Страница 1 из 1
Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-11 22:57:01
qtolikq
Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (
http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
Ядро:
Код: Выделить всё
#FIREWALL
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_NAT
options IPFILTER
options LIBALIAS
#NETGRAPH
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
##############################
RC.CONF
defaultrouter="192.168.1.1"
hostname="local"
ifconfig_re0="inet 192.168.1.90 netmask 255.255.255.0"
keymap="ru.koi8-r"
sshd_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
mpd_flags="-b"
gateway_enable="YES"
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/my.firewall"
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /etc/my.nat"
##############################
MY.FIREWALL
#!/bin/sh
FwCMD="/sbin/ipfw"
Lan="re0"
Ipin="192.168.1.90"
${FwCMD} -f flush # Flushes all the rules
${FwCMD} -f pipe flush # Reset all pipe
${FwCMD} -f queue flush # Reset queue
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow tcp from any to me 1723
${FwCMD} add allow gre from any to any
${FwCMD} nat 123 config ip ${Ipin}
${FwCMD} add nat 123 ip from any to any via ${Lan}
${FwCMD} add allow tcp from any to ${Ipin} 22 in via ${Lan} setup # Permit SSH
${FwCMD} add allow tcp from any to ${Ipin} 80 in via ${Lan} setup # Permit HTTP
${FwCMD} add allow tcp from any to ${Ipin} 443 in via ${Lan} setup # Permit HTTPS
${FwCMD} add allow icmp from any to any icmptypes 0,8,11 # Permit ICMP
${FwCMD} add deny ip from any to any
MY.NAT
map re0 192.168.0.10/24 -> 192.168.1.90
вот вроде и всё mpd.conf настроин по этой ссылки (
http://www.lissyara.su/articles/freebsd ... /vpn_mpd5/ )
помогите салаге в настройке чертёнка.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-12 11:55:36
skeletor
qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (
http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-12 13:08:20
qtolikq
skeletor писал(а):qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (
http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.
Ну извините, может не так растолковал, попробую по другому мне надо настроить firewall так как настроен PF вот здесь вот пример его
(
Код: Выделить всё
/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
)
С PF всё работает хорошо но как писал он меня не устраивает, мне надо firewall вот и
Прошу помощи у вас.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-12 13:26:03
qtolikq
qtolikq писал(а):skeletor писал(а):qtolikq писал(а):Проблема такая хочу настроить VPN Server и поставить его дата центре чтоб через него выходить в интернет, но вот проблема с Firewal с ним ни как не получается выйти в интернет после соединение с vpn, пробовал PF как указано в этой ссылки (
http://www.lissyara.su/articles/freebsd ... /mpd5_vpn/ ) всё нормально подключается и выходит во внешку но он меня не устраивает, так можно писать без конечно приведу все конфиги помогите салаге,
так и ничего не понял в этой фразе.
Ну извините, может не так растолковал, попробую по другому мне надо настроить firewall так как настроен PF вот здесь вот пример его
(
Код: Выделить всё
/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
)
С PF всё работает хорошо но как писал он меня не устраивает, мне надо firewall вот и
Прошу помощи у вас.
Если проста говорить то мне надо чтоб на одном сетевом адаптере был и интернет и VPN и через vpn мог выходить в сеть.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-12 13:42:58
skeletor
qtolikq писал(а):
Код: Выделить всё
/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
Если с таким конфигом всё работает, то на ipfw это будет выглядеть вот так:
ну и вообще для уверенности добавить такое:
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-12 18:15:55
qtolikq
skeletor писал(а):qtolikq писал(а):
Код: Выделить всё
/# ee /etc/pf.conf
nat on nfe0 from 192.168.100.0/24 to any -> 192.168.1.254
pass in all
pass out all
Если с таким конфигом всё работает, то на ipfw это будет выглядеть вот так:
ну и вообще для уверенности добавить такое:
qtolikq писал(а):Спасибо конечно за то что откликнулись но такое я уже пробовал посмотрите в мой конфиг firewall и увидите тоже самое, сейчас опять пробовал перекомпилировать ядро под PF всё работает и соединяется и во внешку пускает потом поставил firewall и опять тоже самое как же это дело настроить.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 14:43:25
skeletor
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 16:55:12
qtolikq
skeletor писал(а):Ну тогда давайте вывод
qtolikq писал(а):Хорошо вот.
