forum.lissyara.su

Добавлено: **2008-01-25 11:56:20**

FreeBSD 6.2.

Пересобрал кернел с такими опциями. Про ipfw убрал все

device pf
device pflog
device pfsync
options         ALTQ
options         ALTQ_CBQ        
options         ALTQ_RED       
options         ALTQ_RIO       
options         ALTQ_HFSC   
options         ALTQ_PRIQ

Прописал все что нужно в pf.conf, но проблема в том не стартует PF у меня при загрузке
В rc.conf такие опции

Код: Выделить всё

pf_enable="YES"          
pf_rules="/etc/pf.conf"  
pf_program="/sbin/pfctl"      
pflog_enable="YES"   
pflog_logfile="/var/log/pflog"  
pflog_program="/sbin/pflogd"

Если запускать в консоли

Код: Выделить всё

pfctl -e -f /etc/pf.conf

или

Код: Выделить всё

/etc/rc.d/pf start

все стартует без проблем.
Может кто встречался. Куда копать

спасибо

Добавлено: **2008-01-25 14:48:16**

стрянно стрянно
а полный rc.conf как выглядит?

Добавлено: **2008-01-25 15:22:52**

Ну 1.
имхо хватит и

Код: Выделить всё

pf_enable="YES"          
pf_rules="/etc/pf.conf"  
pflog_enable="YES"   
pflog_logfile="/var/log/pflog"

2. в правилах если есть доменные имена, а не чистые ip то резольвер может не отрабатывать, об этом при загрузке должно предупреждать, как впрочем и о просто старте, давай смотри/показывай чтотам пишет у тебя то ..
cat /var/log/messages | grep pf например

Добавлено: **2008-01-25 17:05:26**

Всем спасибо. Разобрался я уже. Весь бубен разбил

проблема была вот в этой строчке в pf.conf

Код: Выделить всё

set loginterface $ext_if

а $ext_if="ng0" это у меня vpn-pptp через mpd который просто не успевал создаваться.

в логах была полная тишина.
пришлось подключать монитор и смотреть на что там ругается.
Ругался вот так:

Код: Выделить всё

pfctl:DIOCSETSTATUSIF

может есть способ как посмотреть весь лог загрузки без подключения монитора?
а то dmesg какой-то совсем короткий.

Добавлено: **2008-01-25 21:58:34**

tf7 писал(а): может есть способ как посмотреть весь лог загрузки без подключения монитора?
а то dmesg какой-то совсем короткий.

Думаю что есть - читать посты в собственной теме -

freeman писал(а):cat /var/log/messages | grep pf например

Добавлено: **2008-01-25 22:28:58**

#man dmesg
dmesg [-a] [-M core [-N system]]
...
-a Show all data in the message buffer. This includes any syslog
records and /dev/console output.
...

Добавлено: **2008-01-25 22:33:27**

Как man читать то оказывается полезно

А я /var/log/messages и пр. логи высматриваю если что, а тут всё в одном месте

Добавлено: **2008-01-25 22:35:26**

а можно еще all.log заюзать....

Добавлено: **2009-10-31 15:38:47**

здравствуйте уважаемые гуру мира FreeBSD. объясните пожалуйста что я делаю не так (я новичок)?
есть задача собрать 2 сервера, один ДХЦП (реализовал) который раздавал бы ип адреса 41влану.
и 2й сервер который раздавал бы всем инет. Вот тут у меня и проблема. настроил natd вроди нормально. по крайней мере без вланов работал. теперь мучаюсь с pf.conf при старте всё время пишет

Код: Выделить всё

[root@voshod ~]# pfctl -e -f  /etc/pf.conf
pfctl: DIOCSETSTATUSIF

pf.conf

Код: Выделить всё

set loginterface tun0
wan="tun0"
lan="10.100.0.0/24"
nat on $wan from vlan1 to any -> ($wan)
nat on $wan from vlan2 to any -> ($wan)
nat on $wan from vlan3 to any -> ($wan)
nat on $wan from vlan4 to any -> ($wan)
nat on $wan from vlan5 to any -> ($wan)
nat on $wan from vlan6 to any -> ($wan)
nat on $wan from vlan7 to any -> ($wan)
nat on $wan from vlan8 to any -> ($wan)
nat on $wan from vlan9 to any -> ($wan)
nat on $wan from vlan10 to any -> ($wan)
nat on $wan from vlan11 to any -> ($wan)
nat on $wan from vlan12 to any -> ($wan)
nat on $wan from vlan13 to any -> ($wan)
nat on $wan from vlan14 to any -> ($wan)
....
nat on $wan from vlan40 to any -> ($wan)
nat on $wan from vlan90 to any -> ($wan)

set skip on lo0
set skip on {vlan1, vlan2, vlan3, vlan4, vlan5, vlan6, vlan7, vlan8, vlan9, ... , vlan90}

Уже всё открываю, и всё равно не хочит ничего никак работать.
rc.conf

Код: Выделить всё

gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
natd_program="/sbin/natd"
#
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags="-f /etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
pflog_program="/sbin/pflogd"
pflog_flags=""
pfsync_enable="NO"
pfsync_syncdev=""
pfsync_ifconfig=""

в ядре

Код: Выделить всё

device pf
device pflog
device pfsync
options         ALTQ
options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
options         ALTQ_RED        # Random Early Detection (RED)
options         ALTQ_RIO        # RED In/Out
options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
options         ALTQ_NOPCC      # Required for SMP build

Очень надеюсь на вашу помощь.

