forum.lissyara.su

Код: Выделить всё

# uname -a
FreeBSD makhome.well-com.net 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Sat Dec 25 18:21:03 UTC 2010     root@makhome.well-com.net:/usr/obj/usr/src/sys/MakHome_25122010  i386

Код: Выделить всё

rc.conf
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="makhome.well-com.net"
ifconfig_em0="DHCP -rxcsum"
#ifconfig_em0="192.168.137.2 netmask 255.255.255.0 -rxcsum"
#defaultrouter="192.168.137.1"
ifconfig_re0="inet 169.254.173.254  netmask 255.255.255.0"
keymap="ru.koi8-r.win"
mousechar_start="3"
nfs_reserved_port_only="NO"
ntpdate_enable="YES"
ntpdate_flags="ru.pool.ntp.org"
rpc_statd_enable="YES"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
linux_enable="YES"
usbd_enable="YES"
moused_enable="NO"
dbus_enable="YES"
hald_enable="YES"
firewall_enable="YES"
firewall_quiet="YES"<--># Set to YES to suppress rule display
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_script="/root/.firewall/fw_day.conf"
named_enable="YES"
named_flage="-u bind -g bind"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="re0"
apache22_enable="YES"
vsftpd_enable="YES"
vsftpd_flags="/usr/local/etc/vsftpd.conf"
squid_enable="YES"
#NFS
rpcbind_enable="YES"
nfs_server_enable="YES"
nfs_server_flags="-u -t -n 20"
mountd_enable="YES"
mountd_flags="-r -n"

firewall
#!/bin/sh
FwCMD="/sbin/ipfw"           
LanOut="em0"                  
IpOut="me"
LanIn="re0"                   
NetIn="169.254.173.0/24"     
IpIn="169.254.173.254"
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} add 50 check-state
${FwCMD} add 100 pass all from any to any via lo0
${FwCMD} add 200 deny all from any to 127.0.0.0/8
${FwCMD} add 300 deny ip from 127.0.0.0/8 to any
${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80,8080 via ${LanOut}
${FwCMD} nat 1 config log if ${LanOut} reset same_ports deny_in
${FwCMD} add nat 1 ip from any to any via ${LanOut}
${FwCMD} add allow ip from any to any

Конфиг ядра
#################################
#<----->My addons<-----><------>#
#################################

options><------>IPFIREWALL<---->#enable IPFW
options><------>IPFIREWALL_VERBOSE<---->#enable verbose IPWF
options><------>IPFIREWALL_VERBOSE_LIMIT=1000
options><------>IPFIREWALL_NAT<>#enable "kernel nat"
options><------>LIBALIAS
options><------>IPFIREWALL_FORWARD<---->#enable forwarding
options><------>ROUTETABLES=2
options><------>DUMMYNET<------>#enable shaper
options><------>IPDIVERT<------>#enable divert pockets, ex. to natd

Код: Выделить всё

ifconfig em0 -rxcsum -txcsum

Код: Выделить всё

natd.sh
#!/bin/sh
/sbin/natd -f /usr/local/etc/natd.conf -n em0 -dynamic -p 8668

natd.conf
same_ports yes
use_sockets yes

Код: Выделить всё

>ping ya.ru

Обмен пакетами с ya.ru [93.158.134.3] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 93.158.134.3:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

>ping 169.254.173.254
Обмен пакетами с 169.254.173.254 по с 32 байтами данных:
Ответ от 169.254.173.254: число байт=32 время<1мс TTL=128
Ответ от 169.254.173.254: число байт=32 время<1мс TTL=128
Ответ от 169.254.173.254: число байт=32 время<1мс TTL=128
Ответ от 169.254.173.254: число байт=32 время<1мс TTL=128

Статистика Ping для 169.254.173.254:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

>ping ya.ru

Обмен пакетами с ya.ru [213.180.204.3] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 213.180.204.3:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Код: Выделить всё

Dec 30 21:05:51 makhome kernel: ipfw: 650 Nat ICMP:8.0 169.254.173.1 93.158.134.3 out via em0
Dec 30 21:05:51 makhome kernel: ipfw: 650 Nat ICMP:0.0 93.158.134.3 10.10.120.157 in via em0

