MPD5.3 & NAT

[reLax]

Код: Выделить всё

ipfw add 1 allow icmp from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Blacking]

да спасибо, так же попробовал разрешить все в первом правиле, и на сервере заработало все как хотелось, теперь проблема передать все это клиентам

Код: Выделить всё

00001 61733 17171673 allow ip from any to any
00100   314    26192 nat 1 ip from any to any via ng0
00200 13795  4268370 nat 2 ip from any to any via re0
00300 30337  5782537 allow ip from 192.168.0.0/24 to any in via re1 keep-state
00400  2905   289432 allow ip from me to any
00500  5411   599786 allow ip from any to any
00600     0        0 deny log logamount 100 ip from any to any
65535     0        0 deny ip from any to any

[GRooVE]

Код: Выделить всё

ipfw add 1 allow icmp from any to any

00001 61733 17171673 allow ip from any to any

найди 5 отличий и скажи почему не так работает)

[Blacking]

да это я понял почему...
у меня теперь все это клиентам не передается, хотя нат то есть

Код: Выделить всё

00100   314    26192 nat 1 ip from any to any via ng0

[reLax]

да это я понял почему...
у меня теперь все это клиентам не передается, хотя нат то есть

Код: Выделить всё

00100   314    26192 nat 1 ip from any to any via ng0

Что неудивительно. Правило, которое указал товарищ Groove:

Код: Выделить всё

ipfw add 1 allow ip from any to any

при наличии NAT работать не будет

P.S. Я не зря выделил только icmp. Вопрос же в пингах был )))

[reLax]

man ipfw короче. У тебя пакет с такими правилами даже до NAT не дойдет. Он увидит первое правило allow ip from any to any - там и останется

[Blacking]

вопрос был не в пингах, а в неработе инете на клиентах через vpn подключение на серваке

а если убираем

Код: Выделить всё

ipfw add 1 allow ip from any to any

то на клиентах все равно не появляется ничего с VPN

[reLax]

* Пожаловаться на это сообщение
* Ответить с цитатой

Re: MPD5.3 & NAT

Сообщение Blacking » 12-11-2009 22:08
ничего не поменялось

Код: Выделить всё • Развернуть

ping ya.ru
PING ya.ru (77.88.21.: 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

Я что-то упустил насчет пингов ?

[reLax]

вопрос был не в пингах, а в неработе инете на клиентах через vpn подключение на серваке

а если убираем

Код: Выделить всё

ipfw add 1 allow ip from any to any

то на клиентах все равно не появляется ничего с VPN

ну что так сложно tcpdump запустить чтоли...

[Blacking]

так вот читаю про него... ниразу не пользовался, так что вот представь себе сложно...

[reLax]

Код: Выделить всё

tcpdump -neXvvvttti ng0

[Blacking]