Добавлено: **2009-10-31 19:12:31**

1. Reason, если Вы используете PF, то натить он может и сам(правила Вы ведь сами прописали) и ему не нужен дополнительный демон NATинга.
Тоесть закоментируйте

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
natd_program="/sbin/natd"

2. Вы не написали как именно хотите раздавать интернет. Если две сетевухе, проверте чтобы

Код: Выделить всё

#sysctl -a | grep net.inet.ip.forwarding
net.inet.ip.forwarding: 1

для этого(естественно если это не так)
/etc/rc.conf

Код: Выделить всё

gateway_enable="YES"

или
/etc/sysctl.conf

Код: Выделить всё

net.inet.ip.forwarding=1

3. Проверте синтаксис

Код: Выделить всё

# pfctl -nf /etc/pf.conf

4. Покажите вывод

Код: Выделить всё

#ifconfig -a
#cat /etc/rc.conf
#cat /etc/pf.conf

конфиги полностью, это облегчит поиск проблемы
P.S. детализированей сформулируйте чё у вас и как + требования

Добавлено: **2009-10-31 21:50:36**

спасибо за столь ценную подсказку) , но натд мне нужен для того чтобы выдавать внешние (белые) ипы...

Код: Выделить всё

если Вы используете PF, то натить он может и сам

inet должен с одного интерфейса rl0 подаваться на интерфейс rl1. который в свою очередь раздаст его пользователям в равных долях.

Естественно я добавил в rc.conf строки

Код: Выделить всё

 gateway_enable="YES"

Синтаксис # pfctl -nf /etc/pf.conf это просто банальный переход на новую строку, если не понятно. то выглядит так:

Код: Выделить всё

#pfctl -nf /etc/pf.conf
#

К сожалению остальную информацию смогу дать только в понедельник... Ибо сервер находится на работе...

самая точная формулировка того что мне надо... мне надо помочь в настройке PF, потому что сам я не справляюсь с этим... надеюсь, что благодаря вам начну понимать принципы его настройки. Надо пустить inet по VLAN. и ограничить доступ от внешнего вторжения в локальную сеть.

Добавлено: **2009-10-31 22:27:04**

Более детально. устроился на работу в небольшую компанию. которая предоставляет услуги инет провайдера. До меня всё было реализовано на Win ser 2003. был 1 пул. по нормальному никто не захотел делать. и потому разные компании ставили себе не марши, а свитчи, в следствии чего стали видны друг другу. реальный выход из этой ситуации это разделение сети на VLAN, и помещение в каждый влан одну организацию. всё работает, кроме инета. Ранее инет раздавался по средством FreeBSD, как только я прописываю на нём вланы. инет не раздаётся.

З.Ы. возможно у меня хреново с формулировкой, но надеюсь что вы меня поняли.

Добавлено: **2009-10-31 22:35:04**

ставили себе не марши, а свитчи,

а какие ?

p.s. просто если железки нормальные то сеть можно раздавать и без серверов, нужен только будет учет трафика

Добавлено: **2009-10-31 22:57:16**

Хрень всякая рублей за 400 не рули...

Добавлено: **2009-10-31 22:58:35**

У меня D-Link DES-3550

Добавлено: **2009-11-01 0:24:04**

не, лучше тогда freebsd конечно

Добавлено: **2009-11-01 0:32:09**

Reason писал(а):Более детально. устроился на работу в небольшую компанию. которая предоставляет услуги инет провайдера. До меня всё было реализовано на Win ser 2003. был 1 пул. по нормальному никто не захотел делать. и потому разные компании ставили себе не марши, а свитчи, в следствии чего стали видны друг другу. реальный выход из этой ситуации это разделение сети на VLAN, и помещение в каждый влан одну организацию. всё работает, кроме инета. Ранее инет раздавался по средством FreeBSD, как только я прописываю на нём вланы. инет не раздаётся.

З.Ы. возможно у меня хреново с формулировкой, но надеюсь что вы меня поняли.

на всякий случай

Код: Выделить всё

http://subnets.ru/blog/?p=70
http://subnets.ru/blog/?p=198

для реализации вашей схемы нужно, чтобы вы подключили switch КАЖДОЙ компании в ВАШ switch в ACCESS порт, а уже ВАШ свитч подключили транком к FreeBSD(посмотрите ссылки). Тогда для каждой компании будет свое адресное пространство(своя подсеть) и все будут ходить в нет через defaultrouter фряхи.

По поводу настройки PF

Код: Выделить всё

http://house.hcn-strela.ru/BSDCert/BSDA-course/apc.html

я все-таки недопонимаю ситуацию

:

натд мне нужен для того чтобы выдавать внешние (белые) ипы...

inet должен с одного интерфейса rl0 подаваться на интерфейс rl1. который в свою очередь раздаст его пользователям в равных долях.

