe 3 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
01600  39  2938 pipe 7 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
01700   0     0 nat 2 ip from 192.168.60.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
01800   0     0 nat 2 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
01900   0     0 nat 2 ip from 192.168.100.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
02000 129 54954 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.241 in recv stge0
02100   0     0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.60.0/24 in recv stge0
02200   0     0 pipe 8 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.50.0/24 in recv stge0
02300 448 90078 allow ip from any to any
65535   0     0 deny ip from any to any
пашут тока правила:

Код: Выделить всё

00400   8  1426 allow ip from any to any via lo0
00700  16   768 pipe 9 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit dc0
01100 666 42310 nat 1 ip from 10.0.0.0/8,195.208.0.0/16 to 10.10.241.124 in recv dc0
01600  39  2938 pipe 7 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit stge0
02000 129 54954 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.241 in recv stge0
02300 448 90078 allow ip from any to any
не совсем понятно что тут делают пакеты от 192,168,50,0 к 10/8..
предполагаю что это днс заспрос моей машины(bind в кеширующем режиме работает) на университетский днс

если предположение правильное, зачем тогда идет заворот на нат для самой машины...

в общем ничего не понятно....
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 13:21:09

p.s. 10.10.241.241 заменен на 10,10,241,124
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 16:02:01

QweЯty писал(а):p.s. 10.10.241.241 заменен на 10,10,241,124
Вывод команды: netstat -rn?
Вывод: ping 8.8.8.8
предполагаю что это днс заспрос моей машины(bind в кеширующем режиме работает) на университетский днс
А вы только ip на 10,10,241,124 сменили? Про gateway "10.10.241.129" наверное забыли? Он уже из другой сети получается - маска 25! Пропишите правильный гайт в ваш route.sh
Все гениальное - просто!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 16:15:31

нет, все заменил на нужные(сначала забыл(это еще когда первый раз отписывался), потом все прописал)

Код: Выделить всё

radist04ka# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS        38  1678094  stge0
10.0.0.0/8         10.10.241.1        UGS       455  3656383    dc0
10.10.241.0/25     link#1             U           5    67873    dc0
127.0.0.1          link#8             UH          0      884    lo0
192.168.1.0/24     link#3             U           0      218  stge0
192.168.40.0/24    link#9             U           0       69  wlan0
192.168.40.241     link#9             UHS         0        0    lo0
192.168.50.0/24    link#2             U           2    82139    re0
192.168.60.0/24    link#5             U           1      158   fxp0
195.208.0.0/16     10.10.241.1        UGS         2     2714    dc0
ping 8.8.8.8

Код: Выделить всё

radist04ka# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
чего то мне не нравиться вывод нетстат... тока чего не нравиться не знаю:(
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение FreeBSP » 2011-01-28 16:24:25

кхе
FreeBSP писал(а):из интереса, для общего развития, и ради, так сказать, взаимопомощи, реализовал схему сети на виртуалках в VMware
[много букаф]
:wq
Последний раз редактировалось FreeBSP 2011-01-28 16:26:56, всего редактировалось 1 раз.
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 17:35:51

читаешь мои мысли, тока копировал правила)))

UPD.
заработало. щаз буду немного дорабатывать:)

потом скажу результат... :)

UPD v2.

делал по примеру:

Код: Выделить всё

MyLan <-> any (192.168.50.0/24 <-> any)
00600 nat 2 ip from 192.168.50.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv re0 xmit dc0
00700 nat 1 ip from 192.168.50.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv re0 xmit stge0
для InetLan

Код: Выделить всё

InetLan <-> MainWIf (192.168.100.0/24 <-> stge0)
01400 nat 2 ip from 192.168.100.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv ng* xmit dc0
01500 nat 1 ip from 192.168.100.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv ng* xmit stge0
показало облом....

на re0 вроде все пашет... на fxp0 проверял пока что....
на ng* не пашет... пропадает все....
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 17:54:46

Я понял почему ничего не пашет - я наты местами перепутал :sorry:
Должно быть так:

Код: Выделить всё

${fw} nat 1 config log if ${RadIf} reset same_ports deny_in
${fw} nat 2 config log if ${MainWIf} reset same_ports deny_in
Все гениальное - просто!

КвертЯ
проходил мимо

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение КвертЯ » 2011-01-28 18:17:34

что там что там....
не пашет выход InetLan в stge0

хотя все по примеру сделал...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение FreeBSP » 2011-01-28 18:27:09

по идее должны быть конкретные интерфейсы и вилдкарды типа ng* не допускаются
это раз
и два - зачем два ната для одного интерфейса. ты видать не понял где тут что

на схемке 192,168,100/24 дорисуй.
- ей только в sgte0?
- пайпить надо?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 18:38:02

угу, тока в стге0...
пайтить пока нет...
картинка такая же тока вместо любого(re0 fxp0 wlan0) подставить ng* c подсетью 192,168,100,0/24

то есть справа добавляется еще один(или не один?!) интерфейс...
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение FreeBSP » 2011-01-28 18:40:25

хы. теперь уже я не понимаю как мой конфиг работает

по идее нужен вот этот шаблон

Код: Выделить всё

echo
echo "InetLan<-> MainWIf ($InetLan <-> $MainWIf)"
${fw} add nat  2 all from ${InetLan}       to not ${dc0_nets} out recv ${InetIf}   xmit ${MainWIf}
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 18:42:12

Код: Выделить всё

InetLan <-> MainWIf (192.168.100.0/24 <-> stge0)
01400 nat 2 ip from 192.168.100.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv ng* xmit dc0
01500 nat 1 ip from 192.168.100.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv ng* xmit stge0
показало облом....
А если убрать recv ng*?
Все гениальное - просто!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 18:44:53

p.s.

колитесь, у кого какая стоит защита с внешки на ssh ?

пробросил на модеме 22 порт к машине на bsd, меня за 15 минут раз 8 пытались под рутом войти..
пока посадил sshd на другой порт, ввел ограничения на время авторизации или ожидания, количество набора пароля, и прочее....

у кого какая защита стоит? колитесь...

и это при том что я сам пока еще не знаю свой внешний ip :)
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 18:46:20

QweЯty писал(а):p.s.

колитесь, у кого какая стоит защита с внешки на ssh ?

пробросил на модеме 22 порт к машине на bsd, меня за 15 минут раз 8 пытались под рутом войти..
пока посадил sshd на другой порт, ввел ограничения на время авторизации или ожидания, количество набора пароля, и прочее....

у кого какая защита стоит? колитесь...

и это при том что я сам пока еще не знаю свой внешний ip :)
Это скорее всего боты.
Зашита: авторизация по ключам, нестандартный порт+ bruteblock
Все гениальное - просто!

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение hranitel_y2k » 2011-01-28 18:59:45

FreeBSP писал(а):по идее должны быть конкретные интерфейсы и вилдкарды типа ng* не допускаются
Допускаются:

Код: Выделить всё

recv | xmit | via {ifX | if* | ipno | any}
	     Matches packets received, transmitted or going through, respec-
	     tively, the interface specified by exact name (ifX), by device
	     name (if*), by IP address, or through some interface.
Все гениальное - просто!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 797
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: 2 ipfw nat и pipe. не получается настроить :(

Непрочитанное сообщение QweЯty » 2011-01-28 19:17:32

А если убрать recv ng*?
тоже самое.... :(
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение