Помогите настроить FreeBSD + firewall + nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-11 22:57:01

Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
Ядро:

Код: Выделить всё

#FIREWALL
options         IPFIREWALL 
options         IPFIREWALL_VERBOSE 
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD 
options         IPDIVERT
options         DUMMYNET 
options         IPFIREWALL_NAT 
options         IPFILTER
options         LIBALIAS

#NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI
##############################
RC.CONF
defaultrouter="192.168.1.1"
hostname="local"
ifconfig_re0="inet 192.168.1.90  netmask 255.255.255.0"
keymap="ru.koi8-r"
sshd_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
mpd_flags="-b"
gateway_enable="YES"
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/my.firewall"
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /etc/my.nat"
##############################
MY.FIREWALL
#!/bin/sh

FwCMD="/sbin/ipfw"

Lan="re0"
Ipin="192.168.1.90"

${FwCMD} -f flush          # Flushes all the rules
${FwCMD} -f pipe flush     # Reset all pipe
${FwCMD} -f queue flush    # Reset queue

${FwCMD} add allow ip from any to any via lo0
${FwCMD} add allow tcp from any to any established

${FwCMD} add allow tcp from any to me 1723
${FwCMD} add allow gre from any to any

${FwCMD} nat 123 config ip ${Ipin}
${FwCMD} add nat 123 ip from any to any via ${Lan}

${FwCMD} add allow tcp from any to ${Ipin} 22 in via ${Lan} setup       # Permit SSH
${FwCMD} add allow tcp from any to ${Ipin} 80 in via ${Lan} setup       # Permit HTTP
${FwCMD} add allow tcp from any to ${Ipin} 443 in via ${Lan} setup      # Permit HTTPS

${FwCMD} add allow icmp from any to any icmptypes 0,8,11                     # Permit ICMP
${FwCMD} add deny ip from any to any

MY.NAT
map re0 192.168.0.10/24 -> 192.168.1.90
вот вроде и всё mpd.conf настроин по этой ссылки ( http://www.lissyara.su/articles/freebsd ... /vpn_mpd5/ )

помогите салаге в настройке чертёнка.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение skeletor » 2011-04-12 11:55:36

qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-12 13:08:20

skeletor писал(а):
qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.

Ну извините, может не так растолковал, попробую по другому мне надо настроить firewall так как настроен PF вот здесь вот пример его
(

Код: Выделить всё

/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
)
С PF всё работает хорошо но как писал он меня не устраивает, мне надо firewall вот и
Прошу помощи у вас.

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-12 13:26:03

qtolikq писал(а):
skeletor писал(а):
qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.

Ну извините, может не так растолковал, попробую по другому мне надо настроить firewall так как настроен PF вот здесь вот пример его
(

Код: Выделить всё

/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
)
С PF всё работает хорошо но как писал он меня не устраивает, мне надо firewall вот и
Прошу помощи у вас.
Если проста говорить то мне надо чтоб на одном сетевом адаптере был и интернет и VPN и через vpn мог выходить в сеть.

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение skeletor » 2011-04-12 13:42:58

qtolikq писал(а):

Код: Выделить всё

/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
Если с таким конфигом всё работает, то на ipfw это будет выглядеть вот так:

Код: Выделить всё

ipfw add 1 allow all from any to any
ну и вообще для уверенности добавить такое:

Код: Выделить всё

ipfw add 2 allow gre from any to any
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-12 18:15:55

skeletor писал(а):
qtolikq писал(а):

Код: Выделить всё

/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
Если с таким конфигом всё работает, то на ipfw это будет выглядеть вот так:

Код: Выделить всё

ipfw add 1 allow all from any to any
ну и вообще для уверенности добавить такое:

Код: Выделить всё

ipfw add 2 allow gre from any to any
qtolikq писал(а):Спасибо конечно за то что откликнулись но такое я уже пробовал посмотрите в мой конфиг firewall и увидите тоже самое, сейчас опять пробовал перекомпилировать ядро под PF всё работает и соединяется и во внешку пускает потом поставил firewall и опять тоже самое как же это дело настроить.

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение skeletor » 2011-04-13 14:43:25

Ну тогда давайте вывод

Код: Выделить всё

ipfw show
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-13 16:55:12

skeletor писал(а):Ну тогда давайте вывод

Код: Выделить всё

ipfw show
qtolikq писал(а):Хорошо вот.

Код: Выделить всё

 
root# ipfw show
00001 14819 2484728 allow ip from any to any
00002     0       0 allow gre from any to any
65535     0       0 allow ip from any to any
root#

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение skeletor » 2011-04-13 17:17:25

Есть несколько вопросов:
1) Вы используете файервол ipf ? Если да, то зачем вам тогда ещё и ipfw. Если нет, тогда зачем эта строка в ядре

Код: Выделить всё

options         IPFILTER
?
2) Вы используете Netgraph? Если да, то где именно? Если нет, тогда зачем вам эти строки в ядре?

Код: Выделить всё

#NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI
3) Как можно получить правило только 1 правило с номером 65535

Код: Выделить всё

65535     0       0 allow ip from any to any
при сборке ядра без опции

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT
4) Как natd может использовать синтаксис от ipf? А точнее ipnat'a.
5)

Код: Выделить всё

mpd_flags="-b"
---------------- эта строка необязательна, эта опция по дефолту стоит.
6) у тебя только 1 сетевуха, без вланов и ты ёё пытаешься натить. Зачем? Просто капец.
Вообщем у тебя каша: несколько файерволов, NAT-вообще не работает. Как вообще в такой конфигурации что-то работает
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-13 18:33:40

skeletor писал(а):Есть несколько вопросов:
1) Вы используете файервол ipf ? Если да, то зачем вам тогда ещё и ipfw. Если нет, тогда зачем эта строка в ядре

Код: Выделить всё

options         IPFILTER
?
2) Вы используете Netgraph? Если да, то где именно? Если нет, тогда зачем вам эти строки в ядре?

Код: Выделить всё

#NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI
3) Как можно получить правило только 1 правило с номером 65535

Код: Выделить всё

65535     0       0 allow ip from any to any
при сборке ядра без опции

Код: Выделить всё

options         IPFIREWALL_DEFAULT_TO_ACCEPT
4) Как natd может использовать синтаксис от ipf? А точнее ipnat'a.
5)

Код: Выделить всё

mpd_flags="-b"
---------------- эта строка необязательна, эта опция по дефолту стоит.
6) у тебя только 1 сетевуха, без вланов и ты ёё пытаешься натить. Зачем? Просто капец.
Вообщем у тебя каша: несколько файерволов, NAT-вообще не работает. Как вообще в такой конфигурации что-то работает

qtolikq писал(а): Насчет ядра я уже понял, что много лишнего, а насчет MPD5 он мне нужен для соединение по vpn а насчет одной сетевой карты как еще мне дата центре толка один канал 100mb дают и мне через него надо и получать и отправлять и в том числе и vpn для получение интернета внешнего трафика через сервер. Сейчас у меня вот как ядро собрано но также на PF все ок а на firewall не идёт. Вот все конфиги.

Код: Выделить всё

#FIREWALL
options         IPFIREWALL   
options         IPFIREWALL_VERBOSE      
options         IPFIREWALL_VERBOSE_LIMIT=100  
options         IPFIREWALL_NAT        
options         DUMMYNET 
options         LIBALIAS


#NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TTY
options         NETGRAPH_UI


rc.conf
defaultrouter="192.168.1.1"
hostname="qis.kz"
ifconfig_re0="inet 192.168.1.90  netmask 255.255.255.0"
keymap="ru.koi8-r"
sshd_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
mpd_flags="-b"
gateway_enable="YES"      
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"

rc.firewall
#!/bin/sh
ipfw add 1 allow all from any to any
ipfw add 2 allow gre from any to any
 
вот и все вроде ну в чем собака зарыта не пойму что на pf работает а на firewall нет.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение terminus » 2011-04-13 20:05:55

Код: Выделить всё

kldload alias_pptp.ko
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

qtolikq
рядовой
Сообщения: 14
Зарегистрирован: 2011-03-21 11:32:47

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение qtolikq » 2011-04-13 22:21:42

terminus писал(а):

Код: Выделить всё

kldload alias_pptp.ko
По моему это уже у меня прописано я ядре NETGRAPH_PPTPGRE если я не ошибаюсь и если я пропишу его то получится ошибка и черт не сможет загрузится.

терминус_
проходил мимо

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение терминус_ » 2011-04-14 10:15:36

это команда которую надо запустить от рута. она запускает модуль libalias для ipfw nat / ng_nat

Аватара пользователя
skeletor
майор
Сообщения: 2464
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Помогите настроить FreeBSD + firewall + nat

Непрочитанное сообщение skeletor » 2011-04-14 10:38:53

2qtolikq Тебе нравится делать большой оверквоттинг? Ты не ответил на мои вопросы :)
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"