нужон совет по ностройки домашнего шлюза

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-07 22:39:06

что нужно
  • нужно резать всем скорость порезать ровно между всеми машиноми сети(а то вечно орут что им скорости не хватает)
    нужна web авторизация(с запоминаем mac адресов типаchilispota
    нужно также чтобы юзер мог выбирать канал при входе (впн или обычный)
    полное логирование и статистика
    пару игровых серверов(ну это ясам сделаю)
    dc and torrent качалки с веб мордой
что есть
комп:aqvarus
ос:freebsd 8.0 rekese
озу 2гб
диск 300 гб
2 сетевые карты + wifi ysd
адсл роутер 8 lan + wifi( все"клиенты "через" него )
какой софт планирую
apache
ipfw
natd
nettames или bgbilling
proftpd
sqid
openvpn

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение vintovkin » 2010-05-07 22:57:42

ipfw скорость можно контролировать, squid можно юзать для авторизации юзверей,
JunOS kernel based on FreeBSD UNIX.

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-07 23:38:45

А как тогда весь трафик до авторизации блокировать ладно с етим разберёмся
а разве в сквидё есть mac авторизация
так как все у меня с ноутоми кпк и т.п тут только dhcp
bind придётся ставить. перенаправлявший на авторизацию


Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение vintovkin » 2010-05-08 11:07:12

krokozjabr писал(а):А как тогда весь трафик до авторизации блокировать ладно с етим разберёмся
а разве в сквидё есть mac авторизация
так как все у меня с ноутоми кпк и т.п тут только dhcp
bind придётся ставить. перенаправлявший на авторизацию
не пробовал по маку , но видел в сквиде эту фичу.
JunOS kernel based on FreeBSD UNIX.

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение vintovkin » 2010-05-08 11:08:07

krokozjabr писал(а):хм идея хорошая но подойдёт она мне?
да, самс пойдёт как раз для этого ... контроль www трафика
JunOS kernel based on FreeBSD UNIX.

Аватара пользователя
baton4eg
сержант
Сообщения: 274
Зарегистрирован: 2009-10-11 14:36:35
Контактная информация:

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение baton4eg » 2010-05-08 14:47:48

c Маками можно static mac сделать на роутере, если управляемая железка - address binding
Трафик до авторизации, всех deny, кто не в таблицах (ipfw table), кто в таблицах (IP адреса заносим) они с инетом работают. Это если Шейпинг делать
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!" (c)
"Я ем руками, она вилкой и ножом, я бью вилкой и ножом, она руками" (с)

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-08 21:27:27

baton4eg писал(а):c Маками можно static mac сделать на роутере, если управляемая железка - address bindingть
да железяка с веб мордой но я хочу воткнуть фрю между сетью и роутерам
а можно сделать подругому на isc dhcpd
можно сделать превязку по макас и тогда нет тамес прекрутить
как вам идея?
а можно в самом нет тамесе mac авторизацию сделать я видел

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение vintovkin » 2010-05-08 21:48:59

krokozjabr писал(а):
baton4eg писал(а):c Маками можно static mac сделать на роутере, если управляемая железка - address bindingть
да железяка с веб мордой но я хочу воткнуть фрю между сетью и роутерам
а можно сделать подругому на isc dhcpd
можно сделать превязку по макас и тогда нет тамес прекрутить
как вам идея?
а можно в самом нет тамесе mac авторизацию сделать я видел
идея хорошая - между циско и локалкой из ПК ещё один роутер под фбсд ставить ,хорошо работает :smile:
JunOS kernel based on FreeBSD UNIX.

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-09 13:58:26

как сделаю так нопишу статью тут я буду писать вапросы по ходу дела тему не зокрывать

Pr0l
рядовой
Сообщения: 20
Зарегистрирован: 2009-03-06 8:56:07

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение Pr0l » 2010-05-10 11:16:20

а стандартную привязку по arp таблице нельзя организовать + дхцп раздача ИПа по МАСу? каждый час загружать таблицу arp и все.

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-12 21:34:26

и так столкнулся с проблемой сквида он вылитает при сборки на библиотеках иксов. щас сделал cd /usr/ports && make clean все ровно не работает

Код: Выделить всё

rm: libtoolT: No such file or directory
gmake[3]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[3]: Entering directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[3]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[2]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6/inude'
gmake[1]: *** [all-recursive] Error 1
gmake[1]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake: *** [all] Error 2
*** Error code 1

Stop in /usr/ports/textproc/libxml2.
*** Error code 1

Stop in /usr/ports/textproc/libxslt.
*** Error code 1

Stop in /usr/ports/textproc/libxslt.
*** Error code 1

Stop in /usr/ports/x11/libxcb.
*** Error code 1

Stop in /usr/ports/x11/libX11.
*** Error code 1

Stop in /usr/ports/x11-toolkits/libXt.
*** Error code 1

Stop in /usr/ports/x11/trapproto.
*** Error code 1

Stop in /usr/ports/x11-servers/xorg-vfbserver.
*** Error code 1

Stop in /usr/ports/accessibility/accerciser.
*** Error code 1

Stop in /usr/ports/accessibility.
*** Error code 1

Stop in /usr/ports.
[root@localhost /usr/ports
также после ядра с фаайрволам он перестал перестал понимать правила что firewall_conf что firewall_script результат один

и как перключить pkg_ADD ftp клиет в пассивный режим

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-16 21:28:32

также после ядра с фаайрволам он перестал перестал понимать правила что firewall_config что firewall_script результат один

ядро собрал с

Код: Выделить всё

C
# GENERIC -- Generic kernel configuration file for FreeBSD/amd64
#
# For more information on this file, please read the config(5) manual page,
# and/or the handbook section on Kernel Configuration Files:
#
#    http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/amd64/conf/GENERIC,v 1.531.2.4.2.2 2009/11/09 23:48:01 kensmith Exp $

cpu		HAMMER
ident		mkir

# To statically compile in device wiring instead of /boot/device.hints
#hints		"GENERIC.hints"		# Default places to look for devices.

# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env		"GENERIC.env"

makeoptions	DEBUG=-g		# Build kernel with gdb(1) debug symbols

options 	SCHED_ULE		# ULE scheduler
options 	PREEMPTION		# Enable kernel thread preemption
options 	INET			# InterNETworking
#options 	INET6			# IPv6 communications protocols
options 	SCTP			# Stream Control Transmission Protocol
options 	FFS			# Berkeley Fast Filesystem
options 	SOFTUPDATES		# Enable FFS soft updates support
options 	UFS_ACL			# Support for access control lists
options 	UFS_DIRHASH		# Improve performance on big directories
options 	UFS_GJOURNAL		# Enable gjournal-based UFS journaling
options 	MD_ROOT			# MD is a potential root device
options 	NFSCLIENT		# Network Filesystem Client
#options 	NFSSERVER		# Network Filesystem Server
options 	NFSLOCKD		# Network Lock Manager
options 	NFS_ROOT		# NFS usable as /, requires NFSCLIENT
options 	MSDOSFS			# MSDOS Filesystem
options 	CD9660			# ISO 9660 Filesystem
options 	PROCFS			# Process filesystem (requires PSEUDOFS)
options 	PSEUDOFS		# Pseudo-filesystem framework
options 	GEOM_PART_GPT		# GUID Partition Tables.
options 	GEOM_LABEL		# Provides labelization
options 	COMPAT_43TTY		# BSD 4.3 TTY compat (sgtty)
options 	COMPAT_IA32		# Compatible with i386 binaries
options 	COMPAT_FREEBSD4		# Compatible with FreeBSD4
options 	COMPAT_FREEBSD5		# Compatible with FreeBSD5
options 	COMPAT_FREEBSD6		# Compatible with FreeBSD6
options 	COMPAT_FREEBSD7		# Compatible with FreeBSD7
options 	SCSI_DELAY=5000		# Delay (in ms) before probing SCSI
options 	KTRACE			# ktrace(1) support
options 	STACK			# stack(9) support
options 	SYSVSHM			# SYSV-style shared memory
options 	SYSVMSG			# SYSV-style message queues
options 	SYSVSEM			# SYSV-style semaphores
options 	P1003_1B_SEMAPHORES	# POSIX-style semaphores
options 	_KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options 	PRINTF_BUFR_SIZE=128	# Prevent printf output being interspersed.
options 	KBD_INSTALL_CDEV	# install a CDEV entry in /dev
options 	HWPMC_HOOKS		# Necessary kernel hooks for hwpmc(4)
options 	AUDIT			# Security event auditing
options 	MAC			# TrustedBSD MAC Framework
options		FLOWTABLE		# per-cpu routing cache
#options 	KDTRACE_FRAME		# Ensure frames are compiled in
#options 	KDTRACE_HOOKS		# Kernel DTrace hooks

