Страница 1 из 2
нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-07 22:39:06
krokozjabr
что нужно
- нужно резать всем скорость порезать ровно между всеми машиноми сети(а то вечно орут что им скорости не хватает)
нужна web авторизация(с запоминаем mac адресов типаchilispota
нужно также чтобы юзер мог выбирать канал при входе (впн или обычный)
полное логирование и статистика
пару игровых серверов(ну это ясам сделаю)
dc and torrent качалки с веб мордой
что есть
комп:aqvarus
ос:freebsd 8.0 rekese
озу 2гб
диск 300 гб
2 сетевые карты + wifi ysd
адсл роутер 8 lan + wifi( все"клиенты "через" него )
какой софт планирую
apache
ipfw
natd
nettames или bgbilling
proftpd
sqid
openvpn
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-07 22:57:42
vintovkin
ipfw скорость можно контролировать, squid можно юзать для авторизации юзверей,
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-07 23:38:45
krokozjabr
А как тогда весь трафик до авторизации блокировать ладно с етим разберёмся
а разве в сквидё есть mac авторизация
так как все у меня с ноутоми кпк и т.п тут только dhcp
bind придётся ставить. перенаправлявший на авторизацию
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 0:07:38
krokozjabr
хм
идея хорошая но подойдёт она мне?
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 11:07:12
vintovkin
krokozjabr писал(а):А как тогда весь трафик до авторизации блокировать ладно с етим разберёмся
а разве в сквидё есть mac авторизация
так как все у меня с ноутоми кпк и т.п тут только dhcp
bind придётся ставить. перенаправлявший на авторизацию
не пробовал по маку , но видел в сквиде эту фичу.
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 11:08:07
vintovkin
krokozjabr писал(а):хм
идея хорошая но подойдёт она мне?
да, самс пойдёт как раз для этого ... контроль www трафика
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 14:47:48
baton4eg
c Маками можно static mac сделать на роутере, если управляемая железка - address binding
Трафик до авторизации, всех deny, кто не в таблицах (ipfw table), кто в таблицах (IP адреса заносим) они с инетом работают. Это если Шейпинг делать
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 21:27:27
krokozjabr
baton4eg писал(а):c Маками можно static mac сделать на роутере, если управляемая железка - address bindingть
да железяка с веб мордой но я хочу воткнуть фрю между сетью и роутерам
а можно сделать подругому на isc dhcpd
можно сделать превязку по макас и тогда нет тамес прекрутить
как вам идея?
а можно в самом нет тамесе mac авторизацию сделать я видел
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-08 21:48:59
vintovkin
krokozjabr писал(а):baton4eg писал(а):c Маками можно static mac сделать на роутере, если управляемая железка - address bindingть
да железяка с веб мордой но я хочу воткнуть фрю между сетью и роутерам
а можно сделать подругому на isc dhcpd
можно сделать превязку по макас и тогда нет тамес прекрутить
как вам идея?
а можно в самом нет тамесе mac авторизацию сделать я видел
идея хорошая - между циско и локалкой из ПК ещё один роутер под фбсд ставить ,хорошо работает
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-09 13:58:26
krokozjabr
как сделаю так нопишу статью тут я буду писать вапросы по ходу дела тему не зокрывать
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-10 11:16:20
Pr0l
а стандартную привязку по arp таблице нельзя организовать + дхцп раздача ИПа по МАСу? каждый час загружать таблицу arp и все.
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-12 21:34:26
krokozjabr
и так столкнулся с проблемой сквида он вылитает при сборки на библиотеках иксов. щас сделал cd /usr/ports && make clean все ровно не работает
Код: Выделить всё
rm: libtoolT: No such file or directory
gmake[3]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[3]: Entering directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[3]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake[2]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6/inude'
gmake[1]: *** [all-recursive] Error 1
gmake[1]: Leaving directory `/usr/ports/textproc/libxml2/work/libxml2-2.7.6'
gmake: *** [all] Error 2
*** Error code 1
Stop in /usr/ports/textproc/libxml2.
