2 ipfw nat и pipe. не получается настроить :(

[FreeBSP]

Код: Выделить всё

echo
echo "InetLan<-> MainWIf ($InetLan <-> $MainWIf)"
${fw} add nat  1 all from ${InetLan}       to not ${dc0_nets} out recv ${InetIf}   xmit ${MainWIf}

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[QweЯty]

ну, да... точно так же...

Код: Выделить всё

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

${fw} nat 2 config ip ${RadIP}
${fw} nat 1 config ip ${MainWIP}

${fw} pipe 1 config bw 3500kbit/s
${fw} pipe 2 config bw 3500kbit/s
${fw} pipe 3 config bw 3500kbit/s
${fw} pipe 4 config bw 3500kbit/s
${fw} pipe 5 config bw 3500kbit/s
${fw} pipe 6 config bw 3500kbit/s

${fw} add allow ip from any to me 22
${fw} add allow ip from me 22 to any

#${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

echo
echo Back to the NAT
${fw} add nat 2 all from ${dc0_nets}     to ${RadIP}   in recv ${RadIf}
${fw} add nat 1 all from not ${dc0_nets} to ${MainWIP} in recv ${MainWIf}

echo
echo "MyLan <-> any ($MyLan <-> any)"
${fw} add nat 2 all from ${MyLan} to ${dc0_nets}     out recv ${MyIf} xmit ${RadIf}
${fw} add nat 1 all from ${MyLan} to not ${dc0_nets} out recv ${MyIf} xmit ${MainWIf}

echo
echo "LocLan <-> RadIf ($LocLan <-> $RadIf)"
${fw} add pipe 1 all from ${LocLan}   to ${dc0_nets} in  recv ${LocIf}
${fw} add pipe 2 all from ${dc0_nets} to ${LocLan}   out recv ${RadIf} xmit ${LocIf}
${fw} add nat  2 all from ${LocLan}   to ${dc0_nets} out recv ${LocIf} xmit ${RadIf}

echo
echo "LocLan <-> MainWIf ($LocLan <-> $MainWIf)"
${fw} add pipe 3 all from ${LocLan}       to not ${dc0_nets} in  recv ${LocIf}
${fw} add pipe 4 all from not ${dc0_nets} to ${LocLan}       out recv ${MainWIf} xmit ${LocIf}
${fw} add nat  1 all from ${LocLan}       to not ${dc0_nets} out recv ${LocIf}   xmit ${MainWIf}

#echo
#echo "InetLan <-> MainWIf ($InetLan <-> $MainWIf)"
#${fw} add nat 2 all from ${InetLan} to ${dc0_nets}     out recv ${InetIf} xmit ${RadIf}
#${fw} add nat 1 all from ${InetLan} to not ${dc0_nets} out recv ${InetIf} xmit ${MainWIf}

#echo
#echo "InetLan <-> MainWIf ($InetLan <-> $MainWIf)"
#${fw} add nat 2 all from ${InetLan} to ${dc0_nets}     out xmit ${RadIf}
#${fw} add nat 1 all from ${InetLan} to not ${dc0_nets} out xmit ${MainWIf}

echo
echo "InetLan<-> MainWIf ($InetLan <-> $MainWIf)"
${fw} add nat  1 all from ${InetLan} to not ${dc0_nets} out recv ${InetIf} xmit ${MainWIf}

echo
echo "WireLan <-> RadIf ($WireLan <-> $RadIf)"
${fw} add pipe 5 all from ${WireLan}  to ${dc0_nets} in  recv ${WireIf}
${fw} add pipe 6 all from ${dc0_nets} to ${WireLan}  out recv ${RadIf}   xmit ${WireIf}
${fw} add nat  2 all from ${WireLan}  to ${dc0_nets} out recv ${WireIf}  xmit ${RadIf}

echo
echo ""
${fw} add allow all from ${WireLan} to ${dc0_nets}, ${LocLan}, ${MyLan}, ${WireLan}  in recv ${WireIf}
${fw} add allow all from ${dc0_nets} to ${WireLan} out recv ${RadIf} xmit ${WireIf}
${fw} add deny all from ${WireLan} to any in


echo
echo ololo
${fw} add allow log ip from any to any
radist04ka#

[hranitel_y2k]

А после подключения впн клиента, можно на нем посмотреть маршруты и трасе? И на сервере netstat -rn и ipfw show?

[QweЯty]

на машине

Код: Выделить всё

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS         8  4542180  stge0
10.0.0.0/8         10.10.241.1        UGS        89  7893001    dc0
10.10.241.0/25     link#1             U           1   312495    dc0
127.0.0.1          link#8             UH          0     2023    lo0
192.168.1.0/24     link#3             U           0     1168  stge0
192.168.40.0/24    link#9             U           0      355  wlan0
192.168.40.241     link#9             UHS         0        0    lo0
192.168.50.0/24    link#2             U           1   610253    re0
192.168.60.0/24    link#5             U           0      229   fxp0
195.208.0.0/16     10.10.241.1        UGS         0     3478    dc0
198.168.100.43     link#10            UH          0   202       ng0
198.168.100.247    link#11            UH          0    32240    ng1

на винде из общаги

Код: Выделить всё

Трассировка маршрута к mail.ru [94.100.191.203]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  FREEBSD [192.168.100.1]
  2     3 ms     3 ms    23 ms  192.168.1.1
  3    31 ms    34 ms    31 ms  80.68.8.17
  4    42 ms    42 ms    42 ms  80.68.0.145
  5    46 ms    65 ms    48 ms  ae-0.511.rndn-rgr5.ug.ip.rostelecom.ru [87.226.1
41.193]
  6    74 ms   139 ms    82 ms  ae-8.m7-ar4.msk.ip.rostelecom.ru [87.226.133.178
]
  7    60 ms    64 ms   101 ms  79.133.94.162
  8    87 ms    86 ms    84 ms  vl931.br1.m100.net.mail.ru [94.100.183.94]
  9    75 ms    75 ms    72 ms  ^C
C:\Users\Администратор>tracert vk.com

Трассировка маршрута к vk.com [87.240.188.254]
с максимальным числом прыжков 30:

  1     1 ms    <1 мс    <1 мс  FREEBSD [192.168.100.1]
  2     3 ms     4 ms     5 ms  192.168.1.1
  3    35 ms    32 ms    31 ms  80.68.8.17
  4    55 ms    55 ms    56 ms  80.68.0.145
  5   162 ms   126 ms    99 ms  Rostov17-F5-0-107.rosprint.net [195.151.225.182]

  6    96 ms    93 ms   102 ms  Moscow09.rosprint.net [195.151.241.254]
^C
C:\Users\Администратор>

при таком наборе правил:

Код: Выделить всё

radist04ka@ sudo ipfw show
00100 227602 47332981 nat 1 ip from any to any via dc0
00200  46741 12699883 nat 2 ip from any to any via stge0
00300 411273 87435562 allow ip from any to any
65535      0        0 deny ip from any to any

при любом из вышеприведенных правил пишет "ошибка 800" типа нет сервера на таком ip
хотя порт слушается:

Код: Выделить всё

root     mpd5       1439  20 tcp4   *:1723                *:*

надеюсь то...
а то уже не пустят в общагу...

[FreeBSP]

остальное работает? кроме pptp?
из какой сети те, кто коннектится. тоесть их ипы до коннекта

[QweЯty]

у меня тока вебсервер висит да боты в -irc -jabber да торент качалка по локальному трекеру, с инета не качаю ничего...
да температура парсится.. и все вроде....
из этого все пашет вроде...

щаз доделаю курсовую и буду сидеть над правилами....

[FreeBSP]

грузани правила и проверь все ли натится-пайпится
у меня

внутренние сетки бегают между собой и наружу. 192.168.40/24 не может бегать на 192.168.1/24
ограничение на доступ внешних локалок к внутренним оставлю в качестве домашнего задания

машина пингуется из всех сеток - 10.10.241.128/25 , 192.168.{1,40,50,60}/24 , 195.208/16

а потом ищи где не проходит pptp. кстати ему не только 1723 надо, а что то еще для команд..

[QweЯty]

кстати ему не только 1723 надо, а что то еще для команд..

5005 смотрит на локалхост, не использую..

машина пингуется из всех сеток - 10.10.241.128/25 , 192.168.{1,40,50,60}/24 , 195.208/16

проверял, все работает, кроме 192,208/16(то есть тут не првоерял, но раз все работает то значит все ок) (проверить тока в феврале смогу, т.к. сессия, и в лаборатоных аудиториях делать нечего сейчас)

внутренние сетки бегают между собой и наружу.

рабоатет

192.168.40/24 не может бегать на 192.168.1/24

работает

ограничение на доступ внешних локалок к внутренним оставлю в качестве домашнего задания

вот тут честно говоря повергли в шок...
вроде как 192.168.{40.50.60}.0/24 находятся на натом....
их и так не будет(не должно быть) видно из 10/8 192,208/16
проверить это возможности пока нет...

[FreeBSP]

5005 это приблуда mpd5. а разговор про протокол pptp. ищи где валится.
добавь в начало

Код: Выделить всё

 allow all from any to me pptp, gre
allow all from me pptp, gre to any

и вообще у тебя pptp сервер работает?

[QweЯty]

прошел сегодня по друзьям...