# Make an SMP-capable kernel by default
options 	SMP			# Symmetric MultiProcessor Kernel

# CPU frequency control
device		cpufreq

# Bus support.
device		acpi
device		pci

# Floppy drives
device		fdc

# ATA and ATAPI devices
device		ata
device		atadisk		# ATA disk drives
device		ataraid		# ATA RAID drives
device		atapicd		# ATAPI CDROM drives
device		atapifd		# ATAPI floppy drives
device		atapist		# ATAPI tape drives
options 	ATA_STATIC_ID	# Static device numbering

# SCSI Controllers
device		ahc		# AHA2940 and onboard AIC7xxx devices
options 	AHC_REG_PRETTY_PRINT	# Print register bitfields in debug
					# output.  Adds ~128k to driver.
device		ahd		# AHA39320/29320 and onboard AIC79xx devices
options 	AHD_REG_PRETTY_PRINT	# Print register bitfields in debug
					# output.  Adds ~215k to driver.
device		amd		# AMD 53C974 (Tekram DC-390(T))
device		hptiop		# Highpoint RocketRaid 3xxx series
device		isp		# Qlogic family
#device		ispfw		# Firmware for QLogic HBAs- normally a module
device		mpt		# LSI-Logic MPT-Fusion
#device		ncr		# NCR/Symbios Logic
device		sym		# NCR/Symbios Logic (newer chipsets + those of `ncr')
device		trm		# Tekram DC395U/UW/F DC315U adapters

device		adv		# Advansys SCSI adapters
device		adw		# Advansys wide SCSI adapters
device		aic		# Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
device		bt		# Buslogic/Mylex MultiMaster SCSI adapters

# SCSI peripherals
device		scbus		# SCSI bus (required for SCSI)
device		ch		# SCSI media changers
device		da		# Direct Access (disks)
device		sa		# Sequential Access (tape etc)
device		cd		# CD
device		pass		# Passthrough device (direct SCSI access)
device		ses		# SCSI Environmental Services (and SAF-TE)

# RAID controllers interfaced to the SCSI subsystem
device		amr		# AMI MegaRAID
device		arcmsr		# Areca SATA II RAID
#XXX it is not 64-bit clean, -scottl
#device		asr		# DPT SmartRAID V, VI and Adaptec SCSI RAID
device		ciss		# Compaq Smart RAID 5*
device		dpt		# DPT Smartcache III, IV - See NOTES for options
device		hptmv		# Highpoint RocketRAID 182x
device		hptrr		# Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx
device		iir		# Intel Integrated RAID
device		ips		# IBM (Adaptec) ServeRAID
device		mly		# Mylex AcceleRAID/eXtremeRAID
device		twa		# 3ware 9000 series PATA/SATA RAID

# RAID controllers
device		aac		# Adaptec FSA RAID
device		aacp		# SCSI passthrough for aac (requires CAM)
device		ida		# Compaq Smart RAID
device		mfi		# LSI MegaRAID SAS
device		mlx		# Mylex DAC960 family
#XXX pointer/int warnings
#device		pst		# Promise Supertrak SX6000
device		twe		# 3ware ATA RAID

# atkbdc0 controls both the keyboard and the PS/2 mouse
device		atkbdc		# AT keyboard controller
device		atkbd		# AT keyboard
device		psm		# PS/2 mouse

device		kbdmux		# keyboard multiplexer

device		vga		# VGA video card driver

device		splash		# Splash screen and screen saver support

# syscons is the default console driver, resembling an SCO console
device		sc

device		agp		# support several AGP chipsets

# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
device		cbb		# cardbus (yenta) bridge
device		pccard		# PC Card (16-bit) bus
device		cardbus		# CardBus (32-bit) bus

# Serial (COM) ports
device		uart		# Generic UART driver

# Parallel port
device		ppc
device		ppbus		# Parallel port bus (required)
device		lpt		# Printer
#device		plip		# TCP/IP over parallel
device		ppi		# Parallel port interface device
#device		vpo		# Requires scbus and da

# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to sio, uart and/or ppc drivers):
#device		puc

# PCI Ethernet NICs.
device		de		# DEC/Intel DC21x4x (``Tulip'')
device		em		# Intel PRO/1000 Gigabit Ethernet Family
device		igb		# Intel PRO/1000 PCIE Server Gigabit Family
device		ixgbe		# Intel PRO/10GbE PCIE Ethernet Family
device		le		# AMD Am7900 LANCE and Am79C9xx PCnet
device		ti		# Alteon Networks Tigon I/II gigabit Ethernet
device		txp		# 3Com 3cR990 (``Typhoon'')
device		vx		# 3Com 3c590, 3c595 (``Vortex'')

# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device		miibus		# MII bus support
#device		ae		# Attansic/Atheros L2 FastEthernet
#device		age		# Attansic/Atheros L1 Gigabit Ethernet
#device		alc		# Atheros AR8131/AR8132 Ethernet
#device		ale		# Atheros AR8121/AR8113/AR8114 Ethernet
#device		bce		# Broadcom BCM5706/BCM5708 Gigabit Ethernet
#device		bfe		# Broadcom BCM440x 10/100 Ethernet
#device		bge		# Broadcom BCM570xx Gigabit Ethernet
#device		dc		# DEC/Intel 21143 and various workalikes
#device		et		# Agere ET1310 10/100/Gigabit Ethernet
device		fxp		# Intel EtherExpress PRO/100B (82557, 82558)
device		jme		# JMicron JMC250 Gigabit/JMC260 Fast Ethernet
device		lge		# Level 1 LXT1001 gigabit Ethernet
device		msk		# Marvell/SysKonnect Yukon II Gigabit Ethernet
device		nfe		# nVidia nForce MCP on-board Ethernet
device		nge		# NatSemi DP83820 gigabit Ethernet
#device		nve		# nVidia nForce MCP on-board Ethernet Networking
device		pcn		# AMD Am79C97x PCI 10/100 (precedence over 'le')
device		re		# RealTek 8139C+/8169/8169S/8110S
device		rl		# RealTek 8129/8139
device		sf		# Adaptec AIC-6915 (``Starfire'')
device		sis		# Silicon Integrated Systems SiS 900/SiS 7016
device		sk		# SysKonnect SK-984x & SK-982x gigabit Ethernet
device		ste		# Sundance ST201 (D-Link DFE-550TX)
device		stge		# Sundance/Tamarack TC9021 gigabit Ethernet
device		tl		# Texas Instruments ThunderLAN
device		tx		# SMC EtherPower II (83c170 ``EPIC'')
device		vge		# VIA VT612x gigabit Ethernet
device		vr		# VIA Rhine, Rhine II
device		wb		# Winbond W89C840F
device		xl		# 3Com 3c90x (``Boomerang'', ``Cyclone'')

# ISA Ethernet NICs.  pccard NICs included.
device		cs		# Crystal Semiconductor CS89x0 NIC
# 'device ed' requires 'device miibus'
device		ed		# NE[12]000, SMC Ultra, 3c503, DS8390 cards
device		ex		# Intel EtherExpress Pro/10 and Pro/10+
device		ep		# Etherlink III based cards
device		fe		# Fujitsu MB8696x based cards
device		sn		# SMC's 9000 series of Ethernet chips
device		xe		# Xircom pccard Ethernet

# Wireless NIC cards
device		wlan		# 802.11 support
options 	IEEE80211_DEBUG	# enable debug msgs
options 	IEEE80211_AMPDU_AGE # age frames in AMPDU reorder q's
options 	IEEE80211_SUPPORT_MESH	# enable 802.11s draft support
device		wlan_wep	# 802.11 WEP support
device		wlan_ccmp	# 802.11 CCMP support
device		wlan_tkip	# 802.11 TKIP support
device		wlan_amrr	# AMRR transmit rate control algorithm
device		an		# Aironet 4500/4800 802.11 wireless NICs.
device		ath		# Atheros pci/cardbus NIC's
device		ath_hal		# pci/cardbus chip support
options 	AH_SUPPORT_AR5416	# enable AR5416 tx/rx descriptors
device		ath_rate_sample	# SampleRate tx rate control for ath
device		ral		# Ralink Technology RT2500 wireless NICs.
device		wi		# WaveLAN/Intersil/Symbol 802.11 wireless NICs.

# Pseudo devices.
device		loop		# Network loopback
device		random		# Entropy device
device		ether		# Ethernet support
device		tun		# Packet tunnel.
device		pty		# BSD-style compatibility pseudo ttys
device		md		# Memory "disks"
device		gif		# IPv6 and IPv4 tunneling
#device		faith		# IPv6-to-IPv4 relaying (translation)
device		firmware	# firmware assist module

# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device		bpf		# Berkeley packet filter