*** Error code 1
Stop in /usr/ports/textproc/libxslt.
*** Error code 1
Stop in /usr/ports/textproc/libxslt.
*** Error code 1
Stop in /usr/ports/x11/libxcb.
*** Error code 1
Stop in /usr/ports/x11/libX11.
*** Error code 1
Stop in /usr/ports/x11-toolkits/libXt.
*** Error code 1
Stop in /usr/ports/x11/trapproto.
*** Error code 1
Stop in /usr/ports/x11-servers/xorg-vfbserver.
*** Error code 1
Stop in /usr/ports/accessibility/accerciser.
*** Error code 1
Stop in /usr/ports/accessibility.
*** Error code 1
Stop in /usr/ports.
[root@localhost /usr/ports
также после ядра с фаайрволам он перестал перестал понимать правила что firewall_conf что firewall_script результат один
и как перключить pkg_ADD ftp клиет в пассивный режим
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-16 21:28:32
krokozjabr
также после ядра с фаайрволам он перестал перестал понимать правила что firewall_config что firewall_script результат один
ядро собрал с
Код: Выделить всё
C
# GENERIC -- Generic kernel configuration file for FreeBSD/amd64
#
# For more information on this file, please read the config(5) manual page,
# and/or the handbook section on Kernel Configuration Files:
#
# http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/amd64/conf/GENERIC,v 1.531.2.4.2.2 2009/11/09 23:48:01 kensmith Exp $
cpu HAMMER
ident mkir
# To statically compile in device wiring instead of /boot/device.hints
#hints "GENERIC.hints" # Default places to look for devices.
# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env "GENERIC.env"
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options SCHED_ULE # ULE scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
#options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
options MD_ROOT # MD is a potential root device
options NFSCLIENT # Network Filesystem Client
#options NFSSERVER # Network Filesystem Server
options NFSLOCKD # Network Lock Manager
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat (sgtty)
options COMPAT_IA32 # Compatible with i386 binaries
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
options COMPAT_FREEBSD7 # Compatible with FreeBSD7
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE # ktrace(1) support
options STACK # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options PRINTF_BUFR_SIZE=128 # Prevent printf output being interspersed.
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options HWPMC_HOOKS # Necessary kernel hooks for hwpmc(4)
options AUDIT # Security event auditing
options MAC # TrustedBSD MAC Framework
options FLOWTABLE # per-cpu routing cache
#options KDTRACE_FRAME # Ensure frames are compiled in
#options KDTRACE_HOOKS # Kernel DTrace hooks
# Make an SMP-capable kernel by default
options SMP # Symmetric MultiProcessor Kernel
# CPU frequency control
device cpufreq
# Bus support.
device acpi
device pci
# Floppy drives
device fdc
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives
device atapifd # ATAPI floppy drives
device atapist # ATAPI tape drives
options ATA_STATIC_ID # Static device numbering
# SCSI Controllers
device ahc # AHA2940 and onboard AIC7xxx devices
options AHC_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~128k to driver.
device ahd # AHA39320/29320 and onboard AIC79xx devices
options AHD_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~215k to driver.
