Страница 1 из 1

FreeBSD: MPD и авторизация

Добавлено: 2006-10-09 19:23:37
lodErunnEr
Дано:


Сервер:
Freebsd;
fxp0 смотрит внутрь;
rl0 наружу;
natd висит на внешнем;
нужно раздавать инет через VPN (для этого использую mpd);

Т.о. для того, чтобы выйти в инет юзеру на клиентской машине нужно создать vpn-подключение и указать имя/пароль.
После этого он будет выпущен в интернет.

Настройки клиента:
только свой IP и маска.

все работает.

НО(!!!!!): Если на клиенте ЯВНО в качестве шлюза указать IP сервака то в инет можно выходить без VPN и прочей хрени...

КАК СДЕЛАТЬ ТАК , ЧТОБЫ СЕРВЕР ВЫПУСКАЛ В ИНЕТ ТОЛЬКО АВТОРИЗОВАННЫХ В MPD ПОЛЬЗОВАТЕЛЕЙ?

Добавлено: 2006-10-09 19:25:39
Alex Keda
man ipfw? :)

Добавлено: 2006-10-09 19:29:28
lodErunnEr
lissyara писал(а):man ipfw? :)
логично.

правило которое дивертит траффик NATу было такое:

${ipfw} add 50 divert natd ip from any to any via ${extif}

поменял на

${ipfw} add 50 divert natd ip from 10.1.2.0/24 to any via ${extif}

10.1.2.0/24 - подсеть с адрессами под VPN

инет на клиенте исчез совсем :? .....

да и хотелось бы не так вообще ... а разрешить трансляцию адрессов только между ng* и ${extif}....

как это сделать?

Добавлено: 2006-10-10 11:12:23
dikens3

Код: Выделить всё

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush


# Пускаем lo
        ${fwcmd} add pass all from any to any via lo0
        ${fwcmd} add deny all from any to 127.0.0.0/8
        ${fwcmd} add deny ip from 127.0.0.0/8 to any
# Пускаем Нашу сеть
        ${fwcmd} add pass all from any to any via fxp0
        ${fwcmd} add deny all from ${mylan} to any out
        .....
        ${fwcmd} add divert natd all from any to any
        .....
mylan - это адреса твоей сети, типа 192.168.1.0/24
в mpd назначь отличные от mylan - типа 192.168.100.0/24

В итоге в инет не пройдёт никто, кто не авторизовался по VPN

в свою очередь правило:

Код: Выделить всё

# Пускаем Нашу сеть
        ${fwcmd} add pass all from any to any via fxp0
Заблокирует на этом интерфейсе все входящие IP, отличные от mylan, если пользователи надумают выставить себе что-нибудь из адресов VPN и укажут твой шлюз.