# USB support
device		uhci		# UHCI PCI->USB interface
device		ohci		# OHCI PCI->USB interface
device		ehci		# EHCI PCI->USB interface (USB 2.0)
device		usb		# USB Bus (required)
#device		udbp		# USB Double Bulk Pipe devices
device		uhid		# "Human Interface Devices"
device		ukbd		# Keyboard
device		ulpt		# Printer
device		umass		# Disks/Mass storage - Requires scbus and da
device		ums		# Mouse
device		rum		# Ralink Technology RT2501USB wireless NICs
device		uath		# Atheros AR5523 wireless NICs
device		ural		# Ralink Technology RT2500USB wireless NICs
device		zyd		# ZyDAS zb1211/zb1211b wireless NICs
device		urio		# Diamond Rio 500 MP3 player
# USB Serial devices
device		uark		# Technologies ARK3116 based serial adapters
device		ubsa		# Belkin F5U103 and compatible serial adapters
device		uftdi		# For FTDI usb serial adapters
device		uipaq		# Some WinCE based devices
device		uplcom		# Prolific PL-2303 serial adapters
device		uslcom		# SI Labs CP2101/CP2102 serial adapters
device		uvisor		# Visor and Palm devices
device		uvscom		# USB serial support for DDI pocket's PHS
# USB Ethernet, requires miibus
device		aue		# ADMtek USB Ethernet
device		axe		# ASIX Electronics USB Ethernet
device		cdce		# Generic USB over Ethernet
device		cue		# CATC USB Ethernet
device		kue		# Kawasaki LSI USB Ethernet
device		rue		# RealTek RTL8150 USB Ethernet
device		udav		# Davicom DM9601E USB

#

options         IPFIREWALL		# встраиваем поддержку файрволла в ядро
options         IPFIREWALL_VERBOSE	# вывод информации об отброшенных пакетах
options         IPFIREWALL_VERBOSE_LIMIT=100	# ограничение, чтоб весь /var
						# логами не засрали
options         IPFIREWALL_FORWARD	# включаем поддержку перенаправления
					# чтобы можно было сделать
					# позрачный прокси-сервер
					# TCP пакетов ядром
options         IPDIVERT		# поддержка IP-маскарадинга
options         DUMMYNET		# поддержка DUMMYNET (искуственное 
					# ограничение пропускной способности 
					# сети, может быть нужно если есть 
					# необходимость урезать канал одним
					# и разжать другим компьютерам)
options		TCP_DROP_SYNFIN		# Это нужно, чтобы сетевые сканеры 
					# не могли определять версию OS на
					# сервере. Также нужно добавить в 
					# /etc/rc.conf строчку
					# tcp_drop_synfin="YES"

файл рабочий проверил
на вдс
не знаю в чём дело

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение FreeBSP » 2010-05-17 7:31:05

поставить

Код: Выделить всё

firewall_enable="YES"
в дополнение к

Код: Выделить всё

#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение

Код: Выделить всё

[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r--  1 root  wheel  3473 11 фев 07:50 /etc/ipfw.conf 
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-17 17:57:58

FreeBSP писал(а):поставить

Код: Выделить всё

firewall_enable="YES"
в дополнение к

Код: Выделить всё

#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение

Код: Выделить всё

[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r--  1 root  wheel  3473 11 фев 07:50 /etc/ipfw.conf 
это я честно не подумал но видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-05-17 17:58:39

FreeBSP писал(а):поставить

Код: Выделить всё

firewall_enable="YES"
в дополнение к

Код: Выделить всё

#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение

Код: Выделить всё

[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r--  1 root  wheel  3473 11 фев 07:50 /etc/ipfw.conf 
это я честно не подумал но видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение FreeBSP » 2010-05-18 12:09:41

не надо
файер будет работать в любом случае, даже без этого, чо может какой то rc.conf проив самогО /boot/kernel/kernel =)

но
если не воткнуть эту строчку, то не будет отрабатывать /etc/rc.d/firewall или /etc/rc.d/ipfw хз как он зовется, но суть в следующем: все что дальше написано про файер восприниматься не будет, а значит не будут загружаться правила и все пакеты будут попадать на правило 65535, а оно у вас DENY ALL - так как в ядре вы не указали FIREWALL_DEFAULT_TO_ACCEPT

вот и все пироги
но при этом никто не мешает вам руками к нему грузить правила

по идее так. практическое исследование вопроса оставляю вам =) в качестве домашнего задания для закрепления материала =)
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение FreeBSP » 2010-05-18 12:17:01

krokozjabr писал(а): видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?
http://www.lissyara.su/articles/freebsd ... bout_ipfw/
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-06-04 10:39:41

дел было много после последнего поста... прочитав статью (я её читал и ранее) настроив и НЕ проверив выключил шлюз сегодня нород меня совсем достал со скоростью и ссорами.
взял цепляю к себе шлюз пытаюсь инет выйти а в ответ :st: :st: :st: т.е ноль эмоций
учёт трафика выключил
вот

