[Solved] Пользователь обходит pipe, как его поймать.

[Гость]

либо бардак в результатах (с)
либо нужен ребут сервер
и чистые даные с начала

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FilosofBeer]

Прокся
http://ru.wikipedia.org/wiki/Squid
Одно время развлекался, всех на прокси, а себя родимого через NAT, чтоб никто не видел.
Я бы так обошёл ограничение, на компе table 2 add 10.1.1.15/32 5 сделал бы нат и ходил,
единственная проблема доступ к этому компу.

Ясно. Нет проски нет, т.к. задумано всё для все поровну, ну или примерно поровну, и у всех одинаково. Одинаково сделано еще для того что бы сам видел что все работает, и ходишь в инет как все остальные.
Чистый ipfw+nat, ну и еще ДСН установлен. больше на серваке ничего нету.
Комп 10.1.1.15 это не мой, мой ИП 10.1.1.14, это видно из листингов выше, а ИП 10.1.1.15 это комп жены.

либо бардак в результатах (с)
либо нужен ребут сервер
и чистые даные с начала

А бардак как может получиться ? ребут делал уже неоднакратно, у всех пользователей инета нервы стали пошаливать.
И даже отключал электричество на 5 мин.

[BirdGovorun]

Просто интересно!
Покажи /etc/rc.conf
P.S.
из мана IPFW+NAT
правила deny, reject должны стоять выше правил allow,pass,permit

[FilosofBeer]

Просто интересно!
Покажи /etc/rc.conf

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
mousechar_start="3"
defaultrouter="192.168.1.1"
hostname="Free"
gateway_enable="YES"

setfib1_enable="YES"
setfib1_defaultroute="192.168.2.1"


ifconfig_vr0="inet 10.1.1.252 netmask 255.255.255.0"
ifconfig_vr1="inet 192.168.1.3 netmask 255.255.255.0"
ifconfig_vr2="inet 192.168.2.3 netmask 255.255.255.0"
sshd_enable="YES"
firewall_enable="YES"
sendmail_enable="NONE"
firewall_type="/etc/firewall"
devfs_set_rulesets="/usr/local/etc/unbound/dev=unbound_ruleset"
unbound_enable="YES"

Раньше было две сетевки, все работа без проблем пол года, щас добавил вторую.
И еще сервак стал зависать, всегда через разные промежутки времени. А всю ночь до примерно 12 часов дня проработал нормально, а потом завис, потом в 17-03 завис, и теперь в 17-26 завис.

[BirdGovorun]

firewall_type="/etc/firewall"
не может быть файлом. Обычно фаервол-тип это CLIENT или OPEN или SIMPLE
или на вкус и цвет другие имена. Это имя распознается в скрипте /etc/firewall
А уже скрипт фаервола можно указать в опции firewall_script="/etc/firewall"
Вот как-то так.

[terminus]

у него все правильно в ipfw.

Атвичаю

[FilosofBeer]

из мана IPFW+NAT
правила deny, reject должны стоять выше правил allow,pass,permit

Как это применимо к моему случаю ? Вывод firewall есть выше.

....
А уже скрипт фаервола можно указать в опции firewall_script="/etc/firewall"
......

Хорошо , щас исправлю, проверить ничто не мешает, хотя во многих источниках инфы гугла видел обратное.
И это работает уже пол года.

у него все правильно в ipfw.

Ну для интереса проверю щас.

[BirdGovorun]

add 1000 allow ip from table(1) to any via vr0
add 1001 allow ip from any to table(1) via vr0
add 1005 allow ip from table(2) to any via vr0
add 1006 allow ip from any to table(2) via vr0
add 1040 deny ip from any to any via vr0

В этом случае deny не работает, надо поставить выше этих правил, если не ошибаюсь.

[iye]

Cрабатывать разрешающие правила будут только если ип есть в таблице .. иначе дроп.

[FilosofBeer]

У него net.inet.ip.fw.one_pass=0, что как бэ говорит нам что пакет будет чапать до конца, а не срабатывать по первому правилу и вылетать. И срабатывать разрешающие правила будут только если ип есть в таблице .. иначе дроп.

Совершенно верно, и если ИП нет в таблице, то даже пинги на сервер не идут.

[FilosofBeer]

заменил

firewall_type="/etc/firewall"

на

firewall_script="/etc/firewall"

и ничего не стало работать.
Пришлось доставать клаву и монитор, блин, они в пыли все, я весь испачкался. Такие эксперементы мне неподуше.

[iye]

У топикстартера проблема не в том что что-то не ходит, а в том что ходит что-то через как-то )
Советую посмотреть еще вот тут примеры: http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
По-моему дофига лишнего в вашем конфиге.

[FilosofBeer]

У топикстартера проблема не в том что что-то не ходит, а в том что ходит что-то через как-то )

Тоже совершенно верно, и мы даже знаем кто ходит, это ИП 153 из второй таблицы, но вот только никто не знает как он это делает.

[FilosofBeer]

Советую посмотреть еще вот тут примеры: http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
По-моему дофига лишнего в вашем конфиге.

Спасибо за совет.
Но у меня все просто. Заходят только избранные, ходят через указанные выходы, и получают инфу по указанному ограничению. Всё даже очень просто.
А на лишнее можете указать, и мы это обсудим и проверим.

[iye]

Я имею ввиду многовасто разрешений. Вы один раз ограничили таблицами - и харе. Зачем еще после ната писать мешок аллоу ?

[FilosofBeer]

А без них не работает тогда. Проверено.
У кого есть ещё мысли, как выловить пользователя безлимитного инета с ИП 153 ?

[FilosofBeer]

Уважаемые госпада.
Я провел эксперемент. Отключил ИП 153 от сети, прописал себе ИП 153, и проверил работу.
Всё заработало, ИП 153 появился в трубе.
Щас придётся идти в гости к пользователю.
Или надо найти способ вылавливать пакеты ИП 153 на серваке, и смотреть их куда и как они проходят. Это реально возможно ?

[terminus]

Было бы презабавно узнать, что же у него было в настройках TCP/IP и Proxy!

[terminus]

короче он использует какой-то другой выход в инте, а у вас использует только DNS.

===

Ха! у него Wi-Fi через соседей!

[FilosofBeer]

короче он использует какой-то другой выход в инте, а у вас использует только DNS.

===

Ха! у него Wi-Fi через соседей!

Если это подтвердится, это будет бомба. Я уже три дня его вылавливаю. Щас он появиться в чате, пойду к нему, смотреть буду комп.
Хотя я видел его скрин сетевых настроек, там все верно было прописано.
И раньше, примерно недели 2 назад, все было нормально, потом был какой то сбой сети, или глюк, или хер его знает что, и после ребута сервака, его нестало видно в трубе.

[terminus]

пусть этот партизан тебе в чат пошлет вывод команд

Код: Выделить всё

ipconfig /all

Код: Выделить всё

tracert -d www.mail.ru

ходить никуда ненана будет.

[FilosofBeer]

Так вот всё и выяснилось, как было сказано выше:

короче он использует какой-то другой выход в инте, а у вас использует только DNS.

Если я ему отключаю инет, то пропадает ДНС, без которого пропадает инет. Если включаю инет, то он пользуется только ДНС, а инет пользует через другой сервак, не мой.
Это просто бомба. И причем это может проделать любой пользователь из таблицы, т.к. тот другой сервак почему то пропускает в инет незнакомых.
Смотрите приложения.

[RAGNAR]

ты теперь узнай как это он реализовал? очень интересно ))