forum.lissyara.su

Код: Выделить всё

get# uname -a
FreeBSD get.free.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Sun Feb 24 19:59:52 UTC 2008

Код: Выделить всё

# cat /etc/rc.conf
hostname="get.free.ru"
gateway_enable="YES" 
defaultrouter="172.16.1.1"

ifconfig_rl0="inet 192.168.200.60 netmask 255.255.255.0"
ifconfig_rl1="inet 172.20.120.12 netmask 255.255.255.248"

sshd_enable="YES"

Код: Выделить всё

# cat /etc/resolv.conf
nameserver 172.16.1.1
nameserver 172.20.121.5

Код: Выделить всё

gateway_enable="YES" 

Код: Выделить всё

ping: cannot resolve www.ru: Host name lookup failure

Код: Выделить всё

ifconfig ed0 inet xxx.yy.zz.nn/28 add

Код: Выделить всё

hostname="get.vsit.ru"

gateway_enable="YES"
defaultrouter="192.168.200.60"

ifconfig_rl0="DHCP"
ifconfig_rl1="inet 172.20.120.12 netmask 255.255.255.248"

static_routes="rs1"
route_rs1="-net 172.20.0.0 -netmask 255.255.0.0 172.20.120.5"

sshd_enable="YES"

Код: Выделить всё

hostname="get.vsit.ru"

gateway_enable="YES"

ifconfig_rl0="inet 192.168.201.60 netmask 255.255.255.0"  # локалка, этой машине разрешено лазить в инет без авторизации утм
ifconfig_rl1="inet 172.29.151.14 netmask 255.255.255.248" # второй провайдер сеть каторого тоже нужна

static_routes="net1 net2"
route_net1="-net 192.168.0.0 -netmask 255.255.255.0 192.168.201.100" # для локалки
route_net2="-net 172.29.0.0 -netmask 255.255.0.0 172.29.151.9" # для прова 

sshd_enable="YES"

firewall_enable="YES"
firewall_type="OPEN"

natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

nameserver 172.16.1.1 # днс локального, домен vsit.lan
nameserver 172.29.128.9 # днс прова, домен rs

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
127.0.0.1          127.0.0.1          UH          0        0    lo0
172.29.0.0/16      172.29.151.9       UGS         0       22    rl1
172.29.151.8/29    link#2             UC          0        0    rl1
172.29.151.9       00:22:91:49:0e:51  UHLW        2        0    rl1   1176
192.168.0.0/24     192.168.201.100    UGS         0        0    rl0
192.168.201.0/24   link#1             UC          0        0    rl0
192.168.201.49     00:1c:25:04:c5:b5  UHLW        1       42    rl0   1181
192.168.201.100    link#1             UHLW        2        0    rl0

Код: Выделить всё

#ping nahoste.ru
PING nahoste.ru (89.105.156.71): 56 data bytes
ping: sendto: No route to host
^C
--- nahoste.ru ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
#ping vsit.lan
ping: cannot resolve vsit.lan: Unknown host
#ping vpn.rs
PING vpn.rs (172.29.128.104): 56 data bytes
64 bytes from 172.29.128.104: icmp_seq=0 ttl=63 time=0.682 ms
^C
--- vpn.rs ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.526/0.604/0.682/0.078 ms

Код: Выделить всё

ping 192.168.201.100
PING 192.168.201.100 (192.168.201.100): 56 data bytes
64 bytes from 192.168.201.100: icmp_seq=0 ttl=64 time=0.342 ms
^C
--- 192.168.201.100 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.201/0.272/0.342/0.071 ms
#ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1): 56 data bytes
ping: sendto: No route to host
^C
--- 172.16.1.1 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
#ping 172.29.128.9
PING 172.29.128.9 (172.29.128.9): 56 data bytes
64 bytes from 172.29.128.9: icmp_seq=0 ttl=63 time=0.982 ms
^C
--- 172.29.128.9 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.512/0.747/0.982/0.235 ms

Код: Выделить всё

#!/bin/sh -

fwcmd="/sbin/ipfw -q"

vif="rl0"
vip="192.168.201.60"
vlan="192.168.201.0/24"

rif="rl1"
rip="172.29.151.14"
rlan="172.29.0.0/16"

rdc="192.168.201.100,192.168.201.49"
vpn="10.100.204.0/24"

#====================================================
${fwcmd} -f flush
${fwcmd} add check-state

# loopback
${fwcmd} add pass all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any

# SSH разрешаем заходить удаленно
${fwcmd} add pass tcp from ${rdc} to me 22 via ${vif}
${fwcmd} add pass tcp from 192.168.201.49 to any 222 via ${vif}

# Разрешаем администрировать MPD через веб морду
${fwcmd} add pass tcp from any to me 5006

# DNS разрешаем обращаться к нашему DNS
${fwcmd} add pass udp from me 53 to any
${fwcmd} add pass udp from any to me 53

# DNS - разрешаем принимать DNS с других серверов
${fwcmd} add pass udp from me to any 53
${fwcmd} add pass udp from any 53 to me

# Разрешаем цепляться к MPD
${fwcmd} add pass tcp from any to me 1723 keep-state

# GRE for MPD5 - в этот протокол инкапсулируются все пакеты установившегося соединения VPN
${fwcmd} add pass log gre from any to any

# Разрешаем серверу спокойно ходить в обе сети
${fwcmd} add pass all from me to any via ${vip}
${fwcmd} add pass all from me to any via ${rip}

# *** NAT ***
${fwcmd} nat 123 config ip ${vip}
${fwcmd} add nat 123 ip from ${vpn} to any
${fwcmd} add nat 123 ip from any to ${vip} via ${vif}

# Разрешаем только нужный нам ICMP трафик
${fwcmd} add pass icmp from any to any icmptypes 0,3,4,8,10,11,30

# все что не прокатило режим с занесением в логи (/var/log/security по умолчанию)
#${fwcmd} add deny log logamount 3000 all from any to any
${fwcmd} add pass log logamount 3000 all from any to any

Код: Выделить всё

${fwcmd} add pass all from ${vpn} to any 80