вот вывод на данный момент, раньше гулял по городу, соревновался кто как лучше статую будет фоткать

вот:

Код: Выделить всё

radist04ka# sockstat -4 -p 172
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
radist04ka# sockstat -4 -p 1723
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     mpd5       3011  15 tcp4   10.10.241.124:1723    10.10.213.69:63355
root     mpd5       3011  20 tcp4   *:1723                *:*
root     mpd5       3011  21 tcp4   10.10.241.124:1723    10.10.218.119:60062
root     mpd5       3011  22 tcp4   10.10.241.124:1723    10.10.243.22:49192
root     mpd5       3011  23 tcp4   10.10.241.124:1723    10.10.241.195:3298
root     mpd5       3011  24 tcp4   10.10.241.124:1723    10.10.227.36:61033
root     mpd5       3011  25 tcp4   10.10.241.124:1723    10.10.244.14:61378
root     mpd5       3011  26 tcp4   10.10.241.124:1723    10.10.219.77:1564
root     mpd5       3011  27 tcp4   10.10.241.124:1723    10.10.241.38:2567
root     mpd5       3011  28 tcp4   10.10.241.124:1723    10.10.225.63:3712
root     mpd5       3011  29 tcp4   10.10.241.124:1723    10.0.108.42:49403
radist04ka# sockstat -4 | grep mpd5
root     mpd5       3011  15 tcp4   10.10.241.124:1723    10.10.213.69:63355
root     mpd5       3011  16 tcp4   127.0.0.1:5005        *:*
root     mpd5       3011  20 tcp4   *:1723                *:*
root     mpd5       3011  21 tcp4   10.10.241.124:1723    10.10.218.119:60062
root     mpd5       3011  22 tcp4   10.10.241.124:1723    10.10.243.22:49192
root     mpd5       3011  23 tcp4   10.10.241.124:1723    10.10.241.195:3298
root     mpd5       3011  24 tcp4   10.10.241.124:1723    10.10.227.36:61033
root     mpd5       3011  25 tcp4   10.10.241.124:1723    10.10.244.14:61378
root     mpd5       3011  26 tcp4   10.10.241.124:1723    10.10.219.77:1564
root     mpd5       3011  27 tcp4   10.10.241.124:1723    10.10.241.38:2567
root     mpd5       3011  28 tcp4   10.10.241.124:1723    10.10.225.63:3712
root     mpd5       3011  29 tcp4   10.10.241.124:1723    10.0.108.42:49403
radist04ka#

как тока ставлю набор правил от FreeBSP или hranitel_y2k, пропадают пинги, соединение висит несколько минут, пропадает и при попытки переподключения ругается на "ошибка 800" (нет сервера на машине)

возвращаю обратно правила, все переподключается....

в любом случае, щаз тестить уже не буду.... устал как лошадь, рук и пальцев не чувствую... но зато отфотал кучу флешек... даже не знал, что у нас в городе больше 2х тысяч статуй... счЯстлЯвый, сцук...и довольный:) + еще скрипт наконец сделал....

[FreeBSP]

из какой сети те, кто коннектится. тоесть их ипы до коннекта

[QweЯty]

из подсети 10/8 (сеть общаг)

Radist04ka# sockstat -4 -p 1723
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root mpd5 3011 15 tcp4 10.10.241.124:1723 10.10.213.69:63355
root mpd5 3011 20 tcp4 *:1723 *:*
root mpd5 3011 21 tcp4 10.10.241.124:1723 10.10.218.119:60062
root mpd5 3011 22 tcp4 10.10.241.124:1723 10.10.243.22:49192
root mpd5 3011 23 tcp4 10.10.241.124:1723 10.10.241.195:3298
root mpd5 3011 24 tcp4 10.10.241.124:1723 10.10.227.36:61033
root mpd5 3011 25 tcp4 10.10.241.124:1723 10.10.244.14:61378
root mpd5 3011 26 tcp4 10.10.241.124:1723 10.10.219.77:1564
root mpd5 3011 27 tcp4 10.10.241.124:1723 10.10.241.38:2567
root mpd5 3011 28 tcp4 10.10.241.124:1723 10.10.225.63:3712
root mpd5 3011 29 tcp4 10.10.241.124:1723 10.0.108.42:49403

ипы не знаю кому какие выдало:

Код: Выделить всё

radist04ka# ifconfig | grep -A 1 "ng[0-9]"
ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.152 netmask 0xffffffff
ng8: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.48 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.121 netmask 0xffffffff
ng7: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.248 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.191 netmask 0xffffffff
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.249 netmask 0xffffffff
ng10: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.113 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.223 netmask 0xffffffff
ng4: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.172 netmask 0xffffffff
ng6: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.143 netmask 0xffffffff
ng9: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 192.168.100.1 --> 198.168.100.6 netmask 0xffffffff
radist04ka#

netstat -rn

Код: Выделить всё

radist04ka# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS        32 18207184  stge0
10.0.0.0/8         10.10.241.1        UGS       279 44118975    dc0
10.10.241.0/25     link#1             U           3  5196730    dc0
127.0.0.1          link#8             UH          0     7209    lo0
192.168.1.0/24     link#3             U           0     5057  stge0
192.168.40.0/24    link#9             U           0     1262  wlan0
192.168.40.241     link#9             UHS         0        0    lo0
192.168.50.0/24    link#2             U           3  4776521    re0
192.168.60.0/24    link#5             U           0      534   fxp0
195.208.0.0/16     10.10.241.1        UGS         0     6021    dc0
198.168.100.6      link#19            UH          0    91231    ng9
198.168.100.48     link#18            UH          0   197782    ng8
198.168.100.113    link#20            UH          0   128539   ng10
198.168.100.121    link#12            UH          0   668025    ng2
198.168.100.143    link#16            UH          0     7254    ng6
198.168.100.152    link#15            UH          0  5425942    ng5
198.168.100.172    link#14            UH          0    15072    ng4
198.168.100.191    link#13            UH          0   159771    ng3
198.168.100.223    link#11            UH          0    24995    ng1
198.168.100.248    link#17            UH          0   131269    ng7
198.168.100.249    link#10            UH          0   487763    ng0
radist04ka#

а чем глюк?
прописывал 15 соединений днем, кто то отлетел, кто то вырубил.... а откуда Link20/19/18
проверил еще список mpd.secret там всего 15 строк логин/пасс/ип

[hranitel_y2k]

А вы не пробовали со стороны сети dc0 сканировать сервак через nmap? хочется знать, после применения наших правил, порт vpn доступен или нет. Если нет,надо в нате редирект прописать...
как вариант, перед последним правилом (allow from any to any), прописать "allow gre from any to any"
Кстати,а с моими правилами пакеты между сетями бегают (за исключением сетки впн)?

[QweЯty]

не пробовали со стороны сети dc0 сканировать сервак через nmap?

чего-то не нашел этой проги в системе и портах...

p.s. а как ею пользоваться?

как вариант, перед последним правилом (allow from any to any), прописать "allow gre from any to any"

прописал в самом начале

Кстати,а с моими правилами пакеты между сетями бегают (за исключением сетки впн)?

проверю...

сегодня ночью как проснусь, буду проверять и выложу полный отчет по проходимости пакетов в/к/над/под системе(-ой)

буду тестить оба варианта...

что делать если точно?

ввести правила, просканировать порт 1723 на dc0 откуда нибудь с внешки... посмотреть какие правила отрабатывают все, режутся ли пакеты, и видно ли однц из другой подсети
нужны ли логи tcpdump?

[hranitel_y2k]

Есть такая прога: /usr/ports/security/nmap/
Сайт: http://nmap.org/

Код: Выделить всё

nmap -p 1-65355 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 ИП ХОСТА

Можно даже воспользоваться портом под win+графическая оболочка zenmap.
В сущности,это очень хороший сканер портов, который поможет выявить вашу проблему.

сегодня ночью как проснусь, буду проверять и выложу полный отчет по проходимости пакетов в/к/над/под системе(-ой)

Я так думаю, что пакеты между сетями (в моих правилах) будут ходить,а вот с самой freebsd в сети dc0 и sge0 (туда где используются наты) ни одного пакета не будет - я же правила для самой системы не прописывал. И еще опцию deny_in использовал...
Обратите внимание

У FreeBSP в правилах deny_in нет, но вот и правила разрешения соединения на порт 1723 сервера нет,отсюда, скорее всего, и косяк. Nmap уточнит...

Еще бы хотелось получить вывод:

Код: Выделить всё

tcpdump -i dc0 port 1723

при попытке соединения на него.

[QweЯty]

и так:)
продолжим:)

чтобы не тратить свои мозговые клетки собрал еще одну машину для проверки правил(2 ната и входящие пакеты(касательно vpn))

10,10,225,224- внешняя "локалка"
192,168,1,224 - "инет"
10,4,4,1 - внутренняя "локалка"
192,168,99,1 - подсеть vpn на mpd5

и так:

описание сетевых:

Код: Выделить всё

# cat /etc/rc.firewall2
#!/bin/sh

fw=/sbin/ipfw

RadIP="10.10.225.224"
RadL="rl0"
RadLan="10.0.0.0/8"

Inl="rl1"
InIP="192.168.1.224"
InLan="192.168.1.0/24"

locl="nfe0"
locIP="10.4.4.1"
locLan="10.4.4.0/24"

InetIf="ng*"
InetLan="192.168.98.0/24"

dc0_nets="10.0.0.0/8, 195.208.0.0/16"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

пока что просто пытаемся поднять нат.

