MPD5.3 & NAT

[Blacking]

Сделал какты посоветовал
маршруты прописались все замечательно:

Код: Выделить всё

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            77.106.95.204      UGS         0       59    ng0
62.64.24.0/24      79.136.188.129     UGS         0        0    re0
62.68.128.0/19     79.136.188.129     UGS         0        2    re0
77.106.64.0/18     79.136.188.129     UGS         0     4623    re0
77.106.95.204      109.124.9.69       UH          1        0    ng0
77.235.211.192/29  79.136.188.129     UGS         0        0    re0
77.245.160.0/20    79.136.188.129     UGS         0        8    re0
78.136.192.0/18    79.136.188.129     UGS         0        0    re0
78.139.192.0/18    79.136.188.129     UGS         0       12    re0
78.140.0.0/18      192.168.1.2        UGS         0        5    em0
79.122.222.0/23    79.136.188.129     UGS         0        0    re0
79.136.128.0/17    79.136.188.129     UGS         0      218    re0
79.136.188.128/25  link#2             UC          0        0    re0
79.136.188.129     00:16:46:4b:b8:c0  UHLW      101        0    re0   1200
79.175.39.0/25     79.136.188.129     UGS         0        0    re0
80.72.208.0/20     79.136.188.129     UGS         0        0    re0
80.89.133.32/27    79.136.188.129     UGS         0        0    re0
80.89.135.0/24     79.136.188.129     UGS         0        0    re0
81.1.229.72/29     79.136.188.129     UGS         0        0    re0
81.1.229.96/27     79.136.188.129     UGS         0        0    re0
81.1.229.128/25    79.136.188.129     UGS         0        0    re0
81.1.232.0/24      79.136.188.129     UGS         0        0    re0
82.117.64.0/19     79.136.188.129     UGS         0        2    re0
82.117.160.0/19    79.136.188.129     UGS         0        8    re0
82.200.4.0/24      79.136.188.129     UGS         0        0    re0
82.200.5.0/27      79.136.188.129     UGS         0        0    re0
82.200.17.0/24     79.136.188.129     UGS         0        0    re0
82.200.24.0/26     79.136.188.129     UGS         0        0    re0
82.200.70.0/23     79.136.188.129     UGS         0       34    re0
82.200.73.0/24     79.136.188.129     UGS         0        0    re0
82.200.74.0/24     79.136.188.129     UGS         0        0    re0
82.200.75.0/24     79.136.188.129     UGS         0        0    re0
82.200.76.0/24     79.136.188.129     UGS         0        0    re0
82.200.77.0/24     79.136.188.129     UGS         0        0    re0
82.200.78.0/24     79.136.188.129     UGS         0        0    re0
82.200.102.0/23    79.136.188.129     UGS         0        0    re0
82.200.110.0/23    79.136.188.129     UGS         0        0    re0
82.200.112.0/28    79.136.188.129     UGS         0        0    re0
82.200.114.0/27    79.136.188.129     UGS         0        0    re0
82.200.114.160/27  79.136.188.129     UGS         0        0    re0
82.200.122.0/24    79.136.188.129     UGS         0        0    re0
82.200.123.0/24    79.136.188.129     UGS         0        0    re0
83.172.0.0/18      79.136.188.129     UGS         0       22    re0
83.229.232.0/22    79.136.188.129     UGS         0        0    re0
83.229.245.0/24    79.136.188.129     UGS         0        0    re0
84.237.0.0/20      79.136.188.129     UGS         0        0    re0
85.143.64.0/20     79.136.188.129     UGS         0       41    re0
85.143.80.0/21     79.136.188.129     UGS         0        2    re0
88.204.0.0/17      192.168.1.2        UGS         0      158    em0
90.188.64.0/19     79.136.188.129     UGS         0       13    re0
90.188.96.0/20     79.136.188.129     UGS         0       56    re0
90.188.112.0/21    79.136.188.129     UGS         0        0    re0
91.193.88.0/23     79.136.188.129     UGS         0        0    re0
91.210.72.0/22     79.136.188.129     UGS         0        0    re0
91.210.184.0/22    79.136.188.129     UGS         0        0    re0
91.211.184.0/24    79.136.188.129     UGS         0        0    re0
91.211.185.0/24    79.136.188.129     UGS         0        2    re0
91.211.186.0/24    79.136.188.129     UGS         0        0    re0
91.211.187.0/24    79.136.188.129     UGS         0        0    re0
91.211.236.0/22    79.136.188.129     UGS         0       66    re0
92.50.240.0/24     79.136.188.129     UGS         0        0    re0
92.63.64.0/20      79.136.188.129     UGS         0       42    re0
92.125.0.0/19      79.136.188.129     UGS         0        0    re0
92.126.224.0/19    79.136.188.129     UGS         0        2    re0
92.243.96.0/19     79.136.188.129     UGS         0     8209    re0
93.91.165.0/24     79.136.188.129     UGS         0        0    re0
93.91.166.0/24     79.136.188.129     UGS         0        0    re0
93.91.168.0/23     79.136.188.129     UGS         0        2    re0
94.28.4.0/23       79.136.188.129     UGS         0        0    re0
94.251.9.0/24      79.136.188.129     UGS         0        0    re0
94.251.10.0/23     79.136.188.129     UGS         0        0    re0
94.251.92.0/24     79.136.188.129     UGS         0        0    re0
95.170.96.0/19     79.136.188.129     UGS         0       37    re0
95.170.136.0/23    79.136.188.129     UGS         0        0    re0
95.170.138.0/23    79.136.188.129     UGS         0      126    re0
95.170.144.0/23    79.136.188.129     UGS         0        0    re0
95.170.146.0/24    79.136.188.129     UGS         0        0    re0
95.174.192.0/19    79.136.188.129     UGS         0     7191    re0
95.191.0.0/20      79.136.188.129     UGS         0      164    re0
95.191.16.0/20     79.136.188.129     UGS         0      288    re0
95.191.32.0/20     79.136.188.129     UGS         0      141    re0
95.191.48.0/20     79.136.188.129     UGS         0      207    re0
109.123.128.0/18   79.136.188.129     UGS         0      289    re0
109.124.0.0/18     79.136.188.129     UGS         0      254    re0
127.0.0.1          127.0.0.1          UH          0       32    lo0
188.65.16.0/22     79.136.188.129     UGS         0        0    re0
192.168.0.0/24     link#3             UC          0        0    re1
192.168.0.2        00:21:91:0c:72:04  UHLW        1    16344    re1   1192
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1       43    re1
192.168.1.0/24     link#1             UC          0        0    em0
192.168.1.2        00:19:5b:38:c2:bc  UHLW        3        0    em0    724
194.226.60.0/22    79.136.188.129     UGS         0        2    re0
195.93.186.0/23    79.136.188.129     UGS         0        0    re0
195.208.160.0/19   79.136.188.129     UGS         0        4    re0
212.73.124.0/22    79.136.188.129     UGS         0       33    re0
212.107.224.0/20   79.136.188.129     UGS         0        4    re0
212.107.240.0/22   79.136.188.129     UGS         0        0    re0
212.192.102.0/24   79.136.188.129     UGS         0        3    re0
212.192.112.0/20   79.136.188.129     UGS         0        0    re0
212.192.163.0/24   79.136.188.129     UGS         0        0    re0
213.183.96.0/19    79.136.188.129     UGS         0        0    re0
213.210.64.0/18    79.136.188.129     UGS         0        0    re0
213.228.87.5/32    79.136.188.129     UGS         0        0    re0
217.8.224.80/28    79.136.188.129     UGS         0        0    re0
217.8.237.112/28   79.136.188.129     UGS         0        0    re0
217.18.128.0/19    79.136.188.129     UGS         0        0    re0
217.29.80.0/20     79.136.188.129     UGS         0        0    re0
217.70.106.24/32   79.136.188.129     UGS         0        0    re0
217.70.106.29/32   79.136.188.129     UGS         0        0    re0
217.79.56.0/24     79.136.188.129     UGS         0        0    re0
217.79.57.0/24     79.136.188.129     UGS         0        0    re0
217.106.147.0/28   79.136.188.129     UGS         0        0    re0

VPN поднялся

Код: Выделить всё

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1460
        inet 109.124.9.69 --> 77.106.95.204 netmask 0xffffffff

но пинг не идет например на яндекс, как на серваке так и на клиентах... ну для клиентов я так понимаю надо будет нат...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[GRooVE]

копай в сторону фаера / ната
и юзай ядерный нат

[Blacking]

вот мой конфиг фаера...

