forum.lissyara.su

Добавлено: **2009-01-23 8:43:13**

Всем доброго времени суток!!!!!

я еще пока начинающий админ FreeBSD. У меня возниквопрос: есть у меня шлюз, вроде все работает... все было гут пока кто-то из внутренней сети вдруг решил подключиться через шлюз к VPN где то в недрах Инета.

Шлюз построен на основе статьи с сайта Лиса (за что ему премного благодарен)
пробовал рыть сам.... но ни чего стоящего не нарыл

ipfw rules:

Код: Выделить всё

FwCMD="/sbin/ipfw"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow gre from any to any
${FwCMD} add deny ip from any to any not verrevpath in via ed0
${FwCMD} add deny ip from any to any not verrevpath in via rl0
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ed0
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ed0
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ed0
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ed0
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny icmp from any to 255.255.255.255 in via ed0
${FwCMD} add deny icmp from any to 255.255.255.255 out via ed0
${FwCMD} add divert natd ip from 192.168.0.0/24 to any out via ed0
${FwCMD} add divert natd ip from any to 172.16.201.67 in via ed0
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ed0
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ed0
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ed0
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ed0
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ed0
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow tcp from 172.16.57.48 to 192.168.0.99 5060 via ed0
${FwCMD} add allow ip from 172.16.201.67 to any out xmit ed0
${FwCMD} add allow udp from 172.16.250.63 to any via ed0
${FwCMD} add allow udp from 78.108.68.68 53 to any via ed0
${FwCMD} add allow udp from 78.108.68.108 53 to any via ed0
${FwCMD} add allow udp from any to any 123 via ed0
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from 172.16.57.48 to 172.16.201.67 22 via ed0
${FwCMD} add allow ip from any to 192.168.0.58 via rl0
${FwCMD} add allow ip from 192.168.0.58 to any via rl0
${FwCMD} add allow ip from any to 192.168.0.3 via rl0
${FwCMD} add allow ip from any to 192.168.0.5 via rl0
${FwCMD} add allow ip from any to 192.168.0.153 via rl0
${FwCMD} add allow ip from any to 192.168.0.154 via rl0
${FwCMD} add allow ip from any to 192.168.0.155 via rl0
${FwCMD} add allow ip from any to 192.168.0.156 via rl0
${FwCMD} add allow ip from any to 192.168.0.157 via rl0
${FwCMD} add allow ip from any to 192.168.0.158 via rl0
${FwCMD} add allow ip from any to 192.168.0.159 via rl0
${FwCMD} add allow ip from any to 192.168.0.99 via rl0
${FwCMD} add allow ip from 192.168.0.153 to any via rl0
${FwCMD} add allow ip from 192.168.0.154 to any via rl0
${FwCMD} add allow ip from 192.168.0.155 to any via rl0
${FwCMD} add allow ip from 192.168.0.156 to any via rl0
${FwCMD} add allow ip from 192.168.0.157 to any via rl0
${FwCMD} add allow ip from 192.168.0.158 to any via rl0
${FwCMD} add allow ip from 192.168.0.159 to any via rl0
${FwCMD} add allow ip from 192.168.0.99 to any via rl0
${FwCMD} add allow ip from 192.168.0.3 to any via rl0
${FwCMD} add allow ip from 192.168.0.5 to any via rl0
${FwCMD} add deny ip from any to any

ed0 - инет
rl0 - внутренняя сеть

пробовал отдельно открывать в обе стороны порт 1723 - без результатно

tcpdump анализ тоже ни чего не дал....
пакеты уходят на внешний интерфейс.... и на ип к которому надо подключиться
и вроде как ответ есть.... но соединение не устанавливается

Добавлено: **2009-01-23 11:59:27**

А чего именно порт 1723?

Добавлено: **2009-01-23 15:08:32**

skeletor писал(а):А чего именно порт 1723?

это порт pptp
возможно я ошибаюсь, но кажется gre пакеты тоже надо натить

Добавлено: **2009-01-23 15:14:11**

я так понимаю, что gre в нат входит потому как строки

Код: Выделить всё

${FwCMD} add divert natd ip from 192.168.0.0/24 to any out via ed0
${FwCMD} add divert natd ip from any to 172.16.201.67 in via ed0

вернее параметр IP включет в себя всё

так что gre тоже натится

Добавлено: **2009-01-23 15:23:56**

пакеты gre не доходят до ната

Добавлено: **2009-01-26 6:53:33**

uHk писал(а):пакеты gre не доходят до ната

это как так???? не доходят....
помоему НАТ раньше берет пакеты чем вообще IPFW rules

тем более строкой

Код: Выделить всё

${FwCMD} add allow gre from any to any

разрешен проход протокола gre
и строка находится по файеру раньше чем все остальные правила

Добавлено: **2009-01-26 10:33:30**

нат у тебя через диверты работает, а значит сначала пакет должен пройти диверт, а потом аллоу

Добавлено: **2009-01-26 12:43:55**

а не важно пробовал и так и так......
ни как сцабака не робит....

forum.lissyara.su

Проблема в настройке IPFW : VPN не подключается

Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается

Re: Проблема в настройке IPFW : VPN не подключается