простые правила которые работают:

Код: Выделить всё

${fw} add allow ip from any to me 22
${fw} add allow ip from me 22 to me

${fw} nat 1 config log ip ${RadIP}
${fw} nat 2 config log ip ${InIP}

${fw} add nat 1 ip from any to any via ${RadL}
${fw} add nat 2 ip from any to any via ${Inl}

${fw} add allow ip from any to any

все конектиться, нормально...

забиваем на них:) и идем дальше:

вбиваем правила ната из выше приведенных экспериментов:

Код: Выделить всё

${fw} add allow ip from any to me 22
${fw} add allow ip from me 22 to me

${fw} nat 1 config log if ${RadL}
${fw} nat 2 config log if ${Inl}

${fw} add nat 1 ip from any to any via ${RadL}
${fw} add nat 2 ip from any to any via ${Inl}

${fw} add allow ip from any to any

reset same_ports deny_in пришлось убрать целиком... иначе не пашет ничего... из-вне даже не пингуется хотя пакеты ходют..
UPD. потом методом исключения добавил reset и same_ports (правда одного не понял... чтобы принять эти изменения приходилось! перезагружаться, обычный рестарт ipfw с этими правилами и все... машина неприступна:) )

UPDv2. решил оставить deny_in на интерфейсе что смотрит в инет... оттуда точно стучаться не будут... пусть висит...

и так. значит работает. хотя бы это.

обьявляем пайпы и стандартные правила(потехоньку, полегоньку малым вперед )

получилось...

пытаемся настроить правила с пайпами...

выдераем:

echo
echo "LocLan <-> RadIf ($LocLan <-> $RadIf)"
${fw} add pipe 1 all from ${LocLan} to ${dc0_nets} in recv ${LocIf}
${fw} add pipe 2 all from ${dc0_nets} to ${LocLan} out recv ${RadIf} xmit ${LocIf}
${fw} add nat 2 all from ${LocLan} to ${dc0_nets} out recv ${LocIf} xmit ${RadIf}

echo
echo "LocLan <-> MainWIf ($LocLan <-> $MainWIf)"
${fw} add pipe 3 all from ${LocLan} to not ${dc0_nets} in recv ${LocIf}
${fw} add pipe 4 all from not ${dc0_nets} to ${LocLan} out recv ${MainWIf} xmit ${LocIf}
${fw} add nat 1 all from ${LocLan} to not ${dc0_nets} out recv ${LocIf} xmit ${MainWIf}

переделываем:

Код: Выделить всё

#echo
#echo "locLan <-> RadL ($locLan <-> $RadL)"
#${fw} add pipe>1 all from ${LocLan}<-->to<---->${dc0_nets}<--->in<---->recv ${locl}
#${fw} add pipe>2 all from ${dc0_nets}<>to<---->${LocLan}<----->out<--->recv ${RadL} xmit ${locl}
#${fw} add nat<>1 all from ${LocLan}<-->to<---->${dc0_nets}<--->out<--->recv ${locl} xmit ${RadL}

#echo
#echo "LocLan  Inl ($LocLan <-> $Inl)"
#${fw} add pipe 3 all from ${LocLan} to not ${dc0_nets} in recv ${locl}
#${fw} add pipe 4 all from not ${dc0_nets} to ${LocLan} out recv ${Inl} xmit ${locl}
#${fw} add nat 2 all from ${LocLan} to not ${dc0_nets} out recv ${locl} xmit ${Inl}

${fw} add allow ip from any to any

вот такой получился бутер.. закоменччен потому что не пашут, ругается:

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 1 -> 0
Flushed all rules.
00100 allow ip from any to me dst-port 22
00200 allow ip from me 22 to me
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0

locLan <-> RadL (10.4.4.0/24 <-> rl0)
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''
ipfw: hostname ``out'' unknown
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''

LocLan <-> Inl ( <-> rl1)
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''

^C
#

так и не понял где что пропущено...

переходим к варианту 2: тоже самое... чего ОНО хочет?

Код: Выделить всё

#${fw} add pipe 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadL}
#${fw} add nat 1 ip from ${LocLan} to ${dc0_nets} out xmit ${RadL}
#${fw} add pipe 2 ip from ${dc0_nets} to ${LocLan} in recv ${RadL}

#${fw} add pipe 3 ip from ${LocLan} to not ${dc0_nets} out xmit ${Inl}
#${fw} add nat 2 ip from ${LocLan} to not ${dc0_nets} out xmit ${Inl}
#${fw} add pipe 4 ip from not ${dc0_nets} to ${LocLan} in recv ${Inl}

${fw} add allow ip from any to any

рестартуем и получаем тоже самое:

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 1 -> 0
Flushed all rules.
00100 allow ip from any to me dst-port 22
00200 allow ip from me 22 to me
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0
ipfw nat 1 config if rl0 log same_ports reset
ipfw nat 2 config if rl1 log deny_in same_ports reset
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''
ipfw: hostname ``in'' unknown
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''
ipfw: port list: invalid separator <.> in <10.0.0.0/8,195.208.0.0/16>
ipfw: missing ``to''
ipfw: hostname ``in'' unknown
00500 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.