Код: Выделить всё

[root@localhost ~]# ipfw show
00100    0     0 allow ip from any to any via lo0
00200    0     0 deny ip from any to 127.0.0.0/8
00300    0     0 deny ip from 127.0.0.0/8 to any
00400    0     0 allow ip from 192.168.137.0 to 192.168.137.0/24 via re0
00500    0     0 divert 8668 ip from 192.168.137.0/24 to any out via wlan0
00600    0     0 divert 8668 ip from any to 192.168.10.253 in via wlan0
00700    0     0 allow ip from 192.168.10.253 to any out via wlan0
00800    0     0 allow ip from any to 192.168.10.253 in via wlan0
00900 1420 82328 allow ip from 192.168.137.0/24 to any in via re0
01000    0     0 allow ip from 192.168.137.0/24 to any out via wlan0
01100    0     0 allow ip from any to 192.168.137.0/24 in via wlan0
01200   59 10000 allow ip from any to 192.168.137.0/24 out via re0
01300  231 16533 allow ip from any to any
65535    0     0 deny ip from any to any
ifconfig

Код: Выделить всё

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:1c:c0:c6:ee:8f
        inet 192.168.137.5 netmask 0xffffff00 broadcast 192.168.137.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:80:48:17:4b:9d
        media: Ethernet autoselect
        status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
zyd0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 2290
        ether 00:02:72:5d:b4:22
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g
        status: associated
wl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:02:72:5d:b4:22
        inet 192.168.10.253 netmask 0xffffff00 broadcast 192.168.10.255
        media: IEEE 802.11 Wireless Ethernet OFDM/54Mbps mode 11g
        status: associated
        ssid ****** channel 6 (2437 Mhz 11g) bssid 00:21:91:86:47:c3
        country US authmode WPA2/802.11i privacy ON deftxkey UNDEF
        AES-CCM 2:128-bit txpower 0 bmiss 7 scanvalid 450 bgscan
        bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS
        roaming MANUAL
[root@localhost ~]#
sockstat

Код: Выделить всё

root     sshd       1284  3  tcp4   192.168.137.5:22      192.168.137.2:50937
root     sshd       1242  3  tcp4   192.168.137.5:22      192.168.137.2:50752
root     login      1205  3  dgram  -> /var/run/logpriv
smmsp    sendmail   1152  3  dgram  -> /var/run/log
root     sendmail   1148  3  tcp4   127.0.0.1:25          *:*
root     sendmail   1148  4  dgram  -> /var/run/logpriv
root     sshd       1141  3  tcp4   *:22                  *:*
mysql    mysqld     1111  10 tcp4   *:3306                *:*
mysql    mysqld     1111  12 stream /tmp/mysql.sock
root     syslogd    815   4  dgram  /var/run/log
root     syslogd    815   5  dgram  /var/run/logpriv
root     syslogd    815   6  udp4   *:514                 *:*
root     devd       571   5  stream /var/run/devd.pipe
root     wpa_suppli 382   3  udp4   *:*                   *:*
root     wpa_suppli 382   6  dgram  -> /var/run/logpriv

Код: Выделить всё

[root@localhost ~]# netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q  Local Address          Foreign Address       (state)
tcp4       0     52 localhost.xaso.c.ssh   192.168.137.2.50937    ESTABLISHED
tcp4       0      0 localhost.xaso.c.ssh   192.168.137.2.50752    ESTABLISHED
tcp4       0      0 localhost.xaso.c.smtp  *.*                    LISTEN
tcp4       0      0 *.ssh                  *.*                    LISTEN
tcp4       0      0 *.3306                 *.*                    LISTEN
udp4       0      0 *.syslog               *.*
udp4       0      0 *.*                    *.*
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
ffffff00019394b0 stream      0      0 ffffff00019dc938        0        0        0 /tmp/mysql.sock
ffffff0001939d20 stream      0      0 ffffff00017ffb10        0        0        0 /var/run/devd.pipe
ffffff00019390f0 dgram       0      0        0 ffffff000193ac30        0 ffffff00019393c0
ffffff000193aa50 dgram       0      0        0 ffffff000193ad20        0        0
ffffff00019393c0 dgram       0      0        0 ffffff000193ac30        0 ffffff00019395a0
ffffff00019395a0 dgram       0      0        0 ffffff000193ac30        0        0
ffffff000193ac30 dgram       0      0 ffffff00017da000        0 ffffff00019390f0        0 /var/run/logpriv
ffffff000193ad20 dgram       0      0 ffffff00017da1d8        0 ffffff000193aa50        0 /var/run/log
[root@localhost ~]#
=====================================================
а что у нас в rc.conf