Добавлено: **2009-11-01 11:08:37**

я все-таки недопонимаю ситуацию :

В сети появились компании которым надо смотреть во внешний инет со своего внешнего ипа, толи сервер у них там какой, то ли что... но диапазон вида 192.168.0.0/24 их не устраивает. А natd даёт возможность перенаправить все пакеты отправленные на этот внешний ип:

Код: Выделить всё

-redirect_address localIP publicIP

Добавлено: **2009-11-01 13:14:39**

Что то мне кажется что я туплю... Не мудрено наверное, я просто чего то недопонимаю... Если есть варианты для реализации лучше чем у меня, то подскажите!

Добавлено: **2009-11-01 13:17:03**

А НАТ без фаера будет работать? или фаера необходим для работы ната? Мне надо в понедельние уже запустить всю сеть, а фаер настроить чуть позже...

Добавлено: **2009-11-01 18:30:42**

Reason писал(а):А НАТ без фаера будет работать? или фаера необходим для работы ната? Мне надо в понедельние уже запустить всю сеть, а фаер настроить чуть позже...

в PF и IPFILTER он(НАТ) встроенный, а вот если на счет IPFW... Честно говоря никогдя даже не пытался заставить работать natd без ipfw.
Тут вам смотреть

Код: Выделить всё

http://www.lissyara.su/?id=1967

.

В сети появились компании которым надо смотреть во внешний инет со своего внешнего ипа, толи сервер у них там какой, то ли что... но диапазон вида 192.168.0.0/24 их не устраивает.

нужно разобраться нужен вам нат или маршрутизация, если клиенты хотят на тачках использовать реальные IP, тогда их нужно маршрутизировать. Я так понимаю вам выдан диапазон реальных ипов и некоторые вы даете клиентам, тогда для работы с реальными адресами нат вам не нужен.

Другое дело если те клиенты, которые нуждаются в реальных адресах, прописывают себе приватные, а уже на шлюзе происходит Static NAT,
эго 192.168.0.10 <-> 69.230.221.135 (например). И из мира тачка спокойно видна под 69.230.221.135 и из локалки под 192.168.0.10.

Добавлено: **2009-11-01 19:37:25**

если клиенты хотят на тачках использовать реальные IP, тогда их нужно маршрутизировать. Я так понимаю вам выдан диапазон реальных ипов и некоторые вы даете клиентам, тогда для работы с реальными адресами нат вам не нужен

нами выкуплен диапазон из 8 ми реальных ипов, и надо выдать их абонентам, для того что бы они могли сидя дома спокойно VPNить на работу. это лучше маршрутизацией сделать. или НАТом ???

Добавлено: **2009-11-01 19:46:19**

Другое дело если те клиенты, которые нуждаются в реальных адресах, прописывают себе приватные, а уже на шлюзе происходит Static NAT,
эго 192.168.0.10 <-> 69.230.221.135 (например). И из мира тачка спокойно видна под 69.230.221.135 и из локалки под 192.168.0.10

а если в сети им выдать диапазон 89.189.189.X/24 на интерфейс который смотрит во внешнюю среду прописать 89.189.189.X/48 и Static NAT... Или всё таки есть варианты проще????

Добавлено: **2009-11-02 0:25:37**

а если в сети им выдать диапазон 89.189.189.X/24 на интерфейс который смотрит во внешнюю среду прописать 89.189.189.X/48 и Static NAT

это жесть какая-то

, еслы вы дадите пользователям за натом реальные адреса(как в вашем примере), то вероятно вы заберете чьито IP и эти ресурсы для вас станут недоступны...короче будут неприятные моменты. Так ведь никно не делает, нат от для того и нужен что бы транслировать локальные в глобальные и наоборот.

нами выкуплен диапазон из 8 ми реальных ипов, и надо выдать их абонентам, для того что бы они могли сидя дома спокойно VPNить на работу. это лучше маршрутизацией сделать. или НАТом ???

Если у вас от вышестоящего провайдера кусок кабеля "на котором" 8 реальных адресов, то полюбому просто делать статический нат. И будет счастье вашем VPNщикам

Если же у вас для общения с провайдером отдельная подсеть, а эти 8 он вам дал для ВАШЕЙ внутренней подсети(и соответственно у провайдера настроено направления пакетов для этих адресов на ваш шлюз), тогда - статическая маршрутизация(или точнее тупо все засылать прову

).

Если бы вы еще простенький рисунок(топологию) наваяли, ваще просто было бы

Добавлено: **2009-11-03 22:56:55**

В конфиге pf есть переменная виртуальных интерфейсов ? типа от ОпенВПН итд итп....

Добавь { }

Код: Выделить всё

Правило..... -> {tun0}

У меня такое было, я разобрался в чем дело, советую прочитать документацию по pf
Да и тоже самое может быть если вы блочите не по IP адресу, а по ДНС записи.

forum.lissyara.su

Старт PF при загрузке

Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке

Re: Старт PF при загрузке