и правила чего то висят в консоли, пока не отменишь...

UPDv3. потом нашел заразу... написал на стикере что БОЛЬШИЕ и маленькие буквы это разные символы в *nix системах!!!!!!! болван, блин почти 2 часа изучал список правил вдоль и поперек...

работает отлично, режет и пропускает.

Код: Выделить всё

# ipfw show
00100  624  44200 allow ip from any to me dst-port 22
00200    0      0 allow ip from me 22 to me
00300    0      0 deny ip from any to any frag
00400    0      0 allow ip from any to any via lo0
00500  529  35983 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit rl0
00600  529  35983 nat 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit rl0
00700    0      0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 in recv rl0
00800    0      0 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit rl1
00900    0      0 nat 2 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out xmit rl1
01000    0      0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 in recv rl1
01100 7347 641935 allow ip from any to any
65535    2    174 deny ip from any to any

теперь вопрос по поводу ng*:
как этой подсети:
- дать/не разрешить ходить по сетям и по той и по другой(пример можно на одну подсеть с запретом и разрешением)
- ограничить pipe'ми - UPDv4. сделал, работает, зачем непонятно... чтобы было:)

фух. на тетовом стенде все пашет, и смог разобраться что с чем и как идет и куда едет... теперь бы на рабочий перенести:)))

[QweЯty]

фигушки оказывается....

из подсетей ничего не пингуется кроме ip шлюза 10,4,4,1

и тут тоже видно(после того как сильно подумал)

Код: Выделить всё

00500  529  35983 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit rl0
00600  529  35983 nat 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out xmit rl0
00700    0      0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 in recv rl0

не срабатывает правило 700...
хотя по идее должно же увеличиваться...

[QweЯty]

тоже саиое и такими правилами:

Код: Выделить всё

# ipfw show
00100 17 1096 allow ip from any to me dst-port 22
00200  0    0 allow ip from me 22 to me
00300  0    0 deny ip from any to any frag
00400  0    0 allow ip from any to any via lo0
00500  5  355 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600  0    0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl0 xmit nfe0
00700  5  355 nat 2 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0
00800  0    0 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900  0    0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl1 xmit nfe0
01000  0    0 nat 1 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100 48 5612 allow ip from any to any
65535  3  500 deny ip from any to any

что может быть?

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 1 -> 0
Flushed all rules.
00100 allow ip from any to me dst-port 22
00200 allow ip from me 22 to me
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0

loclan <-> Radl ( <-> rl0)
00500 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl0 xmit nfe0
00700 nat 2 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0

loclan <-> Inl ( <-> rl1)
00800 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl1 xmit nfe0
01000 nat 1 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.

что за хрень:(
писали же что рабочий вариант это...

[FreeBSP]

что за хрень:(

навскидку - обратного ната нет

писали же что рабочий вариант это...

то что выкладывал я - это работоспособная в описанных мною условиях система (правил и команд)
куски, оторванные от этой системы не обязательно будут работоспособны и самодостаточны.
работоспособность системы в условиях, отличающийся от описанных так же не гарантируется

если хочешь - скину виртуалки со всем этим добром, попрактикуешься на них. 826 метров - архив из 8 виртуальных хардов. по 32 метра оперативки на нос и оно должно стартануть. 256 рамки то найдешь на них?

[QweЯty]

проще насобирать на еще один шлюз(который собран ужо)

и тестить на нем свои правила..

навскидку - обратного ната нет

да так и понял... тока не понял почему не пашет, у тебя то все работает...
а правила один в один...
UPDv2.
не один в один:)
забыл вот эти дописать, когда переделывал прошлый под этот:

Код: Выделить всё

${fw} nat 2 config log if ${RadL} reset same_ports
${fw} nat 1 config log if ${Inl} reset same_ports deny_in

щаз вот такое:
проверять правда нет времени:( друг подрался, в больницу лечу....