device amd # AMD 53C974 (Tekram DC-390(T))
device hptiop # Highpoint RocketRaid 3xxx series
device isp # Qlogic family
#device ispfw # Firmware for QLogic HBAs- normally a module
device mpt # LSI-Logic MPT-Fusion
#device ncr # NCR/Symbios Logic
device sym # NCR/Symbios Logic (newer chipsets + those of `ncr')
device trm # Tekram DC395U/UW/F DC315U adapters
device adv # Advansys SCSI adapters
device adw # Advansys wide SCSI adapters
device aic # Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
device bt # Buslogic/Mylex MultiMaster SCSI adapters
# SCSI peripherals
device scbus # SCSI bus (required for SCSI)
device ch # SCSI media changers
device da # Direct Access (disks)
device sa # Sequential Access (tape etc)
device cd # CD
device pass # Passthrough device (direct SCSI access)
device ses # SCSI Environmental Services (and SAF-TE)
# RAID controllers interfaced to the SCSI subsystem
device amr # AMI MegaRAID
device arcmsr # Areca SATA II RAID
#XXX it is not 64-bit clean, -scottl
#device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID
device ciss # Compaq Smart RAID 5*
device dpt # DPT Smartcache III, IV - See NOTES for options
device hptmv # Highpoint RocketRAID 182x
device hptrr # Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx
device iir # Intel Integrated RAID
device ips # IBM (Adaptec) ServeRAID
device mly # Mylex AcceleRAID/eXtremeRAID
device twa # 3ware 9000 series PATA/SATA RAID
# RAID controllers
device aac # Adaptec FSA RAID
device aacp # SCSI passthrough for aac (requires CAM)
device ida # Compaq Smart RAID
device mfi # LSI MegaRAID SAS
device mlx # Mylex DAC960 family
#XXX pointer/int warnings
#device pst # Promise Supertrak SX6000
device twe # 3ware ATA RAID
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device kbdmux # keyboard multiplexer
device vga # VGA video card driver
device splash # Splash screen and screen saver support
# syscons is the default console driver, resembling an SCO console
device sc
device agp # support several AGP chipsets
# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
device cbb # cardbus (yenta) bridge
device pccard # PC Card (16-bit) bus
device cardbus # CardBus (32-bit) bus
# Serial (COM) ports
device uart # Generic UART driver
# Parallel port
device ppc
device ppbus # Parallel port bus (required)
device lpt # Printer
#device plip # TCP/IP over parallel
device ppi # Parallel port interface device
#device vpo # Requires scbus and da
# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to sio, uart and/or ppc drivers):
#device puc
# PCI Ethernet NICs.
device de # DEC/Intel DC21x4x (``Tulip'')
device em # Intel PRO/1000 Gigabit Ethernet Family
device igb # Intel PRO/1000 PCIE Server Gigabit Family
device ixgbe # Intel PRO/10GbE PCIE Ethernet Family
device le # AMD Am7900 LANCE and Am79C9xx PCnet
device ti # Alteon Networks Tigon I/II gigabit Ethernet
device txp # 3Com 3cR990 (``Typhoon'')
device vx # 3Com 3c590, 3c595 (``Vortex'')
# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device miibus # MII bus support
#device ae # Attansic/Atheros L2 FastEthernet
#device age # Attansic/Atheros L1 Gigabit Ethernet
#device alc # Atheros AR8131/AR8132 Ethernet
#device ale # Atheros AR8121/AR8113/AR8114 Ethernet
#device bce # Broadcom BCM5706/BCM5708 Gigabit Ethernet
#device bfe # Broadcom BCM440x 10/100 Ethernet
#device bge # Broadcom BCM570xx Gigabit Ethernet
#device dc # DEC/Intel 21143 and various workalikes
#device et # Agere ET1310 10/100/Gigabit Ethernet
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device jme # JMicron JMC250 Gigabit/JMC260 Fast Ethernet
device lge # Level 1 LXT1001 gigabit Ethernet
device msk # Marvell/SysKonnect Yukon II Gigabit Ethernet
device nfe # nVidia nForce MCP on-board Ethernet
device nge # NatSemi DP83820 gigabit Ethernet
#device nve # nVidia nForce MCP on-board Ethernet Networking
device pcn # AMD Am79C97x PCI 10/100 (precedence over 'le')
device re # RealTek 8139C+/8169/8169S/8110S
device rl # RealTek 8129/8139
device sf # Adaptec AIC-6915 (``Starfire'')
device sis # Silicon Integrated Systems SiS 900/SiS 7016
device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet
device ste # Sundance ST201 (D-Link DFE-550TX)
device stge # Sundance/Tamarack TC9021 gigabit Ethernet
device tl # Texas Instruments ThunderLAN
device tx # SMC EtherPower II (83c170 ``EPIC'')
device vge # VIA VT612x gigabit Ethernet
device vr # VIA Rhine, Rhine II
device wb # Winbond W89C840F
device xl # 3Com 3c90x (``Boomerang'', ``Cyclone'')
# ISA Ethernet NICs. pccard NICs included.
device cs # Crystal Semiconductor CS89x0 NIC
# 'device ed' requires 'device miibus'
device ed # NE[12]000, SMC Ultra, 3c503, DS8390 cards
device ex # Intel EtherExpress Pro/10 and Pro/10+
device ep # Etherlink III based cards
device fe # Fujitsu MB8696x based cards
device sn # SMC's 9000 series of Ethernet chips
device xe # Xircom pccard Ethernet
# Wireless NIC cards
device wlan # 802.11 support
options IEEE80211_DEBUG # enable debug msgs
options IEEE80211_AMPDU_AGE # age frames in AMPDU reorder q's
options IEEE80211_SUPPORT_MESH # enable 802.11s draft support
device wlan_wep # 802.11 WEP support
device wlan_ccmp # 802.11 CCMP support
device wlan_tkip # 802.11 TKIP support
device wlan_amrr # AMRR transmit rate control algorithm
device an # Aironet 4500/4800 802.11 wireless NICs.
device ath # Atheros pci/cardbus NIC's
device ath_hal # pci/cardbus chip support
options AH_SUPPORT_AR5416 # enable AR5416 tx/rx descriptors
device ath_rate_sample # SampleRate tx rate control for ath
device ral # Ralink Technology RT2500 wireless NICs.
device wi # WaveLAN/Intersil/Symbol 802.11 wireless NICs.
# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
device tun # Packet tunnel.
device pty # BSD-style compatibility pseudo ttys
device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling
#device faith # IPv6-to-IPv4 relaying (translation)
device firmware # firmware assist module
# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
# USB support
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device ehci # EHCI PCI->USB interface (USB 2.0)
device usb # USB Bus (required)
#device udbp # USB Double Bulk Pipe devices
device uhid # "Human Interface Devices"
device ukbd # Keyboard
device ulpt # Printer
device umass # Disks/Mass storage - Requires scbus and da
device ums # Mouse
device rum # Ralink Technology RT2501USB wireless NICs
device uath # Atheros AR5523 wireless NICs
device ural # Ralink Technology RT2500USB wireless NICs
device zyd # ZyDAS zb1211/zb1211b wireless NICs
device urio # Diamond Rio 500 MP3 player
# USB Serial devices
device uark # Technologies ARK3116 based serial adapters
device ubsa # Belkin F5U103 and compatible serial adapters
device uftdi # For FTDI usb serial adapters
device uipaq # Some WinCE based devices
device uplcom # Prolific PL-2303 serial adapters
device uslcom # SI Labs CP2101/CP2102 serial adapters
device uvisor # Visor and Palm devices
device uvscom # USB serial support for DDI pocket's PHS
# USB Ethernet, requires miibus
device aue # ADMtek USB Ethernet
device axe # ASIX Electronics USB Ethernet
device cdce # Generic USB over Ethernet
device cue # CATC USB Ethernet
device kue # Kawasaki LSI USB Ethernet
device rue # RealTek RTL8150 USB Ethernet
device udav # Davicom DM9601E USB
#
options IPFIREWALL # встраиваем поддержку файрволла в ядро
options IPFIREWALL_VERBOSE # вывод информации об отброшенных пакетах
options IPFIREWALL_VERBOSE_LIMIT=100 # ограничение, чтоб весь /var
# логами не засрали
options IPFIREWALL_FORWARD # включаем поддержку перенаправления
# чтобы можно было сделать
# позрачный прокси-сервер
# TCP пакетов ядром
options IPDIVERT # поддержка IP-маскарадинга
options DUMMYNET # поддержка DUMMYNET (искуственное
# ограничение пропускной способности
# сети, может быть нужно если есть
# необходимость урезать канал одним
# и разжать другим компьютерам)
options TCP_DROP_SYNFIN # Это нужно, чтобы сетевые сканеры
# не могли определять версию OS на
# сервере. Также нужно добавить в
# /etc/rc.conf строчку
# tcp_drop_synfin="YES"
файл рабочий проверил
на вдс
не знаю в чём дело
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-17 7:31:05
FreeBSP
поставить
в дополнение к
Код: Выделить всё
#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение
Код: Выделить всё
[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r-- 1 root wheel 3473 11 фев 07:50 /etc/ipfw.conf
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-17 17:57:58
krokozjabr
FreeBSP писал(а):поставить
в дополнение к
Код: Выделить всё
#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение
Код: Выделить всё
[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r-- 1 root wheel 3473 11 фев 07:50 /etc/ipfw.conf
это я честно не подумал но видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-17 17:58:39
krokozjabr
FreeBSP писал(а):поставить
в дополнение к
Код: Выделить всё
#firewall_type="open"
firewall_script="/etc/ipfw.conf"
и не забыdвать о том, что правила ipfw - это обычный shell скрипт и на нем должны стоять права на выполнение
Код: Выделить всё
[7:46]~/# file /etc/ipfw.conf
/etc/ipfw.conf: Bourne shell script text executable
[7:50]~/# ll "/etc/ipfw.conf"
-rwxr--r-- 1 root wheel 3473 11 фев 07:50 /etc/ipfw.conf
это я честно не подумал но видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-18 12:09:41
FreeBSP
не надо
файер будет работать в любом случае, даже без этого, чо может какой то rc.conf проив самогО /boot/kernel/kernel
но
если не воткнуть эту строчку, то не будет отрабатывать
/etc/rc.d/firewall или
/etc/rc.d/ipfw хз как он зовется, но суть в следующем: все что дальше написано про файер восприниматься не будет, а значит не будут загружаться правила и все пакеты будут попадать на правило 65535, а оно у вас DENY ALL - так как в ядре вы не указали FIREWALL_DEFAULT_TO_ACCEPT
вот и все пироги
но при этом никто не мешает вам руками к нему грузить правила
по идее так. практическое исследование вопроса оставляю вам
в качестве домашнего задания для закрепления материала
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-05-18 12:17:01
FreeBSP
krokozjabr писал(а): видь если в ядре фиревалл то вроде irewall_enable="YES" ненадо или в любом случае?
http://www.lissyara.su/articles/freebsd ... bout_ipfw/
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 10:39:41
krokozjabr
дел было много после последнего поста... прочитав статью (я её читал и ранее) настроив и НЕ проверив выключил шлюз сегодня нород меня совсем достал со скоростью и ссорами.
