Старт PF при загрузке

[tf7]

FreeBSD 6.2.

Пересобрал кернел с такими опциями. Про ipfw убрал все

Код: Выделить всё

device pf
device pflog
device pfsync
options         ALTQ
options         ALTQ_CBQ        
options         ALTQ_RED       
options         ALTQ_RIO       
options         ALTQ_HFSC   
options         ALTQ_PRIQ     

Прописал все что нужно в pf.conf, но проблема в том не стартует PF у меня при загрузке
В rc.conf такие опции

Код: Выделить всё

pf_enable="YES"          
pf_rules="/etc/pf.conf"  
pf_program="/sbin/pfctl"      
pflog_enable="YES"   
pflog_logfile="/var/log/pflog"  
pflog_program="/sbin/pflogd" 

Если запускать в консоли

Код: Выделить всё

pfctl -e -f /etc/pf.conf

или

Код: Выделить всё

/etc/rc.d/pf start

все стартует без проблем.
Может кто встречался. Куда копать

спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

стрянно стрянно
а полный rc.conf как выглядит?

[freeman]

Ну 1.
имхо хватит и

Код: Выделить всё

pf_enable="YES"          
pf_rules="/etc/pf.conf"  
pflog_enable="YES"   
pflog_logfile="/var/log/pflog"  

2. в правилах если есть доменные имена, а не чистые ip то резольвер может не отрабатывать, об этом при загрузке должно предупреждать, как впрочем и о просто старте, давай смотри/показывай чтотам пишет у тебя то ..
cat /var/log/messages | grep pf например

[tf7]

Всем спасибо. Разобрался я уже. Весь бубен разбил

проблема была вот в этой строчке в pf.conf

Код: Выделить всё

set loginterface $ext_if

а $ext_if="ng0" это у меня vpn-pptp через mpd который просто не успевал создаваться.

в логах была полная тишина.
пришлось подключать монитор и смотреть на что там ругается.
Ругался вот так:

Код: Выделить всё

pfctl:DIOCSETSTATUSIF

может есть способ как посмотреть весь лог загрузки без подключения монитора?
а то dmesg какой-то совсем короткий.

[freeman]

может есть способ как посмотреть весь лог загрузки без подключения монитора?
а то dmesg какой-то совсем короткий.

Думаю что есть - читать посты в собственной теме -

cat /var/log/messages | grep pf например

[schizoid]

#man dmesg
dmesg [-a] [-M core [-N system]]
...
-a Show all data in the message buffer. This includes any syslog
records and /dev/console output.
...

[freeman]

Как man читать то оказывается полезно
А я /var/log/messages и пр. логи высматриваю если что, а тут всё в одном месте

[schizoid]

а можно еще all.log заюзать....

[Reason]

здравствуйте уважаемые гуру мира FreeBSD. объясните пожалуйста что я делаю не так (я новичок)?
есть задача собрать 2 сервера, один ДХЦП (реализовал) который раздавал бы ип адреса 41влану.
и 2й сервер который раздавал бы всем инет. Вот тут у меня и проблема. настроил natd вроди нормально. по крайней мере без вланов работал. теперь мучаюсь с pf.conf при старте всё время пишет

Код: Выделить всё

[root@voshod ~]# pfctl -e -f  /etc/pf.conf
pfctl: DIOCSETSTATUSIF

pf.conf

Код: Выделить всё

set loginterface tun0
wan="tun0"
lan="10.100.0.0/24"
nat on $wan from vlan1 to any -> ($wan)
nat on $wan from vlan2 to any -> ($wan)
nat on $wan from vlan3 to any -> ($wan)
nat on $wan from vlan4 to any -> ($wan)
nat on $wan from vlan5 to any -> ($wan)
nat on $wan from vlan6 to any -> ($wan)
nat on $wan from vlan7 to any -> ($wan)
nat on $wan from vlan8 to any -> ($wan)
nat on $wan from vlan9 to any -> ($wan)
nat on $wan from vlan10 to any -> ($wan)
nat on $wan from vlan11 to any -> ($wan)
nat on $wan from vlan12 to any -> ($wan)
nat on $wan from vlan13 to any -> ($wan)
nat on $wan from vlan14 to any -> ($wan)
....
nat on $wan from vlan40 to any -> ($wan)
nat on $wan from vlan90 to any -> ($wan)

set skip on lo0
set skip on {vlan1, vlan2, vlan3, vlan4, vlan5, vlan6, vlan7, vlan8, vlan9, ... , vlan90}

Уже всё открываю, и всё равно не хочит ничего никак работать.
rc.conf

Код: Выделить всё

gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
natd_program="/sbin/natd"
#
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags="-f /etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
pflog_program="/sbin/pflogd"
pflog_flags=""
pfsync_enable="NO"
pfsync_syncdev=""
pfsync_ifconfig=""

в ядре

Код: Выделить всё

device pf
device pflog
device pfsync
options         ALTQ
options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
options         ALTQ_RED        # Random Early Detection (RED)
options         ALTQ_RIO        # RED In/Out
options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
options         ALTQ_NOPCC      # Required for SMP build

Очень надеюсь на вашу помощь.