Код: Выделить всё

$ ipfw show
00100     0        0 check-state
00200    24     1586 allow ip from any to any via lo0
00300     0        0 deny ip from any to 127.0.0.0/8
00400     0        0 deny ip from 127.0.0.0/8 to any
00500     0        0 deny ip from any to 10.0.0.0/8 in via re0
00600     0        0 deny ip from any to 172.16.0.0/12 in via re0
00700     0        0 deny ip from any to 192.168.0.0/16 in via re0
00800     0        0 deny ip from any to 0.0.0.0/8 in via re0
00900     0        0 deny ip from any to 169.254.0.0/16 in via re0
01000    14     1170 deny ip from any to 240.0.0.0/4 in via re0
01100     0        0 deny icmp from any to any frag
01200     0        0 deny icmp from any to 255.255.255.255 in via re0
01300     0        0 deny icmp from any to 255.255.255.255 out via re0
01400 10635  8959599 divert 8668 ip from any to any via re0
01500     0        0 deny ip from 10.0.0.0/8 to any out via re0
01600     0        0 deny ip from 172.16.0.0/12 to any out via re0
01700     0        0 deny ip from 192.168.0.0/16 to any out via re0
01800     0        0 deny ip from 0.0.0.0/8 to any out via re0
01900     0        0 deny ip from 224.0.0.0/4 to any out via re0
02000     0        0 deny ip from 240.0.0.0/4 to any out via re0
02100 18130 17709007 allow tcp from any to any established
02200   948    45499 allow ip from 79.136.188.240 to any out xmit re0
02300    46     7331 allow udp from any 53 to any via re0
02400    16     1216 allow udp from any to any dst-port 123 via re0
02500     0        0 allow tcp from any to 79.136.188.240 dst-port 21 via re0
02600     0        0 allow tcp from any to 79.136.188.240 dst-port 49152-65535 via re0
02700   909    55588 allow icmp from any to any icmptypes 0,8,11
02800     0        0 allow tcp from any to 79.136.188.240 dst-port 80 via re0
02900     0        0 allow tcp from any to 79.136.188.240 dst-port 22 via re0
03000     0        0 allow tcp from any to 79.136.188.240 dst-port 1723 via re0
03100   563    62382 allow gre from any to any
03200   186     9456 allow tcp from any to any via re1
03300   146    14572 allow udp from any to any via re1
03400     9      572 allow icmp from any to any via re1
03500   699    50354 deny log logamount 100 ip from any to any
65535     0        0 deny ip from any to any

пинг до яндекса идет, но страница на серваке не открывается пробую lynx

PS: а с ядерным натом собираюсь разобраться как раз после того как настрою себе сеть, что бы доступ был ко всему инету...

[GRooVE]

вы для начала разберитесь как работает фаервол
советую для начала сделать просто:

Код: Выделить всё

ipfw -f flush
ipfw nat 1 config if rl0 reset same_ports
ipfw add nat 1 all from any to any via rl0
ipfw nat 2 config if ng0 reset same_ports
ipfw add nat 2 all from any to any via ng0
ipfw add allow all from any to any

и вот когда уже заставите всю систему работать, вот только после этого занимайтесь "наращиванием" правил в фаерволе и уже по мере наращивания смотрите какое правило как себя проявляет

[Blacking]

Сделал как Вы мне написали, в итоге получил при пинге до яндекса с сервера

Код: Выделить всё

$ ping ya.ru
PING ya.ru (213.180.204.8): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

Клиенты соответственно тоже в пролете..