Код: Выделить всё

Dec 30 21:15:25 makhome kernel: ipfw: 750 Accept ICMP:8.0 169.254.173.1 93.158.134.3 in via re0
Dec 30 21:15:25 makhome kernel: ipfw: 650 Nat ICMP:8.0 169.254.173.1 93.158.134.3 out via em0
Dec 30 21:15:25 makhome kernel: ipfw: 750 Accept ICMP:8.0 10.10.120.157 93.158.134.3 out via em0
Dec 30 21:15:25 makhome kernel: ipfw: 650 Nat ICMP:0.0 93.158.134.3 10.10.120.157 in via em0
Dec 30 21:15:25 makhome kernel: ipfw: 750 Accept ICMP:0.0 93.158.134.3 169.254.173.1 in via em0

Код: Выделить всё

makhome# tcpdump -n -i em0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
23:48:50.137187 IP 10.10.120.157 > 87.250.251.3: ICMP echo request, id 256, seq 54, length 40
23:48:50.146756 IP 87.250.251.3 > 10.10.120.157: ICMP echo reply, id 256, seq 54, length 40
23:48:54.653890 IP 10.10.120.157 > 87.250.251.3: ICMP echo request, id 256, seq 55, length 40
23:48:54.663759 IP 87.250.251.3 > 10.10.120.157: ICMP echo reply, id 256, seq 55, length 40
23:48:59.654949 IP 10.10.120.157 > 87.250.251.3: ICMP echo request, id 256, seq 56, length 40
23:48:59.664669 IP 87.250.251.3 > 10.10.120.157: ICMP echo reply, id 256, seq 56, length 40
23:49:04.656032 IP 10.10.120.157 > 87.250.251.3: ICMP echo request, id 256, seq 57, length 40
23:49:04.665595 IP 87.250.251.3 > 10.10.120.157: ICMP echo reply, id 256, seq 57, length 40

makhome# tcpdump -n -i re0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
23:50:42.176851 IP 169.254.173.1 > 87.250.251.3: ICMP echo request, id 256, seq 63, length 40
23:50:43.409579 IP 169.254.173.1 > 87.250.251.3: ICMP echo request, id 256, seq 64, length 40

Код: Выделить всё

#ipfw show

Код: Выделить всё

firewall
#!/bin/sh
FwCMD="/sbin/ipfw"           
LanOut="em0"                  
IpOut="me"
LanIn="re0"                   
NetIn="169.254.173.0/24"     
IpIn="169.254.173.254"
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} add 50 check-state
${FwCMD} add 100 pass all from any to any via lo0
${FwCMD} add 200 deny all from any to 127.0.0.0/8
${FwCMD} add 300 deny ip from 127.0.0.0/8 to any
${FwCMD} add allow ip from any to ${IpIn} 22 in via ${LanIn}
${FwCMD} add allow log ip from any to any via ${LanIn}
${FwCMD} add fwd 127.0.0.1,3128 log tcp from ${NetIn} to any 80,8080 via ${LanOut}
${FwCMD} nat 1 config log if ${LanOut} reset same_ports deny_in
${FwCMD} add nat 1 log ip4 from ${NetIn} to any via ${LanOut} out
${FwCMD} add nat 1 log ip4 from any to me via ${LanOut} in
${FwCMD} add allow ip from any to any

Код: Выделить всё

# ipfw show
00050       0          0 check-state
00100    1945     254525 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400   15757     851487 allow ip from any to 169.254.173.254 dst-port 22 in via re0
00500 1467334 1159330505 allow log logamount 1000 ip from any to any via re0
00600  489716   96552242 fwd 127.0.0.1,3128 log logamount 1000 tcp from 169.254.173.0/24 to any dst-port 80,8080 via em0
00700   12910     652931 nat 1 log logamount 1000 ip4 from 169.254.173.0/24 to any via em0 out
00800  797677 1000082703 nat 1 log logamount 1000 ip4 from any to me via em0 in
00900 2269425 1182756821 allow log logamount 1000 ip from any to any
65535       0          0 deny ip from any to any

Код: Выделить всё

#netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.10.112.1        UGS        33  1138715    em0
10.10.112.0/20     link#1             U           0      533    em0
10.10.120.157      link#1             UHS         0        0    lo0
127.0.0.1          link#6             UH          0      984    lo0
169.254.173.0/24   link#3             U           3   937320    re0
169.254.173.254    link#3             UHS         0        1    lo0

Код: Выделить всё

${FwCMD} add nat 1 ip from any to any via ${LanOut}