FreeBSD к ZyXEL Prestige 645R EE

[Bronk_Kvis]

Здравствуйте!
Не судите строго.
Предыстория :
Работал сервер(почта, шлюз) freebsd и было к нему подвязан ZyXEL Prestige 645R в режиме Bridged и не знал он проблем))) но случилось так что ip в черные листы попал и решили админы провайдера , что легче ip сменить!!! чем вытащить на чисту воду из буржуйских черных листов, да и за одно подключение сменить на новомодное PPPoA.

Коллеги помогите настроить подключение FreeBSD к ZyXEL Prestige 645R EE ADSL 10/100 Base-T в режиме router.
Пришёл инженер, перенастроил ZyXEL в режим router, дал новый iP , GW и логин с паролем, и сказал дальше сами

IP у меня статический , раскидываю ng_nat.
1. hosts
::1 localhost
127.0.0.1 localhost
x.x.x.x my.ru

2. rc.conf
# -- sysinstall generated deltas -- # Thu Aug 2 18:02:22 2006
ifconfig_rl0="inet x.x.x.x netmask 255.255.255.252"
defaultrouter="d.d.d.d"
hostname="my.ru"

3. rc. firewall
oif="rl0"
oip="x.x.x.x"

iif="vr0"
inet="192.168.55.0"
imask="255.255.255.0"
iip="192.168.55.151"
......................................
#divert to ng_nat
${fwcmd} add 500 netgraph 61 all from any to me via ${oif} in
....................................( юзера и т д)......................
#divert to ng_nat
${fwcmd} add 20001 netgraph 60 all from any to any via ${oif} out
........................................
4. natd.
kldload /boot/kernel/ng_ipfw.ko
ngctl mkpeer ipfw: nat 60 out
ngctl name ipfw:60 nat
ngctl connect ipfw: nat: 61 in
ngctl msg nat: setaliasaddr x.x.x.x

здесь заменил уже всё!!!
После перезагрузки сервера, инета нет, сбрасываю firewall инет есть, почта работает, ася только по HTTPs работает. Стоит загрузить firewall с правилами и как отрубило. Сам понимаю что проблема в firewall но мне сказали что нужно ppp подключение делать, полез в хендбук почитать, ещё больше вопросов появилось чем было
Подскажите с чего начать? какое РРР выбрать? и нужно ли оно мне?

P.S ZyXEL настроен Роутер, РРРоА,VC, VPI-0, VCI-35.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

дал новый iP , GW и логин с паролем

всместе с PPPoA
какая то каша получаеться

да и к томуже я понимаю что нынче ng_nat
модный
но вы бы сначала с нормальным nat разобрались
и с подключением

[Bronk_Kvis]

дал новый iP , GW и логин с паролем

всместе с PPPoA
какая то каша получаеться

да и к томуже я понимаю что нынче ng_nat
модный
но вы бы сначала с нормальным nat разобрались
и с подключением

IP=x.x.x.x.
Gateway=d.d.d.d
про кашу, не спорю.... в голове всё перемешалось.....
думаете что в нате дело? или в фаерволе что то не дописал?

[paradox]

я думаю сначала надо разобраться с натройками
что куда идет и рулиться

[Bronk_Kvis]

Инет приходит на ZyXEL, который в режиме моста по дефолту был! к freebsd ISDN подключён был.
Пришёл инженер поменял его режим на роутер (дал IP ему статический x.x.x.x , логин и пароль) сказал что будит работать по РРРоА. до этого статика только на freebsd была прописана....

P.S где то я туплю.

[paradox]

айпи на бсд серый или белый?
с бсд trcaeroute mail.ru
видно?
lynx работает?

если все работает
тогда паравильно настроить nat
и все
елементарный пример делаеться ipfilter && ipnat
если все будет работать

то значит вы накрутили с ng_nat
луше тогда выберите тот nat (а их в bsd хватает) который вы луше знаете или изучите
поскольку админим в дальнейшем
его вам а не мне)

[Bronk_Kvis]

IP на freebsd белый
traceroute mail.ru - работает!
все работает при сброшенном firewall!!!

выкладываю свой конфиги:
сделал такой стартовый скрипт в

Код: Выделить всё

/usr/local/etc/rc.d/010-natd.sh

Код: Выделить всё

kldload /boot/kernel/ng_ipfw.ko          
ngctl mkpeer ipfw: nat 60 out            
ngctl name ipfw:60 nat                   
ngctl connect ipfw: nat: 61 in           
ngctl msg nat: setaliasaddr x.x.x.x # внешний 

там же, за ним стартует *020-firewall.sh
/etc/rc.firewall

Вот сам конфиг фаервола:

Код: Выделить всё

#!/bin/sh             
                      
fwcmd="/sbin/ipfw"    
${fwcmd} -f flush     
                      
oif="rl0"             
oip="x.x.x.x" # внешний   
                      
iif="vr0"             
inet="192.168.55.0"   
imask="255.255.255.0" 
iip="192.168.55.151"  
                      
#lnet="192.168.55.0"  
#lmask="255.255.255.0"


${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 105 deny all from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any 

# Stop spoofing                                                     
${fwcmd} add 115 deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add 120 deny all from ${inet}:${imask} to any in via ${oif}

# Stop RFC1918 nets on the outside interface                   
${fwcmd} add 125 deny all from any to 10.0.0.0/8 via ${oif}    
${fwcmd} add 130 deny all from any to 172.16.0.0/12 via ${oif} 
${fwcmd} add 135 deny all from any to 192.168.0.0/16 via ${oif}

 #Allow local usera to my.ru                            
${fwcmd} add 200 pass all from ${inet}:${imask} to ${oip}
${fwcmd} add 201 pass all from ${oip} to ${inet}:${imask}

#divert to ng_nat                                            
${fwcmd} add 500 netgraph 61 all from any to me via ${oif} in
user="192.168.55.95"                                                  
${fwcmd} add 1005 allow tcp from ${user} to ${iip} 8080 via ${iif} in 
${fwcmd} add 1006 allow tcp from ${iip} 8080 to ${user} via ${iif} out
..............................................................
#Deny all squid                                                 
${fwcmd} add 1999 deny tcp from any to ${iip} 8080 via ${iif} in

##Allow from any via local interface                                            
${fwcmd} add 9999 allow all from ${inet}:${imask} to ${inet}:${imask} via ${iif}

#divert to ng_nat                                                
${fwcmd} add 20001 netgraph 60 all from any to any via ${oif} out
....................................
${fwcmd} add 30998 deny log tcp from any to any via ${oif} in setup
${fwcmd} add 30999 deny log all from any to any via ${oif}    
#all deny                                         
${fwcmd} add 40000 deny log all from any to any                    
${fwcmd} add 40001 deny all from any to any 80 via ${oif} in       
                                                                   
${fwcmd} add 65000 pass all from any to any

вроде всё так делаю....

[Bronk_Kvis]

Решил проблему , выяснил что отказал ng_nat

решил так :
в 010-natd.sh

Код: Выделить всё

/sbin/natd  -s -m -u -a x.x.x.x

соответственно в фаерволе:

Код: Выделить всё

${fwcmd} add 500 divert natd all from any to me via ${oif} in
.............................................................................................
${fwcmd} add 20001 divert natd all from any to any via ${oif} out

Сейчас инет работает через natd, а через ng_nat не работает!!!
Причина отказа ng_nat ???
мне не понятна
Вопрос остаётся открытым, может кто то сталкивался?