Код: Выделить всё

# cat /etc/rc.firewall3
#!/bin/sh

fw=/sbin/ipfw

# Interface Radik
RadIP="10.10.225.224"
RadL="rl0"
RadLan="10.0.0.0/8"

# Interface Inet Net
Inl="rl1"
InIP="192.168.1.224"
InLan="192.168.1.0/24"

# Interface Local Net
locl="nfe0"
locIP="10.4.4.1"
locLan="10.4.4.0/24"

# Interface mpd
InetUnlim="ng*"
InetUnlim="192.168.98.0/24"

dc0_nets=" 10.0.0.0/8, 195.208.0.0/16"

${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush

##########################

${fw} nat 1 config log if ${RadL} reset same_ports
${fw} nat 2 config log if ${Inl} reset same_ports deny_in

# pipe
${fw} pipe 1 config bw 4500kbit/s
${fw} pipe 2 config bw 4500kbit/s
${fw} pipe 3 config bw 320kbit/s
${fw} pipe 4 config bw 320kbit/s

${fw} add allow ip from any to me 22
${fw} add allow ip from me 22 to any
${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

# rules for nat
echo
echo "loclan <-> Radl ($loclan <-> $RadL)"
${fw} add pipe 1 all from ${locLan}   to ${dc0_nets} in  recv ${locl}
${fw} add pipe 2 all from ${dc0_nets} to ${locLan}   out recv ${RadL} xmit ${locl}
${fw} add nat  1 all from ${locLan}   to ${dc0_nets} out recv ${locl} xmit ${RadL}

echo
echo "loclan <-> Inl ($loclan <-> $Inl)"
${fw} add pipe 3 all from ${locLan}       to not ${dc0_nets} in  recv ${locl}
${fw} add pipe 4 all from not ${dc0_nets} to ${locLan}       out recv ${Inl} xmit ${locl}
${fw} add nat  2 all from ${locLan}       to not ${dc0_nets} out recv ${locl}   xmit ${Inl}

${fw} add allow ip from any to any

[QweЯty]

вот так:

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 1 -> 0
Flushed all rules.
ipfw nat 1 config if rl0 log same_ports reset
ipfw nat 2 config if rl1 log deny_in same_ports reset
00100 allow ip from any to me dst-port 22
00200 allow ip from me 22 to any
00300 deny ip from any to any frag
00400 allow ip from any to any via lo0

loclan <-> Radl ( <-> rl0)
00500 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl0 xmit nfe0
00700 nat 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0

loclan <-> Inl ( <-> rl1)
00800 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl1 xmit nfe0
01000 nat 2 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100 allow ip from any to any
Firewall rules loaded.
Firewall logging enabled.

вот правила:

Код: Выделить всё

# ipfw show
00100 140  8200 allow ip from any to me dst-port 22
00200 329 46884 allow ip from me 22 to any
00300   0     0 deny ip from any to any frag
00400   0     0 allow ip from any to any via lo0
00500  10   665 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600   0     0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl0 xmit nfe0
00700  10   665 nat 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0
00800   0     0 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900   0     0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl1 xmit nfe0
01000   0     0 nat 2 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100  74  5241 allow ip from any to any
65535   3   516 deny ip from any to any

.......

# ipfw show
00100 157  9192 allow ip from any to me dst-port 22
00200 355 51676 allow ip from me 22 to any
00300   0     0 deny ip from any to any frag
00400   0     0 allow ip from any to any via lo0
00500  10   665 pipe 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600   0     0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl0 xmit nfe0
00700  10   665 nat 1 ip from 10.4.4.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0
00800   0     0 pipe 3 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900   0     0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 10.4.4.0/24 out recv rl1 xmit nfe0
01000   0     0 nat 2 ip from 10.4.4.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100  78  5621 allow ip from any to any
65535   3   516 deny ip from any to any

чего так?
исправил и проверил абсолютно все...

Код: Выделить всё

# sysctl -a | grep ip.fw.ena
net.inet.ip.fw.enable: 1
# sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 0

навскидку - обратного ната нет

а что за это отвечает? ${fw} nat 1 config log if ${RadL} reset same_ports или ${fw} add nat 1 all from ${locLan} to ${dc0_nets} out recv ${locl} xmit ${RadL}

куда копать?!

[QweЯty]

как смотреть tcpdump'ом ?
делал:

tcpdump -v -i nfe0

могу тока сказать что как идет трафик... что при выше приведенных правилах из-вне пакеты перестают ходить... а запросы от 10,4/24 к 10/8 так же идут кучей...