[---nebo---]

1. Reason, если Вы используете PF, то натить он может и сам(правила Вы ведь сами прописали) и ему не нужен дополнительный демон NATинга.
Тоесть закоментируйте

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
natd_program="/sbin/natd"

2. Вы не написали как именно хотите раздавать интернет. Если две сетевухе, проверте чтобы

Код: Выделить всё

#sysctl -a | grep net.inet.ip.forwarding
net.inet.ip.forwarding: 1

для этого(естественно если это не так)
/etc/rc.conf

Код: Выделить всё

gateway_enable="YES"

или
/etc/sysctl.conf

Код: Выделить всё

net.inet.ip.forwarding=1

3. Проверте синтаксис

Код: Выделить всё

# pfctl -nf /etc/pf.conf

4. Покажите вывод

Код: Выделить всё

#ifconfig -a
#cat /etc/rc.conf
#cat /etc/pf.conf 

конфиги полностью, это облегчит поиск проблемы
P.S. детализированей сформулируйте чё у вас и как + требования

[Reason]

спасибо за столь ценную подсказку) , но натд мне нужен для того чтобы выдавать внешние (белые) ипы...

Код: Выделить всё

если Вы используете PF, то натить он может и сам

inet должен с одного интерфейса rl0 подаваться на интерфейс rl1. который в свою очередь раздаст его пользователям в равных долях.

Естественно я добавил в rc.conf строки

Код: Выделить всё

 gateway_enable="YES" 

Синтаксис # pfctl -nf /etc/pf.conf это просто банальный переход на новую строку, если не понятно. то выглядит так:

Код: Выделить всё

#pfctl -nf /etc/pf.conf
#

К сожалению остальную информацию смогу дать только в понедельник... Ибо сервер находится на работе...

самая точная формулировка того что мне надо... мне надо помочь в настройке PF, потому что сам я не справляюсь с этим... надеюсь, что благодаря вам начну понимать принципы его настройки. Надо пустить inet по VLAN. и ограничить доступ от внешнего вторжения в локальную сеть.

[Reason]

Более детально. устроился на работу в небольшую компанию. которая предоставляет услуги инет провайдера. До меня всё было реализовано на Win ser 2003. был 1 пул. по нормальному никто не захотел делать. и потому разные компании ставили себе не марши, а свитчи, в следствии чего стали видны друг другу. реальный выход из этой ситуации это разделение сети на VLAN, и помещение в каждый влан одну организацию. всё работает, кроме инета. Ранее инет раздавался по средством FreeBSD, как только я прописываю на нём вланы. инет не раздаётся.

З.Ы. возможно у меня хреново с формулировкой, но надеюсь что вы меня поняли.

[zingel]

ставили себе не марши, а свитчи,

а какие ?

p.s. просто если железки нормальные то сеть можно раздавать и без серверов, нужен только будет учет трафика

[Reason]

Хрень всякая рублей за 400 не рули...

[Reason]

У меня D-Link DES-3550

[zingel]

не, лучше тогда freebsd конечно

[---nebo---]

Более детально. устроился на работу в небольшую компанию. которая предоставляет услуги инет провайдера. До меня всё было реализовано на Win ser 2003. был 1 пул. по нормальному никто не захотел делать. и потому разные компании ставили себе не марши, а свитчи, в следствии чего стали видны друг другу. реальный выход из этой ситуации это разделение сети на VLAN, и помещение в каждый влан одну организацию. всё работает, кроме инета. Ранее инет раздавался по средством FreeBSD, как только я прописываю на нём вланы. инет не раздаётся.

З.Ы. возможно у меня хреново с формулировкой, но надеюсь что вы меня поняли.

на всякий случай

Код: Выделить всё

http://subnets.ru/blog/?p=70
http://subnets.ru/blog/?p=198

для реализации вашей схемы нужно, чтобы вы подключили switch КАЖДОЙ компании в ВАШ switch в ACCESS порт, а уже ВАШ свитч подключили транком к FreeBSD(посмотрите ссылки). Тогда для каждой компании будет свое адресное пространство(своя подсеть) и все будут ходить в нет через defaultrouter фряхи.

По поводу настройки PF

Код: Выделить всё

http://house.hcn-strela.ru/BSDCert/BSDA-course/apc.html

я все-таки недопонимаю ситуацию :

натд мне нужен для того чтобы выдавать внешние (белые) ипы...

inet должен с одного интерфейса rl0 подаваться на интерфейс rl1. который в свою очередь раздаст его пользователям в равных долях.