взял цепляю к себе шлюз пытаюсь инет выйти а в ответ
т.е ноль эмоций
учёт трафика выключил
вот
Код: Выделить всё
[root@localhost ~]# ipfw show
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 allow ip from 192.168.137.0 to 192.168.137.0/24 via re0
00500 0 0 divert 8668 ip from 192.168.137.0/24 to any out via wlan0
00600 0 0 divert 8668 ip from any to 192.168.10.253 in via wlan0
00700 0 0 allow ip from 192.168.10.253 to any out via wlan0
00800 0 0 allow ip from any to 192.168.10.253 in via wlan0
00900 1420 82328 allow ip from 192.168.137.0/24 to any in via re0
01000 0 0 allow ip from 192.168.137.0/24 to any out via wlan0
01100 0 0 allow ip from any to 192.168.137.0/24 in via wlan0
01200 59 10000 allow ip from any to 192.168.137.0/24 out via re0
01300 231 16533 allow ip from any to any
65535 0 0 deny ip from any to any
ifconfig
Код: Выделить всё
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:1c:c0:c6:ee:8f
inet 192.168.137.5 netmask 0xffffff00 broadcast 192.168.137.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:80:48:17:4b:9d
media: Ethernet autoselect
status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
zyd0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 2290
ether 00:02:72:5d:b4:22
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g
status: associated
wl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:02:72:5d:b4:22
inet 192.168.10.253 netmask 0xffffff00 broadcast 192.168.10.255
media: IEEE 802.11 Wireless Ethernet OFDM/54Mbps mode 11g
status: associated
ssid ****** channel 6 (2437 Mhz 11g) bssid 00:21:91:86:47:c3
country US authmode WPA2/802.11i privacy ON deftxkey UNDEF
AES-CCM 2:128-bit txpower 0 bmiss 7 scanvalid 450 bgscan
bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS
roaming MANUAL
[root@localhost ~]#
sockstat
Код: Выделить всё
root sshd 1284 3 tcp4 192.168.137.5:22 192.168.137.2:50937
root sshd 1242 3 tcp4 192.168.137.5:22 192.168.137.2:50752
root login 1205 3 dgram -> /var/run/logpriv
smmsp sendmail 1152 3 dgram -> /var/run/log
root sendmail 1148 3 tcp4 127.0.0.1:25 *:*
root sendmail 1148 4 dgram -> /var/run/logpriv
root sshd 1141 3 tcp4 *:22 *:*
mysql mysqld 1111 10 tcp4 *:3306 *:*
mysql mysqld 1111 12 stream /tmp/mysql.sock
root syslogd 815 4 dgram /var/run/log
root syslogd 815 5 dgram /var/run/logpriv
root syslogd 815 6 udp4 *:514 *:*
root devd 571 5 stream /var/run/devd.pipe
root wpa_suppli 382 3 udp4 *:* *:*
root wpa_suppli 382 6 dgram -> /var/run/logpriv
Код: Выделить всё
[root@localhost ~]# netstat -a
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 52 localhost.xaso.c.ssh 192.168.137.2.50937 ESTABLISHED
tcp4 0 0 localhost.xaso.c.ssh 192.168.137.2.50752 ESTABLISHED
tcp4 0 0 localhost.xaso.c.smtp *.* LISTEN
tcp4 0 0 *.ssh *.* LISTEN
tcp4 0 0 *.3306 *.* LISTEN
udp4 0 0 *.syslog *.*
udp4 0 0 *.* *.*
Active UNIX domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
ffffff00019394b0 stream 0 0 ffffff00019dc938 0 0 0 /tmp/mysql.sock
ffffff0001939d20 stream 0 0 ffffff00017ffb10 0 0 0 /var/run/devd.pipe
ffffff00019390f0 dgram 0 0 0 ffffff000193ac30 0 ffffff00019393c0
ffffff000193aa50 dgram 0 0 0 ffffff000193ad20 0 0
ffffff00019393c0 dgram 0 0 0 ffffff000193ac30 0 ffffff00019395a0
ffffff00019395a0 dgram 0 0 0 ffffff000193ac30 0 0
ffffff000193ac30 dgram 0 0 ffffff00017da000 0 ffffff00019390f0 0 /var/run/logpriv
ffffff000193ad20 dgram 0 0 ffffff00017da1d8 0 ffffff000193aa50 0 /var/run/log
[root@localhost ~]#
=====================================================
а что у нас в rc.conf
Код: Выделить всё