Код: Выделить всё

[root@localhost ~]# cat /etc/rc.conf
sendmail_enable="NO"
# -- sysinstall generated deltas -- # Fri Apr 30 19:07:19 2010
# Created: Fri Apr 30 19:07:19 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
check_quotas="NO"
defaultrouter="192.168.10.10"
hostname="localhost.local"
ifconfig_re0="inet 192.168.137.5  netmask 255.255.255.0"
sshd_enable="YES"
wlans_zyd0="wl0"
#ifupa_enable="yes"
ifconfig_wl0="WPA inet 192.168.10.253"
firewall_enable="yes"
firewall_type="/etc/hhj.sh"
mysql_enable="yes"
apache22_enable="no"
natd_enable="YES"
natd_interface="wlan0"
natd_flags="-same_ports"

Код: Выделить всё

[root@localhost ~]# ps -aux
USER    PID %CPU %MEM   VSZ   RSS  TT  STAT STARTED      TIME COMMAND
root     11 200.0  0.0     0    32  ??  RL   10:56AM  74:37.56 [idle]
root      0  0.0  0.0     0   128  ??  DLs  10:56AM   0:03.91 [kernel]
root      1  0.0  0.1  2176   548  ??  ILs  10:56AM   0:00.01 /sbin/init --
root      2  0.0  0.0     0    16  ??  DL   10:56AM   0:00.10 [g_event]
root      3  0.0  0.0     0    16  ??  DL   10:56AM   0:00.11 [g_up]
root      4  0.0  0.0     0    16  ??  DL   10:56AM   0:00.12 [g_down]
root      5  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [xpt_thrd]
root      6  0.0  0.0     0     8  ??  DL   10:56AM   0:00.00 [sctp_iterator]
root      7  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [pagedaemon]
root      8  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [vmdaemon]
root      9  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [pagezero]
root     10  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [audit]
root     12  0.0  0.0     0   272  ??  WL   10:56AM   0:15.32 [intr]
root     13  0.0  0.0     0    16  ??  DL   10:56AM   0:00.09 [yarrow]
root     14  0.0  0.0     0   256  ??  DL   10:56AM   0:00.56 [usb]
root     15  0.0  0.0     0    16  ??  DL   10:56AM   0:00.01 [bufdaemon]
root     16  0.0  0.0     0    16  ??  DL   10:56AM   0:00.05 [syncer]
root     17  0.0  0.0     0    16  ??  DL   10:56AM   0:00.01 [vnlru]
root     18  0.0  0.0     0    16  ??  DL   10:56AM   0:00.02 [softdepflush]
root     19  0.0  0.0     0    16  ??  DL   10:56AM   0:00.00 [flowcleaner]
root    382  0.0  0.3 10120  3216  ??  Is   10:56AM   0:00.01 /usr/sbin/wpa_sup
root    571  0.0  0.1  2180   652  ??  Is   10:56AM   0:00.02 /sbin/devd
root    815  0.0  0.1  5992  1536  ??  Is   10:56AM   0:00.02 /usr/sbin/syslogd
root   1141  0.0  0.4 25108  4364  ??  Is   10:56AM   0:00.01 /usr/sbin/sshd
root   1148  0.0  0.4 11044  3972  ??  Ss   10:56AM   0:00.05 sendmail: accepti
smmsp  1152  0.0  0.4 11044  3912  ??  Is   10:56AM   0:00.00 sendmail: Queue r
root   1158  0.0  0.2  6920  1612  ??  Is   10:56AM   0:00.01 /usr/sbin/cron -s
root   1242  0.0  0.5 37040  5088  ??  Is   11:08AM   0:00.07 sshd: root@pts/0
root   1284  0.0  0.5 37040  5092  ??  Ss   11:24AM   0:00.10 sshd: root@pts/1
mysql  1031  0.0  0.2  7232  1864  v0- I    10:56AM   0:00.02 /bin/sh /usr/loca
mysql  1111  0.0  4.2 199012 42972  v0- I    10:56AM   0:01.54 [mysqld]
root   1205  0.0  0.2 20644  2056  v0  Is   10:56AM   0:00.03 login [pam] (logi
root   1240  0.0  0.3  9188  2784  v0  I+   11:07AM   0:00.01 -bash (bash)
root   1206  0.0  0.1  5860  1288  v1  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1207  0.0  0.1  5860  1288  v2  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1208  0.0  0.1  5860  1288  v3  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1209  0.0  0.1  5860  1288  v4  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1210  0.0  0.1  5860  1288  v5  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1211  0.0  0.1  5860  1288  v6  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1212  0.0  0.1  5860  1288  v7  Is+  10:56AM   0:00.00 /usr/libexec/gett
root   1245  0.0  0.3  9188  2824   0  Is+  11:09AM   0:00.02 -bash (bash)
root   1287  0.0  0.3  9188  2824   1  Ss   11:24AM   0:00.04 -bash (bash)
root   1317  0.0  0.1  6976  1364   1  R+   11:33AM   0:00.00 ps -aux
при загрузки нет даже намёка на запуск ната вот вопрос почему?
root 2 0.0 0.0 0 16 ?? DL 10:56AM 0:00.10 [g_event]
root 3 0.0 0.0 0 16 ?? DL 10:56AM 0:00.11 [g_up]
root 4 0.0 0.0 0 16 ?? DL 10:56AM 0:00.12 [g_down]
root 5 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [xpt_thrd]
root 6 0.0 0.0 0 8 ?? DL 10:56AM 0:00.00 [sctp_iterator]
root 7 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagedaemon]
root 8 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [vmdaemon]
root 9 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagezero]
root 10 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [audit]
root 12 0.0 0.0 0 272 ?? WL 10:56AM 0:15.32 [intr]
root 13 0.0 0.0 0 16 ?? DL 10:56AM 0:00.09 [yarrow]
root 14 0.0 0.0 0 256 ?? DL 10:56AM 0:00.56 [usb]
root 15 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [bufdaemon]
root 16 0.0 0.0 0 16 ?? DL 10:56AM 0:00.05 [syncer]
root 17 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [vnlru]
root 18 0.0 0.0 0 16 ?? DL 10:56AM 0:00.02 [softdepflush]
root 19 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [flowcleaner]
и что это за процессы