[QweЯty]

а если так:

Код: Выделить всё

echo
echo "loclan <-> Radl ($loclan <-> $RadL)"
${fw} add pipe 1 all from ${locLan}   to ${dc0_nets} in  recv ${locl}
${fw} add pipe 2 all from any to ${locLan}   out recv ${RadL} xmit ${locl}
${fw} add nat  1 all from ${locLan}   to ${dc0_nets} via ${RadL}

echo
echo "loclan <-> Inl ($loclan <-> $Inl)"
${fw} add pipe 3 all from ${locLan}       to not ${dc0_nets} in  recv ${locl}
${fw} add pipe 4 all from any to ${locLan}       out recv ${Inl} xmit ${locl}
${fw} add nat  2 all from ${locLan}       to not ${dc0_nets} via ${Inl}

Код: Выделить всё

${fw} add pipe 2 all from any to ${locLan}   out recv ${RadL} xmit ${locl}
${fw} add pipe 4 all from any to ${locLan}       out recv ${Inl} xmit ${locl}

резать весь трафик идущий из ${RadL} и ${Inl} и идущий на ${locl}
вроде правильно же?
тока работу не могу... пока что:)))

[FreeBSP]

обратный нат это секция back to the nat
принцип ната вообще понимаешь?

[QweЯty]

принцип понимаю... вроде:)
тока работу не знаю как нат это делает.

щаз сделаю так же все как у тебя, с описанием полным:

Код: Выделить всё

${fw} add allow ip from any to me 22
${fw} add allow ip from me 22 to any
${fw} add deny ip from any to any frag
${fw} add allow ip from any to any via lo0

${fw} nat 2 config log if ${RadL} same_ports reset
${fw} nat 1 config log if ${Inl} deny_in same_ports reset

echo
echo Back to the NAT
${fw} add nat 1 all from ${dc0_nets}     to ${RadIP} in recv ${RadL}
${fw} add nat 2 all from not ${dc0_nets} to ${InIP}  in recv ${Inl}

echo
echo "loclan <-> Radl ($loclan <-> $RadL)"
${fw} add pipe 1 all from ${locLan}   to ${dc0_nets} in  recv ${locl}
${fw} add pipe 2 all from ${dc0_nets} to ${locLan}   out recv ${RadL} xmit ${locl}
${fw} add nat  1 all from ${locLan}   to ${dc0_nets} out recv ${locl} xmit ${RadL}

echo
echo "loclan <-> Inl ($loclan <-> $Inl)"
${fw} add pipe 3 all from ${locLan}       to not ${dc0_nets} in  recv ${locl}
${fw} add pipe 4 all from not ${dc0_nets} to ${locLan}       out recv ${Inl}  xmit ${locl}
${fw} add nat  2 all from ${locLan}       to not ${dc0_nets} out recv ${locl} xmit ${Inl}

${fw} add allow ip from any to any

запускаю пинг 192,168,1,22

Код: Выделить всё

# ipfw show
00100 19 1176 allow ip from any to me dst-port 22
00200 39 5444 allow ip from me 22 to any
00300  0    0 deny ip from any to any frag
00400  0    0 allow ip from any to any via lo0
00500  0    0 nat 1 ip from 10.0.0.0/8,195.208.0.0/16 to 10.10.225.224 in recv rl0
00600  4  336 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.224 in recv rl1
00700  0    0 pipe 1 ip from 192.168.5.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00800  0    0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.5.0/24 out recv rl0 xmit nfe0
00900  0    0 nat 1 ip from 192.168.5.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0
01000  0    0 pipe 3 ip from 192.168.5.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
01100  0    0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.5.0/24 out recv rl1 xmit nfe0
01200  0    0 nat 2 ip from 192.168.5.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01300  4  336 allow ip from any to any
65535 94 6618 deny ip from any to any

пинга нет увеличивается только:

Код: Выделить всё

00600  5  420 nat 2 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.1.224 in recv rl1

убираю Back to the NAT

Код: Выделить всё

# ipfw show
00100 33 1840 allow ip from any to me dst-port 22
00200 59 8164 allow ip from me 22 to any
00300  0    0 deny ip from any to any frag
00400  0    0 allow ip from any to any via lo0
00500  0    0 pipe 1 ip from 192.168.5.0/24 to 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00600  0    0 pipe 2 ip from 10.0.0.0/8,195.208.0.0/16 to 192.168.5.0/24 out recv rl0 xmit nfe0
00700  0    0 nat 1 ip from 192.168.5.0/24 to 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl0
00800  0    0 pipe 3 ip from 192.168.5.0/24 to not 10.0.0.0/8,195.208.0.0/16 in recv nfe0
00900  0    0 pipe 4 ip from not 10.0.0.0/8,195.208.0.0/16 to 192.168.5.0/24 out recv rl1 xmit nfe0
01000  0    0 nat 2 ip from 192.168.5.0/24 to not 10.0.0.0/8,195.208.0.0/16 out recv nfe0 xmit rl1
01100 18 1512 allow ip from any to any
65535 94 6618 deny ip from any to any

пинги пошли, увеличивается только:

Код: Выделить всё

01100 18 1512 allow ip from any to any

пинг запускал на тестовой машинки(с нее пинговал 192,168,1,22)

ошибся в правиле?
вроде одинаковое...