Код: Выделить всё
root# ipfw show
00001 14819 2484728 allow ip from any to any
00002 0 0 allow gre from any to any
65535 0 0 allow ip from any to any
root#
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 17:17:25
skeletor
Есть несколько вопросов:
1) Вы используете файервол ipf ? Если да, то зачем вам тогда ещё и ipfw. Если нет, тогда зачем эта строка в ядре
?
2) Вы используете Netgraph? Если да, то где именно? Если нет, тогда зачем вам эти строки в ядре?
Код: Выделить всё
#NETGRAPH
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
3) Как можно получить правило только 1 правило с номером 65535
при сборке ядра без опции
4) Как natd может использовать синтаксис от ipf? А точнее ipnat'a.
5)
---------------- эта строка необязательна, эта опция по дефолту стоит.
6) у тебя только 1 сетевуха, без вланов и ты ёё пытаешься натить. Зачем? Просто капец.
Вообщем у тебя каша: несколько файерволов, NAT-вообще не работает. Как вообще в такой конфигурации что-то работает
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 18:33:40
qtolikq
skeletor писал(а):Есть несколько вопросов:
1) Вы используете файервол ipf ? Если да, то зачем вам тогда ещё и ipfw. Если нет, тогда зачем эта строка в ядре
?
2) Вы используете Netgraph? Если да, то где именно? Если нет, тогда зачем вам эти строки в ядре?
Код: Выделить всё
#NETGRAPH
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
3) Как можно получить правило только 1 правило с номером 65535
при сборке ядра без опции
4) Как natd может использовать синтаксис от ipf? А точнее ipnat'a.
5)
---------------- эта строка необязательна, эта опция по дефолту стоит.
6) у тебя только 1 сетевуха, без вланов и ты ёё пытаешься натить. Зачем? Просто капец.
Вообщем у тебя каша: несколько файерволов, NAT-вообще не работает. Как вообще в такой конфигурации что-то работает
qtolikq писал(а):
Насчет ядра я уже понял, что много лишнего, а насчет MPD5 он мне нужен для соединение по vpn а насчет одной сетевой карты как еще мне дата центре толка один канал 100mb дают и мне через него надо и получать и отправлять и в том числе и vpn для получение интернета внешнего трафика через сервер. Сейчас у меня вот как ядро собрано но также на PF все ок а на firewall не идёт. Вот все конфиги.
Код: Выделить всё
#FIREWALL
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_NAT
options DUMMYNET
options LIBALIAS
#NETGRAPH
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TTY
options NETGRAPH_UI
rc.conf
defaultrouter="192.168.1.1"
hostname="qis.kz"
ifconfig_re0="inet 192.168.1.90 netmask 255.255.255.0"
keymap="ru.koi8-r"
sshd_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
mpd_flags="-b"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"
rc.firewall
#!/bin/sh
ipfw add 1 allow all from any to any
ipfw add 2 allow gre from any to any
вот и все вроде ну в чем собака зарыта не пойму что на pf работает а на firewall нет.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 20:05:55
terminus
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-13 22:21:42
qtolikq
По моему это уже у меня прописано я ядре NETGRAPH_PPTPGRE если я не ошибаюсь и если я пропишу его то получится ошибка и черт не сможет загрузится.
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-14 10:15:36
терминус_
это команда которую надо запустить от рута. она запускает модуль libalias для ipfw nat / ng_nat
Re: Помогите настроить FreeBSD + firewall + nat
Добавлено: 2011-04-14 10:38:53
skeletor
2qtolikq Тебе нравится делать большой оверквоттинг? Ты не ответил на мои вопросы
