forum.lissyara.su

Добавлено: **2009-10-20 13:30:50**

http://www.lissyara.su/?id=1987
пинаем

Добавлено: **2009-10-20 13:40:51**

        set link disable chap pap eap
        set link enable pap

по что ты так пользователей своих не любишь?)
pap пароли в tcpdump ловяться на раз

Добавлено: **2009-10-20 14:06:37**

хм. при подключении винды вишет CHAP MD5
ща попробую на мсчап-в2 переделать

Добавлено: **2009-10-20 14:21:03**

md5 впринципе тоже подбираеться)

chapms2+mppe128

Добавлено: **2009-10-20 14:30:37**

добавил. (MS CHAP v2 MPPE 128)
глянь еще фаер. я так на вскидку делал...не проверял

Добавлено: **2009-10-20 14:40:50**

все равно непонятно
что это такое

Код: Выделить всё

        set link no pap eap
        set link yes chap-md5

Добавлено: **2009-10-20 14:42:40**

и еще
попробуй в винде поставить айпишник из сети 10.10.10.0/24
и выйти в интернет) без всяких vpn соединений

Добавлено: **2009-10-20 14:47:29**

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_FORWARD
options NETGRAPH
options NETGRAPH_IPFW
options LIBALIAS
options NETGRAPH_NAT
options NETGRAPH_NETFLOW
options NETGRAPH_SPLIT
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_TEE
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_SOCKET
options NETGRAPH_TCPMSS
options NETGRAPH_VJC

интересно кто нибудь когда нибудь напишет статью о том что это все используеться через loader.conf ?
без пересборки ядра
fwd в данном примере все равно у тебя не используеться
да и он вообще мало где используеться

Добавлено: **2009-10-20 14:55:22**

насчёт форварда - несогласен.
постоянно бывает необходимость в нём.
=======
кстати - его нельзя сделать модулем, или компилять ipfw.ko c ним?
я бы подоставал разработчиков на эту тему

)))

Добавлено: **2009-10-20 15:00:35**

ну я на тесте через лоадер и делал все...
на счет фаера, наверна нуно как-то правило добавить, что тока через ng* мона на нат попасть?

Добавлено: **2009-10-20 15:01:31**

>lissyara
нет нельзя
потому что в сетевом стеке куча костылей для подержки ipfw_fwd

а если хочешь чем то подоставать разработчиков)) обращайся
я могу много тем подкинуть
например по том же ipfw_fwd
подкинь им тему
что зоопарк фаерволов с костылями уже давно закончился
фрибсд должна четко определиться с фаерволами и поддерживать и развивать один
и предложи им нахрен вырезать ipfw/ipf
потому что pf поддерживает fwd без перекомпиляции ядра
загрузкой токо одного pf.ko

Добавлено: **2009-10-20 15:02:33**

schizoid писал(а):ну я на тесте через лоадер и делал все...
на счет фаера, наверна нуно как-то правило добавить, что тока через ng* мона на нат попасть?

ну вобщем то да

Добавлено: **2009-10-20 15:03:06**

хотя...смотри. а если такая схема.
на интерфейсе Фри, который смотрит в сеть ип допустим 192,168,1,3. а начу я 10,10,10,0/24
то, даже если на клиенте описать сеть 10,10,10,10,0/24, то как эти пакеты попадут на фрю с ИПом 192,168,1,3 ?

Добавлено: **2009-10-20 15:04:19**

ну и шлюз жеже нуно указать для инета...

Добавлено: **2009-10-20 15:04:40**

винда такое запросто обходит
если айпи унее 10.10....
а гетевей 192.168....
запросто)))

Добавлено: **2009-10-20 15:07:25**

это я знаю...хм. т.е. пройдут пакетики?
тогда что-то типа

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw deny ip from 'table(1)' to me from not ng*
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw add allow ip from any to any
ipfw table 1 add 10.10.10.0/24

?

Добавлено: **2009-10-20 15:08:27**

или еще как вариант, убрать ИП с внутреннего интерфейса ваще

Добавлено: **2009-10-20 15:09:53**

лучше без deny сделай
а был токо один deny в самом конце который дефолтовый - по нему оно все и билось
потому что ни подному allow дефолтовому не прошло

Добавлено: **2009-10-20 15:10:46**

schizoid писал(а):или еще как вариант, убрать ИП с внутреннего интерфейса ваще

ггг
а к апачу ты как будешь пускать пользователей? к веб морде ихнего интерфейса

Добавлено: **2009-10-20 15:12:33**

на внешний ИП
у них все равно у всех анлимы

Добавлено: **2009-10-20 15:16:33**

%)
а смысл тогда биллинга еслии у всех анлим?
к томуже нат наскоко я помню на внешний интерфейс вешаеться а не на внутренний
поэтому если есть доступ к внешнему интерфейсу а там у нас нат
значит и в инет выйти можно
смысл тогда убирать айпи с внутреннего интерфейса?)

Добавлено: **2009-10-20 15:17:08**

paradox писал(а):лучше без deny сделай
а был токо один deny в самом конце который дефолтовый - по нему оно все и билось
потому что ни подному allow дефолтовому не прошло

т.е. придется таки весь фаер выкладывать?
типа разрешить все что мона, НАТ, дени алл , так?

Добавлено: **2009-10-20 15:22:44**

повесь на внутренний интерфейс allow токо локальной сети
и allow токо между двух сетей 10.10... и 10.10...
тем самым юзеры не смогут себе поставить айпи 10.10.. а шлюз 192.168...
такие пакеты будут отбрасываться по умолчанию

а тунели у тебя все будут

Код: Выделить всё

ngXXX
 10.10.10.0/24 <--- > 10.10.10.1

тоесть юзеры воспользоваться натом смогут токо когда открыт тунель
а открыть тунель можно токо через ppp тоесть после авторизации

Добавлено: **2009-10-20 15:32:57**

rl0 - локальный интерфейс
192.168.1.0/24 - локальная сеть

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw add allow ip from 192.168.1.0/24 to 192.168.1.0/24 via rl0
ipfw add allow ip from 'table(1)' to  'table(1)' via ng*
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw add allow ip from any to any via ng*
ipfw table 1 add 10.10.10.0/24

?

Добавлено: **2009-10-20 15:40:16**

ipfw add allow ip from 'table(1)' to 'table(1)' via ng*

ipfw add allow ip from any to any via ng*

как то странно выглядят)

forum.lissyara.su

mpd5(pppoe)+radius+ng_car+Abiils

mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils

Re: mpd5(pppoe)+radius+ng_car+Abiils