[root@localhost ~]# cat /etc/rc.conf
sendmail_enable="NO"
# -- sysinstall generated deltas -- # Fri Apr 30 19:07:19 2010
# Created: Fri Apr 30 19:07:19 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
check_quotas="NO"
defaultrouter="192.168.10.10"
hostname="localhost.local"
ifconfig_re0="inet 192.168.137.5 netmask 255.255.255.0"
sshd_enable="YES"
wlans_zyd0="wl0"
#ifupa_enable="yes"
ifconfig_wl0="WPA inet 192.168.10.253"
firewall_enable="yes"
firewall_type="/etc/hhj.sh"
mysql_enable="yes"
apache22_enable="no"
natd_enable="YES"
natd_interface="wlan0"
natd_flags="-same_ports"
Код: Выделить всё
[root@localhost ~]# ps -aux
USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
root 11 200.0 0.0 0 32 ?? RL 10:56AM 74:37.56 [idle]
root 0 0.0 0.0 0 128 ?? DLs 10:56AM 0:03.91 [kernel]
root 1 0.0 0.1 2176 548 ?? ILs 10:56AM 0:00.01 /sbin/init --
root 2 0.0 0.0 0 16 ?? DL 10:56AM 0:00.10 [g_event]
root 3 0.0 0.0 0 16 ?? DL 10:56AM 0:00.11 [g_up]
root 4 0.0 0.0 0 16 ?? DL 10:56AM 0:00.12 [g_down]
root 5 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [xpt_thrd]
root 6 0.0 0.0 0 8 ?? DL 10:56AM 0:00.00 [sctp_iterator]
root 7 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagedaemon]
root 8 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [vmdaemon]
root 9 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagezero]
root 10 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [audit]
root 12 0.0 0.0 0 272 ?? WL 10:56AM 0:15.32 [intr]
root 13 0.0 0.0 0 16 ?? DL 10:56AM 0:00.09 [yarrow]
root 14 0.0 0.0 0 256 ?? DL 10:56AM 0:00.56 [usb]
root 15 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [bufdaemon]
root 16 0.0 0.0 0 16 ?? DL 10:56AM 0:00.05 [syncer]
root 17 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [vnlru]
root 18 0.0 0.0 0 16 ?? DL 10:56AM 0:00.02 [softdepflush]
root 19 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [flowcleaner]
root 382 0.0 0.3 10120 3216 ?? Is 10:56AM 0:00.01 /usr/sbin/wpa_sup
root 571 0.0 0.1 2180 652 ?? Is 10:56AM 0:00.02 /sbin/devd
root 815 0.0 0.1 5992 1536 ?? Is 10:56AM 0:00.02 /usr/sbin/syslogd
root 1141 0.0 0.4 25108 4364 ?? Is 10:56AM 0:00.01 /usr/sbin/sshd
root 1148 0.0 0.4 11044 3972 ?? Ss 10:56AM 0:00.05 sendmail: accepti
smmsp 1152 0.0 0.4 11044 3912 ?? Is 10:56AM 0:00.00 sendmail: Queue r
root 1158 0.0 0.2 6920 1612 ?? Is 10:56AM 0:00.01 /usr/sbin/cron -s
root 1242 0.0 0.5 37040 5088 ?? Is 11:08AM 0:00.07 sshd: root@pts/0
root 1284 0.0 0.5 37040 5092 ?? Ss 11:24AM 0:00.10 sshd: root@pts/1
mysql 1031 0.0 0.2 7232 1864 v0- I 10:56AM 0:00.02 /bin/sh /usr/loca
mysql 1111 0.0 4.2 199012 42972 v0- I 10:56AM 0:01.54 [mysqld]
root 1205 0.0 0.2 20644 2056 v0 Is 10:56AM 0:00.03 login [pam] (logi
root 1240 0.0 0.3 9188 2784 v0 I+ 11:07AM 0:00.01 -bash (bash)
root 1206 0.0 0.1 5860 1288 v1 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1207 0.0 0.1 5860 1288 v2 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1208 0.0 0.1 5860 1288 v3 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1209 0.0 0.1 5860 1288 v4 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1210 0.0 0.1 5860 1288 v5 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1211 0.0 0.1 5860 1288 v6 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1212 0.0 0.1 5860 1288 v7 Is+ 10:56AM 0:00.00 /usr/libexec/gett
root 1245 0.0 0.3 9188 2824 0 Is+ 11:09AM 0:00.02 -bash (bash)
root 1287 0.0 0.3 9188 2824 1 Ss 11:24AM 0:00.04 -bash (bash)
root 1317 0.0 0.1 6976 1364 1 R+ 11:33AM 0:00.00 ps -aux
при загрузки нет даже намёка на запуск ната вот вопрос почему?