вот что выдала сия команда

Код: Выделить всё

$ tcpdump -neXvvvttti ng0
tcpdump: listening on ng0, link-type NULL (BSD loopback), capture size 96 bytes
000000 AF IPv4 (2), length 94: (tos 0x0, ttl 118, id 26695, offset 0, flags [none], proto UDP (17), length 90) 84.211.120.126.12203 > 109.124.9.38.39757: [udp sum ok] UDP, length 62
        0x0000:  4500 005a 6847 0000 7611 9858 54d3 787e  E..ZhG..v..XT.x~
        0x0010:  6d7c 0926 2fab 9b4d 0046 8989 6431 3a61  m|.&/..M.F..d1:a
        0x0020:  6432 3a69 6432 303a 68ce 9e19 1640 0fad  d2:id20:h....@..
        0x0030:  e57b aa34 843d c8f6 319d ae6d 6531 3a71  .{.4.=..1..me1:q
        0x0040:  343a 7069 6e67 313a 7438 3ae5 6a14 d619  4:ping1:t8:.j...
        0x0050:  600e 9b31 3a79 313a 7165                 `..1:y1:qe
7. 110414 AF IPv4 (2), length 94: (tos 0x0, ttl 50, id 39386, offset 0, flags [none], proto UDP (17), length 90) 58.255.207.210.38213 > 109.124.9.38.33148: [udp sum ok] UDP, length 62
        0x0000:  4500 005a 99da 0000 3211 6d45 3aff cfd2  E..Z....2.mE:...
        0x0010:  6d7c 0926 9545 817c 0046 e3ff 6431 3a61  m|.&.E.|.F..d1:a
        0x0020:  6432 3a69 6432 303a 35f9 f401 1ddd 4f80  d2:id20:5.....O.
        0x0030:  a9ce 73e6 dc94 5847 4afb e3c6 6531 3a71  ..s...XGJ...e1:q
        0x0040:  343a 7069 6e67 313a 7438 3a79 2901 0001  4:ping1:t8:y)...
        0x0050:  0000 0031 3a79 313a 7165                 ...1:y1:qe
17. 556123 AF IPv4 (2), length 56: (tos 0x0, ttl 127, id 55340, offset 0, flags [DF], proto TCP (6), length 52) 109.124.4.184.4430 > 109.124.9.38.445: S, cksum 0x0730 (correct), 80832409:80832409(0) win 65535 <mss 1360,nop,wscale 1,nop,nop,sackOK>
        0x0000:  4500 0034 d82c 4000 7f06 3ac1 6d7c 04b8  E..4.,@...:.m|..
        0x0010:  6d7c 0926 114e 01bd 04d1 6799 0000 0000  m|.&.N....g.....
        0x0020:  8002 ffff 0730 0000 0204 0550 0103 0301  .....0.....P....
        0x0030:  0101 0402                                ....
3. 092324 AF IPv4 (2), length 56: (tos 0x0, ttl 127, id 55394, offset 0, flags [DF], proto TCP (6), length 52) 109.124.4.184.4430 > 109.124.9.38.445: S, cksum 0x0730 (correct), 80832409:80832409(0) win 65535 <mss 1360,nop,wscale 1,nop,nop,sackOK>
        0x0000:  4500 0034 d862 4000 7f06 3a8b 6d7c 04b8  E..4.b@...:.m|..
        0x0010:  6d7c 0926 114e 01bd 04d1 6799 0000 0000  m|.&.N....g.....
        0x0020:  8002 ffff 0730 0000 0204 0550 0103 0301  .....0.....P....
        0x0030:  0101 0402                                ....
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel

при этом пытался пинговать с клиента, правило

Код: Выделить всё

00001      3988      1521813 allow ip from any to any

отсутствовало!

[reLax]

Код: Выделить всё

# cat /etc/protocols | grep 47 

Не то ? Мне лично с mpd не приходилось сталкиваться (как и с ipfw по большому счету, pf рулит), но если я не ошибаюсь в ipfw gre явно надо указывать.

[Blacking]

Код: Выделить всё

$ cat /etc/protocols | grep 47
gre     47      GRE             # Generic Routing Encapsulation

а gre надо до или после ната?

[GRooVE]

Что неудивительно. Правило, которое указал товарищ Groove
.............
при наличии NAT работать не будет

Товарищ Groove дал еще в этом посте конфиг, который только что принципиально проверил на работоспособность
а в этом посте я указал на то, что автор допустил ошибку, переписывая правило с вашего поста
2 топикстартер:
забей на gre, ты сначала разберись почему не работает с allow all
если нужен пинг на сервере - замените в моем конфиге это правило

Код: Выделить всё

${fwcmd} add allow ip from me to any

на это

Код: Выделить всё

${fwcmd} add allow ip from me to any keep-state

[reLax]

Ты в каком веке живешь ? keep-state уже давно по умолчанию.
Если ты первым это правило поставишь ( from any to any ) - до NAT не дойдет даже.

[GRooVE]

вы что-то путаете с pf

Код: Выделить всё

# ipfw show
00100       46        8961 nat 1 ip from any to any via ng0
00200      287       33118 nat 2 ip from any to any via re1
00300      134       15797 allow ip from 10.10.1.0/28,172.16.1.101,172.16.1.102,172.16.1.103 to any in via re0 keep-state
00400       34        2224 allow ip from me to any
00500        5         332 deny log logamount 100 ip from any to any
65535 46469431 37942640193 allow ip from any to any
# ping ya.ru
PING ya.ru (93.158.134.8): 56 data bytes
^C
--- ya.ru ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Код: Выделить всё

# ipfw show
00100       65        9264 nat 1 ip from any to any via ng0
00200      291       31444 nat 2 ip from any to any via re1
00300      127       15738 allow ip from 10.10.1.0/28,172.16.1.101,172.16.1.102,172.16.1.103 to any in via re0 keep-state
00400       26        1540 allow ip from me to any keep-state
00500        7        1954 deny log logamount 100 ip from any to any
65535 46469443 37942641361 allow ip from any to any
# ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=58 time=40.616 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=58 time=40.454 ms
64 bytes from 77.88.21.8: icmp_seq=2 ttl=58 time=42.914 ms
64 bytes from 77.88.21.8: icmp_seq=3 ttl=58 time=41.762 ms
^C
--- ya.ru ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 40.454/41.436/42.914/0.991 ms

найдите одно отличие

[Blacking]

если нужен пинг на сервере - замените в моем конфиге это правило

Код: Выделить всё

${fwcmd} add allow ip from me to any

на это

Код: Выделить всё

${fwcmd} add allow ip from me to any keep-state

Да мне не нужен пинг на сервере, мне нужно что бы на клиентах открывались странички.... что то я уже совсем запутался...

[GRooVE]

уважаемый,
вам дали рабочий конфиг
вы сказали, что у вас нет пинга
вам сказали, что нужно поменять в конфиге
если вы даже не понимаете, что и на что вы меняете - читайте мануал, за вас никто ничего делать не будет

[Blacking]

поменял я правило

Код: Выделить всё

$ ipfw show
00100      1645       157178 nat 1 ip from any to any via ng0
00200   3980605   3603454396 nat 2 ip from any to any via re0
00300 152061693 138166400572 allow ip from 192.168.0.0/24 to any in via re1 keep-state
00400        14         3318 allow ip from me to any keep-state
00500   2075720   2385677292 allow ip from any to any
00600         0            0 deny log logamount 100 ip from any to any
65535         0            0 deny ip from any to any

в итоге на сервере

Код: Выделить всё

$ ping ya.ru
PING ya.ru (93.158.134.8): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied

на клиенте

Код: Выделить всё

C:\Users\Blacking>ping ya.ru -t

Обмен пакетами с ya.ru [77.88.21.8] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

[GRooVE]

очевидно, что проблема не в ipfw, о чем говорят эти два правила

Код: Выделить всё

00600         0            0 deny log logamount 100 ip from any to any
65535         0            0 deny ip from any to any

дайте вывод rc.conf и rc.local
будем смотреть что у вас там еще имеется

[Blacking]

Код: Выделить всё

]$ cat /etc/rc.conf
gateway_enable="YES"
hostname="webstar.com.ru"
ifconfig_em0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_re0="inet 79.136.188.240 netmask 255.255.255.128"
ifconfig_re1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
inetd_enable="YES"
keymap="ru.koi8-r.shift"
scrnmap="koi8-r2cp866"
font8x16="cp866b-8x16"
font8x14="cp866-8x14"
font8x8="cp866-8x8"
sshd_enable="YES"
apache22_enable="YES"
mysql_enable="YES"
snmpd_enable="YES"
samba_enable="YES"
mpd_enable="YES"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="re1"
ntpd_enable="YES"
ntpd_program="/usr/local/bin/ntpd"
accf_http_load="YES"
named_enable="YES"
named_flags="-u bind"

Код: Выделить всё

$ cat /etc/rc.local
#!/bin/sh

prov_gate="79.136.188.129" # IP провайдера сети которого нужно пускать по re0
oberon_gate="192.168.1.2" # IP компа с windows некоторые сети нужно пускать через него em0
# остальные сети пускать нужно по VPN

/sbin/route add -net 62.64.24.0/24 ${prov_gate}
/sbin/route add -net 62.68.128.0/19 ${prov_gate}
/sbin/route add -net 77.106.64.0/18 ${prov_gate}
/sbin/route add -net 77.235.211.192/29 ${prov_gate}
/sbin/route add -net 77.245.160.0/20 ${prov_gate}
/sbin/route add -net 78.136.192.0/18 ${prov_gate}
/sbin/route add -net 78.139.192.0/18 ${prov_gate}
/sbin/route add -net 78.140.0.0/18 ${oberon_gate}
/sbin/route add -net 79.122.222.0/23 ${prov_gate}
/sbin/route add -net 79.136.128.0/17 ${prov_gate}
/sbin/route add -net 79.175.39.0/25 ${prov_gate}
/sbin/route add -net 80.72.208.0/20 ${prov_gate}
/sbin/route add -net 80.89.133.32/27 ${prov_gate}
/sbin/route add -net 80.89.135.0/24 ${prov_gate}
/sbin/route add -net 81.1.229.72/29 ${prov_gate}
/sbin/route add -net 81.1.229.96/27 ${prov_gate}
/sbin/route add -net 81.1.229.128/25 ${prov_gate}
/sbin/route add -net 81.1.232.0/24 ${prov_gate}
/sbin/route add -net 82.117.64.0/19 ${prov_gate}
/sbin/route add -net 82.117.160.0/19 ${prov_gate}
/sbin/route add -net 82.200.4.0/24 ${prov_gate}
/sbin/route add -net 82.200.5.0/27 ${prov_gate}
/sbin/route add -net 82.200.17.0/24 ${prov_gate}
/sbin/route add -net 82.200.24.0/26 ${prov_gate}
/sbin/route add -net 82.200.70.0/23 ${prov_gate}
/sbin/route add -net 82.200.73.0/24 ${prov_gate}
/sbin/route add -net 82.200.74.0/24 ${prov_gate}
/sbin/route add -net 82.200.75.0/24 ${prov_gate}
/sbin/route add -net 82.200.76.0/24 ${prov_gate}
/sbin/route add -net 82.200.77.0/24 ${prov_gate}
/sbin/route add -net 82.200.78.0/24 ${prov_gate}
/sbin/route add -net 82.200.102.0/23 ${prov_gate}
/sbin/route add -net 82.200.110.0/23 ${prov_gate}
/sbin/route add -net 82.200.112.0/28 ${prov_gate}
/sbin/route add -net 82.200.114.0/27 ${prov_gate}
/sbin/route add -net 82.200.114.160/27 ${prov_gate}
/sbin/route add -net 82.200.122.0/24 ${prov_gate}
/sbin/route add -net 82.200.123.0/24 ${prov_gate}
/sbin/route add -net 83.172.0.0/18 ${prov_gate}
/sbin/route add -net 83.229.232.0/22 ${prov_gate}
/sbin/route add -net 83.229.245.0/24 ${prov_gate}
/sbin/route add -net 84.237.0.0/20 ${prov_gate}
/sbin/route add -net 85.143.64.0/20 ${prov_gate}
/sbin/route add -net 85.143.80.0/21 ${prov_gate}
/sbin/route add -net 88.204.0.0/17 ${oberon_gate}
/sbin/route add -net 90.188.64.0/19 ${prov_gate}
/sbin/route add -net 90.188.96.0/20 ${prov_gate}
/sbin/route add -net 90.188.112.0/21 ${prov_gate}
/sbin/route add -net 91.193.88.0/23 ${prov_gate}
/sbin/route add -net 91.210.72.0/22 ${prov_gate}
/sbin/route add -net 91.210.184.0/22 ${prov_gate}
/sbin/route add -net 91.211.184.0/24 ${prov_gate}
/sbin/route add -net 91.211.185.0/24 ${prov_gate}
/sbin/route add -net 91.211.186.0/24 ${prov_gate}
/sbin/route add -net 91.211.187.0/24 ${prov_gate}
/sbin/route add -net 91.211.236.0/22 ${prov_gate}
/sbin/route add -net 92.50.240.0/24 ${prov_gate}
/sbin/route add -net 92.63.64.0/20 ${prov_gate}
/sbin/route add -net 92.125.0.0/19 ${prov_gate}
/sbin/route add -net 92.126.224.0/19 ${prov_gate}
/sbin/route add -net 92.243.96.0/19 ${prov_gate}
/sbin/route add -net 93.91.165.0/24 ${prov_gate}
/sbin/route add -net 93.91.166.0/24 ${prov_gate}
/sbin/route add -net 93.91.168.0/23 ${prov_gate}
/sbin/route add -net 94.28.4.0/23 ${prov_gate}
/sbin/route add -net 94.251.9.0/24 ${prov_gate}
/sbin/route add -net 94.251.10.0/23 ${prov_gate}
/sbin/route add -net 94.251.92.0/24 ${prov_gate}
/sbin/route add -net 95.170.96.0/19 ${prov_gate}
/sbin/route add -net 95.170.136.0/23 ${prov_gate}
/sbin/route add -net 95.170.138.0/23 ${prov_gate}
/sbin/route add -net 95.170.144.0/23 ${prov_gate}
/sbin/route add -net 95.170.146.0/24 ${prov_gate}
/sbin/route add -net 95.174.192.0/19 ${prov_gate}
/sbin/route add -net 95.191.0.0/20 ${prov_gate}
/sbin/route add -net 95.191.16.0/20 ${prov_gate}
/sbin/route add -net 95.191.32.0/20 ${prov_gate}
/sbin/route add -net 95.191.48.0/20 ${prov_gate}
/sbin/route add -net 109.123.128.0/18 ${prov_gate}
/sbin/route add -net 109.124.0.0/18 ${prov_gate}
/sbin/route add -net 188.65.16.0/22 ${prov_gate}
/sbin/route add -net 194.226.60.0/22 ${prov_gate}
/sbin/route add -net 195.93.186.0/23 ${prov_gate}
/sbin/route add -net 195.208.160.0/19 ${prov_gate}
/sbin/route add -net 212.73.124.0/22 ${prov_gate}
/sbin/route add -net 212.107.224.0/20 ${prov_gate}
/sbin/route add -net 212.107.240.0/22 ${prov_gate}
/sbin/route add -net 212.192.102.0/24 ${prov_gate}
/sbin/route add -net 212.192.112.0/20 ${prov_gate}
/sbin/route add -net 212.192.163.0/24 ${prov_gate}
/sbin/route add -net 213.183.96.0/19 ${prov_gate}
/sbin/route add -net 213.210.64.0/18 ${prov_gate}
/sbin/route add -net 213.228.87.5/32 ${prov_gate}
/sbin/route add -net 217.8.224.80/28 ${prov_gate}
/sbin/route add -net 217.8.237.112/28 ${prov_gate}
/sbin/route add -net 217.18.128.0/19 ${prov_gate}
/sbin/route add -net 217.29.80.0/20 ${prov_gate}
/sbin/route add -net 217.70.106.24/32 ${prov_gate}
/sbin/route add -net 217.70.106.29/32 ${prov_gate}
/sbin/route add -net 217.79.56.0/24 ${prov_gate}
/sbin/route add -net 217.79.57.0/24 ${prov_gate}
/sbin/route add -net 217.106.147.0/28 ${prov_gate}
/sbin/route add -net 10.10.1.0/24 ${oberon_gate}

[Blacking]

ясно, не знаете чем помочь, прескорбно...

[reLax]

Ну tcpdump запусти и смотри, что куда и откуда у тебя ходит.

P.S. Знаешь, почему я перешел в свое время на pf ?
Из-за этого в частности:

Код: Выделить всё

# tcpdump -netttvvvi pflog0

[Blacking]

перебил правила ipfw после подключения vpn и тогда все заработало
значит

Я имею в виду правило со вторым ядровым натом без разницы когда пропишется до или после поднятия vpn
а натд убрал везде

для ipfw - без разницы

возможно не верно? может все же разница есть?