Подробное руководство по ipfw nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-06 20:06:24

давайте уточним:
к примеру, ваш белый ип на ng0 88.147.129.17
на внешний адрес 88.147.129.17 пришел пакет для порта 7777
в конфиге ната присутствует опция redirect_port tcp 192.168.20.14:7777 7777
в выводе tcpdump вы видите, что на внешнем интерфейсе проскочил этот пакетик с дестинейшеном 88.147.129.17
одновременно вы наблюдаете, что сменился счётчик ната и на интерфейсе локалки в выводе tcpdump проскочил этот же пакетик пакетик, но уже с дестинейшеном 192.168.20.14
однако от 192.168.20.14 никаких ответов по этому соединению нету
правильно?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

pom
рядовой
Сообщения: 14
Зарегистрирован: 2010-12-31 15:08:44

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение pom » 2011-07-07 9:10:12

почти все так, там 2 внутренние сети - 192.168.20.0/24 и 192.168.1.0/24, в 20 сети переадресация работает, то есть в вашем примере как раз все проходит, а вот если там 192.168.1.4:8888 8888 то происходит все именно так как вы описываете.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-07 9:28:44

ну тогда вы должны понимать, что дело или не в шлюзе или в том, что вы не доописали
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

pom
рядовой
Сообщения: 14
Зарегистрирован: 2010-12-31 15:08:44

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение pom » 2011-07-07 10:19:27

в том то и дело что я не мог понять что упустил :)
Спасибо, таки разобрался. Никакой мистики, действительно только не внимательность + проблемы на компьютере внутри сети. Во первых я не на тот сервер проброс делал, актуальный сервер 192.168.1.1 отвечает нормально и на него проброс заработал так как надо. Со старым сервером какие то непонятные проблемы, но это не суть важно.
Спасибо за помощь, за то что подтвердили отсутствие ошибки на шлюзе и я начал внимательнее искать внутри сети. :)

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-07 12:11:06

спасиба не булькает)))
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

pom
рядовой
Сообщения: 14
Зарегистрирован: 2010-12-31 15:08:44

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение pom » 2011-07-07 16:54:23

я бы набулькал с удовольствием, только не уверен что в Засратовск попаду когда нибудь. ;)

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-07 17:59:10

отмазка - баян
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-11 11:13:39

не могу найти эту статью на сайте
товарисч майор, а где она?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.


MysterDecoy
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение MysterDecoy » 2011-07-12 21:40:07

Ребят, прошу вас о помощи... Пытаюсь дома изладить роутер)) Составил фаервол по статье. При загрузке на сервере интернет пингуется а вот у клиентов сети нет...что я уускаю?

Код: Выделить всё

#!/bin/sh

# для начала вводим переменные - для нашего же удобства, чтобы не 
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="alc0"            # внешний интерфейс
LanIn="ste0"            # внутренний интерфейс
IpOut="*.*.*.*" # внешний IP адрес машины
IpIn="192.168.1.199"   # внутренний IP машины
NetMask="24"            # маска сети (если она разная для внешней 
                        # и внутренней сети - придётся вводить ещё 
                        # одну переменную, но самое забавное, что 
                        # можно и забить - оставить 24 - всё будет 
                        # работать, по крайней мере я пробовал - 
                        # работаало на 4-х машинах, в разных сетях, 
                        # с разными масками - настоящими разными! но - 
                        # это неправильно.)
NetIn="192.168.1.0"    # Внутренняя сеть

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас 
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}

${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в 
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}

#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}


# а тут собственно файрволл и начался:

# настройка ната.
${FwCMD} nat 1 config log if ${LanIn} reset same_ports  redirect_port tcp 94.251.99.112:6881 6881 redirect_port udp 94.251.99.112:4444 4444 redirect_port tcp 94.251.99.112:25 25

# заварачиваем все что проходит через внешний интерфейс в нат
${FwCMD} add 10130 nat 1 ip from any to any via ${LanOut}

${FwCMD} add pipe 1 ip from ${IpOut} to ${NetIn}/${NetMask}
${FwCMD} pipe 1 config bw 100Mbit/s

${FwCMD} add pipe 2 ip from ${IpIn} to ${NetIn}/${NetMask}
${FwCMD} pipe 2 config bw 100Mbit/s

# `спецтруба` для мелкиз пакетов типа ack - ибо если они теряются
# то повторные пакеты будут большего размера
${FwCMD} add pipe 3 ip from any to any tcpflags ack iplen 0-128
${FwCMD} pipe 3 config bw 100Mbit/s

# Пропускаем следующие трубы - чтобы мелкие пакеты не лимитировались
# пропускать надо до первого нормального (после труб) правила.
# я ему присвоил жёсткий номер - файрволл раздаёт номера с последнего правила
# (если номер жёстко не задан) с интервалом определяемым переменной sysctl
# net.inet.ip.fw.autoinc_step - по дефолту - 100
${FwCMD} add skipto 39999 ip from any to any tcpflags ack iplen 0-128

# запускаем счётчик
i=4
# цикл по $i
while [ $i != 252 ]
do
# добавляем трубу для IP адреса
${FwCMD} add pipe $i ip from not ${NetIn}/${NetMask} to 192.168.1.${i}
# проверяем - часом не мой ли это IP
if [ $i -eq 13 -o $i -eq 222 ]
then
# мой инет :)))
${FwCMD} pipe $i config bw 100Mbit/s
else
# не мой IP - режем скорость
${FwCMD} pipe $i config bw 64000bit/s
fi
# увеличиваем $i на единичку
i=$(($i+1))
done

# проверяем временные правила (перед этим правилом возврщаются мелкие
# пакеты в файрволл) :
${FwCMD} add 40000 check-state

# боимся непонятного
${FwCMD} add 65534 deny all from any to any
Вроде DNS снаружи разрешен.... И инет от прова работает как часы..... Буду очень благодарен за ответ...

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение nnmax » 2011-07-13 2:07:49

Самое простое tcpdump на внешнем интерфейсе, + смотрите счетчики ipfw show .
Клиенты в сети сервер пингуют?

pom
рядовой
Сообщения: 14
Зарегистрирован: 2010-12-31 15:08:44

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение pom » 2011-07-13 9:24:20

настройка ната.
${FwCMD} nat 1 config log if ${LanIn} reset same_ports redirect_port tcp 94.251.99.112:6881 6881 redirect_port udp 94.251.99.112:4444 4444 redirect_port tcp 94.251.99.112:25 25

NAT строится на внешнем интерфейсе или айпи, а не на внутреннем.
redirect_port tcp 94.251.99.112:6881 6881 redirect_port udp 94.251.99.112:4444 4444 redirect_port tcp 94.251.99.112:25 25
Это куда редиректится то? Опять таки шиворот навыворот, здесь указываются айпи во внутренней сети на которые нужно пробросить порты.

Нужно как то так:

Код: Выделить всё

${FwCMD} nat 1 config log if ${LanOut} reset same_ports deny_in redirect_port tcp 192.168.1.192:6881 6881 redirect_port udp 192.168.1.195:4444 4444 redirect_port tcp 192.168.1.192:25 25
вместо 192.168.1.192 и 192.168.1.195 действительные адреса

ЗЫ: фаервол вы составляли явно не по статье, не стал вчитываться, но это явно что то что у вас действует с freebsd 4 ветки, куда вы вклеили ipfw nat не понимая приципа действия, судя по тому как вы его исковеркали.
${NetIn}/${NetMask} жутко неуклюжая и архаичная конструкция, учитывая что по отдельности нигде в правилах не указывается. Не проще ли как все:
вместо NetMask="24" и NetIn="192.168.1.0"
просто: NetIn="192.168.1.0/24" ?

MysterDecoy
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение MysterDecoy » 2011-07-17 17:53:09

to nnmax: да сервер отлично пингуется из локалки....
to pom: Видимо вы правы, и я дествительно не доконца разобрался с текстом статьи... На данный момент у меня установлена:

Код: Выделить всё

FreeBSD  7.3-RELEASE FreeBSD 7.3-RELEASE #1: Sun Feb 27 16:06:00 NOVT 2011
Давайте я начну сначала. Передо мной стоит задача уложившись в минимальный бюджет организовать доступ в интернет для небольшой сети... (около 30 ПК) Задача проста как мир раздавать интернет и резать скорость.... Ранее я не сталкивался с freebsd но нашел эту операционную систему довольно привлекательной и функциональной. Я самостоятельно разобрался с установкой: DHCP Apache PHP5 но теперь мне необходимо заменить старенький роутер в организации на чтото более разумное.... При этом иметь возможность проброса портов на машины внутри сети... (пока пользую rinetd)текущая конфигурация фаервола такова:

Код: Выделить всё


 fwcmd="/sbin/ipfw"
 ${fwcmd} -f flush
 ${fwcmd} -f pipe flush

 ${fwcmd} -f queue flush


 ${fwcmd} add 1040 allow ip from any to any via ste0
 ${fwcmd} add 1020 allow tcp from any to any ssh
 ${fwcmd} add 1030 allow tcp from any ssh to any
 ${fwcmd} add 1050 deny ip from any to 192.168.0.0/16 in recv alc0
 ${fwcmd} add 1060 deny ip from 192.168.0.0/16 to any in recv alc0
 ${fwcmd} add 1070 deny ip from any to 172.16.0.0/12 in recv alc0
 ${fwcmd} add 1080 deny ip from 172.16.0.0/12 to any in recv alc0
 ${fwcmd} add 1090 deny ip from any to 10.0.0.0/8 in recv alc0
 ${fwcmd} add 10100 deny ip from 10.0.0.0/8 to any in recv alc0
 ${fwcmd} add 10110 deny ip from any to 169.254.0.0/16 in recv alc0
 ${fwcmd} add 10120 deny ip from 169.254.0.0/16 to any in recv alc0

 ${fwcmd} pipe 1 config bw 15Mbit/s queue 60 gred 0.002/10/30/0.1
 ${fwcmd} queue 1 config pipe 1 mask src-ip 0xffffffff queue 60 gred 0.002/10/30/0.1

 ${fwcmd} pipe 2 config bw 100Mbit/s queue 60 gred 0.002/10/30/0.1
 ${fwcmd} queue 2 config pipe 2 mask dst-ip 0xffffffff queue 60 gred 0.002/10/30/0.1
 ${fwcmd} nat 1 config log if alc0 reset same_ports redirect_port udp 192.168.1.221:27015 27015 redirect_port udp 192.168.1.221:27005 

 ${fwcmd} add 10130 skipto 10160 ip from 192.168.1.221 to any
 ${fwcmd} add 10140 skipto 10160 ip from any to 192.168.1.221
 ${fwcmd} add 10131 skipto 10160 ip from 192.168.1.222 to any
 ${fwcmd} add 10141 skipto 10160 ip from any to 192.168.1.222


 ${fwcmd} add 10150 queue 1 ip from any to any out xmit alc0
 ${fwcmd} add 10160 nat 1 ip from any to any via alc0
 ${fwcmd} add 10161 allow ip from 192.168.1.221 to any
 ${fwcmd} add 10162 allow ip from any to 192.168.1.221
 ${fwcmd} add 10163 allow ip from 192.168.1.222 to any
 ${fwcmd} add 10164 allow ip from any to 192.168.1.222
 ${fwcmd} add 10170 queue 2 ip from any to any in recv alc0

 ${fwcmd} add 10180 allow all from any to any

 ${fwcmd} add 10230 allow all from any to any


# ${fwcmd} add 65534 deny all from any to any
Как вы можете заметить я раздаю общий канал и не делю его жестко между пользователями. Это крайне неудобно. Я буду признателен вам за любую помощь.
P.S. Если я вас правильно понял то синтаксис команд различается от версии к версии.... И я видимо много чего еще не до понимаю... Но я надеюсь основные принципы остались прежними?

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение rmn » 2011-07-17 18:57:07

MysterDecoy писал(а):Как вы можете заметить я раздаю общий канал и не делю его жестко между пользователями. Это крайне неудобно.
Неудобно что? Раздавать общий или делить жестко?

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q -f "
${fwcmd} flush
${fwcmd} pipe flush
${fwcmd} queue flush
${fwcmd} table 1 flush

#####################################################

${fwcmd} add 100 allow ip from any to any via lo0
${fwcmd} add 101 deny ip from 127.0.0.0/8 to any
${fwcmd} add 102 deny ip from any to 127.0.0.0/8

${fwcmd} add 500 skipto 1000 ip from any to any via ste0
${fwcmd} add 501 skipto 2000 ip from any to any via alc0

${fwcmd} add 999 skipto 65534 ip from any to any

#####################################################

${fwcmd} add 1000 allow ip from me to any out

${fwcmd} add 1100 allow ip from any to me 22 in

# пользователи без ограничения скорости
${fwcmd} table 1 add 192.168.1.221
${fwcmd} table 1 add 192.168.1.222

# остальным - 2/2 М
${fwcmd} pipe 1 config bw 2Mbit/s mask src-ip 0xffffffff
${fwcmd} pipe 2 config bw 2Mbit/s mask dst-ip 0xffffffff

${fwcmd} add 1500 pipe 1 ip from not table\(1\) to any in
${fwcmd} add 1501 pipe 2 ip from any to not table\(1\) out

${fwcmd} add 1502 allow ip from table\(1\) to any in
${fwcmd} add 1503 allow ip from any to table\(1\) out

${fwcmd} add 1999 skipto 65534 ip from any to any

#####################################################

${fwcmd} nat 1 config log if alc0 reset same_ports deny_in redirect_port udp 192.168.1.221:27015 27015 redirect_port udp 192.168.1.221:27005

${fwcmd} add 2100 nat 1 ip from any to any

${fwcmd} add 2999 skipto 65534 ip from any to any

#####################################################

${fwcmd} add 65534 deny log ip from any to any

MysterDecoy
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение MysterDecoy » 2011-07-17 19:07:40

мне необходимо выделить каждому пользователю полосу пропускания ровно в 6 мегабит (но не более того)... При этом у 2 компьютеров ограничения быть не должно.... Просто некоторые сотрудники ставят торенты на рабочих местах...и тем самым убивают канал интернета.... Вразумительные меры не помогают....

MysterDecoy
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение MysterDecoy » 2011-07-17 19:25:24

хм, интересно значит сущестует возможность контролировать исходящий\входящий канал?

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение rmn » 2011-07-17 19:31:50

MysterDecoy писал(а):хм, интересно значит сущестует возможность контролировать исходящий\входящий канал?
Да, но только никому не говори, это держится в секрете... :)

MysterDecoy
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение MysterDecoy » 2011-07-17 19:43:16

хорошо,пусть это будет тайной...Бугага.

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение nnmax » 2011-07-18 21:57:51

MysterDecoy писал(а):мне необходимо выделить каждому пользователю полосу пропускания ровно в 6 мегабит (но не более того)... При этом у 2 компьютеров ограничения быть не должно.... Просто некоторые сотрудники ставят торенты на рабочих местах...и тем самым убивают канал интернета.... Вразумительные меры не помогают....
выделять каждому хомяку полосу эт не очень разумно как мне кажется, торренты можно вообще зарезать или выделить под них жестко ограниченную полосу на всех, что же касается остального трафика можно попробывать его разбить на классы, задать приоритеты.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение skeletor » 2011-07-20 13:05:40

А получится ли реализовать Пример 5 (Задача: обеспечить выход в интернет локальной сети через обоих провайдеров используя балансировку трафика между подключениями.), если будет ещё использовать VPN подключение через MPD (клиент)?
То есть настрою как в примере, подниму VPN и будет ли он балансироваться между каналами?

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vadim64 » 2011-07-20 13:08:46

если один из провайдеров даёт инель через тунель, то будет
если вы имеете ввиду подключения с инета к впну, то не будет
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение skeletor » 2011-07-21 10:00:46

Я имею ввиду следующее: есть офис с 2-мя каналами. На шлюзе настроен VPN к главному офису. Соответственно пользователи ходят через этот VPN. Будет ли VPN соединение использовать оба канала для расширения пропускной способности.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение Bayerische » 2011-08-07 13:56:28

Дано: веб сервер. Средствами IPFW банятся особо злостные форумные/блоговые спамеры (ведётся обновляемая табличка).
В результате для спамера просто не видны сайты на сервере. А можно как-то сделать, чтобы просто ограничить товарищей в возможностях? Например, запретить отправлять данные форм.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2011-08-07 19:08:56

прокси сервер нужен, вестимо. может на ngnx такое можно сделать.
прикладной уровень - это не проблема ната или ipfw.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

pendolf
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-08-08 11:23:13

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение pendolf » 2011-08-10 7:01:02

Привет всем, может кто помочь с шейпером уже какие только правила не городил, не получается заставить правильно работать. Задача: сделать шлюз для небольшого офиса, плюс шейпить трафик по разделением на городской 10Mbit/s и интернет на скорости 128Kbit/s, 256Kbit/s. Создал три таблицы: table 1 это городские подсети, table 2 - те кому 128 и table 3 - те кому 256. Такое вообще возможно сделать? Я добавляю пайп для таблицы 1 а он режет все подряд..

Код: Выделить всё

pipe 1 config bw 10Mbit/s mask src-ip 0x000000ff
pipe 2 config bw 10Mbit/s mask dst-ip 0x000000ff
pipe 3 config bw 256Kbit/s mask src-ip 0x000000ff
pipe 4 config bw 256Kbit/s mask dst-ip 0x000000ff

nat 1 config log if bge1 reset same_ports deny_in

add pipe 1 ip from 192.168.200.0/24 to table\(1\) out xmit bge1
add nat 1 ip from any to any via bge1
add pipe 2 ip from table\(1\) to 192.168.200.0/24 in recv bge1

table 1 add городская_подсеть
table 2 add 192.168.200.10
table 2 add 192.168.200.11