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-06-04 10:51:57

тока не смейтесь я не даун да накосячил зоминид wlan на wl не работаает
и ещё mc стал дооооооооооооооооооолго грузиться

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-06-04 11:15:24

да система тормазит минут пять ждал ssh пока он пароль спросит комп мощьный top не чего особенного не говорит
итак ipfw show

Код: Выделить всё

00100    0     0 allow ip from any to any via lo0
00200    0     0 deny ip from any to 127.0.0.0/8
00300    0     0 deny ip from 127.0.0.0/8 to any
00400    0     0 allow ip from 192.168.137.0 to 192.168.137.0/24 via re0
00500    0     0 divert 8668 ip from 192.168.137.0/24 to any out via wl0
00600    4   498 divert 8668 ip from any to 192.168.10.253 in via wl0
00700    9   605 allow ip from 192.168.10.253 to any out via wl0
00800    4   498 allow ip from any to 192.168.10.253 in via wl0
00900 1032 56614 allow ip from 192.168.137.0/24 to any in via re0
01000    0     0 allow ip from 192.168.137.0/24 to any out via wl0
01100    0     0 allow ip from any to 192.168.137.0/24 in via wl0
01200   30  5192 allow ip from any to 192.168.137.0/24 out via re0
01300    0     0 allow ip from any to any
65535    0     0 deny ip from any to any

_Менделеев
проходил мимо

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение _Менделеев » 2010-06-04 11:45:19

естЪ предположение, что виной ДНС (так обычно в подобных ситуациях отвечают в твоих двух случаяхЪ)

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-06-04 13:41:41

Определенный для подключения DNS-суффикс:
Описание: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
Физический адрес: ?00-18-F3-5C-F0-D6
DHCP включен: Нет
Адрес IPv4: 192.168.137.2
Маска подсети IPv4: 255.255.255.0
Шлюз по умолчанию IPv4: 192.168.137.5
DNS-сервер IPv4: 8.8.8.8
WINS-сервер IPv4 :
Служба NetBIOS через TCP/IP включена: Да

_Попов
проходил мимо

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение _Попов » 2010-06-04 13:47:02

также есть предположение, что ДНС имееца ввиду которое на фрибэсэдешушке

krokozjabr
ефрейтор
Сообщения: 57
Зарегистрирован: 2010-05-01 21:27:02

Re: нужон совет по ностройки домашнего шлюза

Непрочитанное сообщение krokozjabr » 2010-06-04 14:51:06

отпадает
а пинги должны проходить ?
пинги до сервера идут а дальше коннекты не идут
что интересно пинги на внешний ип сервера идут