[Reason]

я все-таки недопонимаю ситуацию :

В сети появились компании которым надо смотреть во внешний инет со своего внешнего ипа, толи сервер у них там какой, то ли что... но диапазон вида 192.168.0.0/24 их не устраивает. А natd даёт возможность перенаправить все пакеты отправленные на этот внешний ип:

Код: Выделить всё

-redirect_address localIP publicIP

[Reason]

Что то мне кажется что я туплю... Не мудрено наверное, я просто чего то недопонимаю... Если есть варианты для реализации лучше чем у меня, то подскажите!

[Reason]

А НАТ без фаера будет работать? или фаера необходим для работы ната? Мне надо в понедельние уже запустить всю сеть, а фаер настроить чуть позже...

[---nebo---]

А НАТ без фаера будет работать? или фаера необходим для работы ната? Мне надо в понедельние уже запустить всю сеть, а фаер настроить чуть позже...

в PF и IPFILTER он(НАТ) встроенный, а вот если на счет IPFW... Честно говоря никогдя даже не пытался заставить работать natd без ipfw.
Тут вам смотреть

Код: Выделить всё

http://www.lissyara.su/?id=1967

.

В сети появились компании которым надо смотреть во внешний инет со своего внешнего ипа, толи сервер у них там какой, то ли что... но диапазон вида 192.168.0.0/24 их не устраивает.

нужно разобраться нужен вам нат или маршрутизация, если клиенты хотят на тачках использовать реальные IP, тогда их нужно маршрутизировать. Я так понимаю вам выдан диапазон реальных ипов и некоторые вы даете клиентам, тогда для работы с реальными адресами нат вам не нужен.

Другое дело если те клиенты, которые нуждаются в реальных адресах, прописывают себе приватные, а уже на шлюзе происходит Static NAT,
эго 192.168.0.10 <-> 69.230.221.135 (например). И из мира тачка спокойно видна под 69.230.221.135 и из локалки под 192.168.0.10.

[Reason]

если клиенты хотят на тачках использовать реальные IP, тогда их нужно маршрутизировать. Я так понимаю вам выдан диапазон реальных ипов и некоторые вы даете клиентам, тогда для работы с реальными адресами нат вам не нужен

нами выкуплен диапазон из 8 ми реальных ипов, и надо выдать их абонентам, для того что бы они могли сидя дома спокойно VPNить на работу. это лучше маршрутизацией сделать. или НАТом ???

[Reason]

Другое дело если те клиенты, которые нуждаются в реальных адресах, прописывают себе приватные, а уже на шлюзе происходит Static NAT,
эго 192.168.0.10 <-> 69.230.221.135 (например). И из мира тачка спокойно видна под 69.230.221.135 и из локалки под 192.168.0.10

а если в сети им выдать диапазон 89.189.189.X/24 на интерфейс который смотрит во внешнюю среду прописать 89.189.189.X/48 и Static NAT... Или всё таки есть варианты проще????

[---nebo---]

а если в сети им выдать диапазон 89.189.189.X/24 на интерфейс который смотрит во внешнюю среду прописать 89.189.189.X/48 и Static NAT

это жесть какая-то , еслы вы дадите пользователям за натом реальные адреса(как в вашем примере), то вероятно вы заберете чьито IP и эти ресурсы для вас станут недоступны...короче будут неприятные моменты. Так ведь никно не делает, нат от для того и нужен что бы транслировать локальные в глобальные и наоборот.

нами выкуплен диапазон из 8 ми реальных ипов, и надо выдать их абонентам, для того что бы они могли сидя дома спокойно VPNить на работу. это лучше маршрутизацией сделать. или НАТом ???

Если у вас от вышестоящего провайдера кусок кабеля "на котором" 8 реальных адресов, то полюбому просто делать статический нат. И будет счастье вашем VPNщикам

Если же у вас для общения с провайдером отдельная подсеть, а эти 8 он вам дал для ВАШЕЙ внутренней подсети(и соответственно у провайдера настроено направления пакетов для этих адресов на ваш шлюз), тогда - статическая маршрутизация(или точнее тупо все засылать прову ).

Если бы вы еще простенький рисунок(топологию) наваяли, ваще просто было бы

[Cancer]

В конфиге pf есть переменная виртуальных интерфейсов ? типа от ОпенВПН итд итп....

Добавь { }

Код: Выделить всё

Правило..... -> {tun0}

У меня такое было, я разобрался в чем дело, советую прочитать документацию по pf
Да и тоже самое может быть если вы блочите не по IP адресу, а по ДНС записи.