root 2 0.0 0.0 0 16 ?? DL 10:56AM 0:00.10 [g_event]
root 3 0.0 0.0 0 16 ?? DL 10:56AM 0:00.11 [g_up]
root 4 0.0 0.0 0 16 ?? DL 10:56AM 0:00.12 [g_down]
root 5 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [xpt_thrd]
root 6 0.0 0.0 0 8 ?? DL 10:56AM 0:00.00 [sctp_iterator]
root 7 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagedaemon]
root 8 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [vmdaemon]
root 9 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [pagezero]
root 10 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [audit]
root 12 0.0 0.0 0 272 ?? WL 10:56AM 0:15.32 [intr]
root 13 0.0 0.0 0 16 ?? DL 10:56AM 0:00.09 [yarrow]
root 14 0.0 0.0 0 256 ?? DL 10:56AM 0:00.56 [usb]
root 15 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [bufdaemon]
root 16 0.0 0.0 0 16 ?? DL 10:56AM 0:00.05 [syncer]
root 17 0.0 0.0 0 16 ?? DL 10:56AM 0:00.01 [vnlru]
root 18 0.0 0.0 0 16 ?? DL 10:56AM 0:00.02 [softdepflush]
root 19 0.0 0.0 0 16 ?? DL 10:56AM 0:00.00 [flowcleaner]
и что это за процессы
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 10:51:57
krokozjabr
тока не смейтесь я не даун да накосячил зоминид wlan на wl не работаает
и ещё mc стал дооооооооооооооооооолго грузиться
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 11:15:24
krokozjabr
да система тормазит минут пять ждал ssh пока он пароль спросит комп мощьный top не чего особенного не говорит
итак ipfw show
Код: Выделить всё
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 allow ip from 192.168.137.0 to 192.168.137.0/24 via re0
00500 0 0 divert 8668 ip from 192.168.137.0/24 to any out via wl0
00600 4 498 divert 8668 ip from any to 192.168.10.253 in via wl0
00700 9 605 allow ip from 192.168.10.253 to any out via wl0
00800 4 498 allow ip from any to 192.168.10.253 in via wl0
00900 1032 56614 allow ip from 192.168.137.0/24 to any in via re0
01000 0 0 allow ip from 192.168.137.0/24 to any out via wl0
01100 0 0 allow ip from any to 192.168.137.0/24 in via wl0
01200 30 5192 allow ip from any to 192.168.137.0/24 out via re0
01300 0 0 allow ip from any to any
65535 0 0 deny ip from any to any
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 11:45:19
_Менделеев
естЪ предположение, что виной ДНС (так обычно в подобных ситуациях отвечают в твоих двух случаяхЪ)
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 13:41:41
krokozjabr
Определенный для подключения DNS-суффикс:
Описание: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
Физический адрес: ?00-18-F3-5C-F0-D6
DHCP включен: Нет
Адрес IPv4: 192.168.137.2
Маска подсети IPv4: 255.255.255.0
Шлюз по умолчанию IPv4: 192.168.137.5
DNS-сервер IPv4: 8.8.8.8
WINS-сервер IPv4 :
Служба NetBIOS через TCP/IP включена: Да
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 13:47:02
_Попов
также есть предположение, что ДНС имееца ввиду которое на фрибэсэдешушке
Re: нужон совет по ностройки домашнего шлюза
Добавлено: 2010-06-04 14:51:06
krokozjabr
отпадает
а пинги должны проходить ?
пинги до сервера идут а дальше коннекты не идут
что интересно пинги на внешний ип сервера идут