А нат на ng0 должен в ipfw прописываться после поднятия самого ng0 или разница не принципиальна?

[GRooVE]

в ядре

Код: Выделить всё

IPFIREWALL_NAT

присутствует?

[GRooVE]

А нат на ng0 должен в ipfw прописываться после поднятия самого ng0 или разница не принципиальна?

уберите все, что связано с natd, он в данном случае не нужен

[Blacking]

в ядре

Код: Выделить всё

IPFIREWALL_NAT

присутствует?

Да

А нат на ng0 должен в ipfw прописываться после поднятия самого ng0 или разница не принципиальна?

уберите все, что связано с natd, он в данном случае не нужен

Я имею в виду правило со вторым ядровым натом без разницы когда пропишется до или после поднятия vpn
а натд убрал везде

[GRooVE]

Я имею в виду правило со вторым ядровым натом без разницы когда пропишется до или после поднятия vpn
а натд убрал везде

для ipfw - без разницы

[Blacking]

может есть еще какие идеи по этому поводу, а то я что то в тупике

[GRooVE]

покажи вывод

Код: Выделить всё

ipfw show

[Blacking]

Код: Выделить всё

$ ipfw show
00100      0         0 check-state
00200 169175 139897673 nat 1 ip from any to any via re0
00300    720     62357 nat 2 ip from any to any via ng0
00400 415155 304473154 allow ip from any to any
65535      0         0 deny ip from any to any

[GRooVE]

re0, надеюсь, локалка провайдера?

[Blacking]

re0 провайдер, белые IP, эти подсети у меня прописаны были в route.sh ныне в rc.local
остальные сети доступны по VPN

[GRooVE]

check-state уберите

[Blacking]

ничего не поменялось

Код: Выделить всё

 ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

[GRooVE]

рабочий конфиг:

Код: Выделить всё

fwcmd="/sbin/ipfw"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

    oif="ng0"
    iif="re0"
    users_lan="fxp0" 
    users_ip="10.10.1.1/28"

${fwcmd} nat 1 config if ${oif} reset same_ports
${fwcmd} add nat 1 all from any to any via ${oif}

${fwcmd} nat 2 config if ${iif} reset same_ports
${fwcmd} add nat 2 all from any to any via ${iif}

${fwcmd} add allow all from ${users_ip} to any in via ${users_lan} keep-state

${fwcmd} add allow ip from me to any
${fwcmd} add deny log all from any to any

[Blacking]

подстроил под себя

Код: Выделить всё

$ ipfw show
00100    56     4395 nat 1 ip from any to any via ng0
00200  1094   183870 nat 2 ip from any to any via re0
00300 14180 13531978 allow ip from 192.168.0.0/24 to any in via re1 keep-state
00400    23     1792 allow ip from me to any
00500   167    12679 deny log logamount 100 ip from any to any
65535     0        0 deny ip from any to any

в результате изменений нет

[GRooVE]

покажите что в ядро вкомпилено

[Blacking]

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         IPDIVERT
options         DUMMYNET
options         HZ="1000"

[GRooVE]

Код: Выделить всё

# sysctl net.inet.ip.fw.one_pass=1
# cat /etc/sysctl.conf | grep -v "^#"

[GRooVE]

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         IPDIVERT
options         DUMMYNET
options         HZ="1000"

а где netgraph?

Код: Выделить всё

# cat SERVER | grep NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TTY
options         NETGRAPH_UI

[Blacking]

Код: Выделить всё

$ sysctl net.inet.ip.fw.one_pass=1
net.inet.ip.fw.one_pass: 1 -> 1
$ cat /etc/sysctl.conf | grep -v "^#"
$

[Blacking]

а где netgraph?

Код: Выделить всё

# cat SERVER | grep NETGRAPH
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TTY
options         NETGRAPH_UI

а вот этого нету.... буду компилить значитююю

[Blacking]

перекомпилил ядро и все равно ничего не изменилось

Код: Выделить всё

ping ya.ru
PING ya.ru (213.180.204.8): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied