Jump to content
Калькуляторы

wsimons

Пользователи
  • Content Count

    49
  • Joined

  • Last visited

1 Follower

About wsimons

  • Rank
    Абитуриент
  1. Решил проблему. Все достаточно логично оказалось. Удалил маршрут 0.0.0.0 через gw провайдера Добавил маршрут 192.168.0.0/16 gw провайдера (локалка провайдера) Ну и два nat masquerade правила, один с аут интерфейсом смотрящим в лолалку провайдера, и второе с аутинтерфейсом pptp.
  2. Решил тут заморочится сРоутерОС 4.11, Настроен dhcp client, dhcp server, pptp client. интерфейсы - inet0 (смотрит в провайдера), local0 (смотрит в мою сеть), vpn (vpn клиент) В Firewall/Nat добавлено правило srcnat - out interface - inet0 - masquerade При такой схеме вижу локалку провайдера, но не вижу интернет. Если в аут интерфейс заменить inet0 на vpn - не видит вообще ничего. Но пингуется адрес который получает роутер по пптп. Есть ощущение, что что-то надо в роуты добавить. Но не уверен.
  3. Да, по поводу тисипидампа и спамблока лоханулся, он же как раз тисипидамп использует. Спасибо. Попробуем.
  4. Мне понравилась кинга одна, автор: М. Лукас, "Подробное руководство по FreeBSD", а так, конечно, форумы, друзья:) На ноуте уживутся конечно, это как бут манагер настроете.
  5. По поводу amd64 кстати, CPU ваш естественно должен поддерживать amd64:) А то вдруг старенький зеон какой-нибудь. Да там один диск вам понадобится, порты и все, что нужно возьмете из интернетов:) На 7.3 кажется на двух дисках порты как раз, я не помню, обычно просто использую 1 диск только.
  6. Через spamblock вполне прохолит мониторинг интерфейсов клиентов NG* Но в конфиге спамблока можно указать лишь один интерфейс, а их там ой как много, пока каждого промониторишь - уже выйдет FreeBSD 10.3:)
  7. Ну так и делаю, видны лишь клиенты с внешними ипами, а те, кто через нат сидят -нет. Вариант с блоком 25 порта вообще не вариант, 1) это дикость и придется прописывать в Ipfw правила для доступа на mail.ru и иже с ними 2) Для теста пробовал блочить и опять-же блочатся прекрасно клиенты с внешним ипом, все кто через NAT спокойно обходят и deny ip from any to any src-port 25:) Скорее всего можно вычленить нужный трафик через нетграф. Но увы, сложно для меня очень. Вот пример вывода скрипта спамблоковского, сначала пишет что дескать "Import done. Total 0, readed 0, added 0, deleted 0 blocks." Затем если подождать выдает вот что: Стертый ип это и есть внешний адрес этого впн сервера.
  8. FreeBSD 7.3 Release. mpd5, ngnat. Клиенты подключаются посредством pptp. Часть с внешними ip, чась нет (за натом) Использую spamblock, но в чем проблема, с внешними ипами все просто, а вот с внутренними не получается. Естественно вижу в адресе источника трафика не адрес выдаваемый клиенту, а внешний адрес сервера. Наверное можно сделать что-то через netgraph, но мало себе представляю как.
  9. Лог радиуса перед падением: Fri Jun 25 11:43:57 2010 : Info: WARNING: Child is hung for request 127706. Fri Jun 25 11:43:57 2010 : Error: Discarding duplicate request from client localhost port 51910 - ID: 203 due to unfinished request 127752 Fri Jun 25 11:43:57 2010 : Info: WARNING: Child is hung for request 127676. Fri Jun 25 11:43:57 2010 : Info: WARNING: Child is hung for request 127703. Fri Jun 25 11:43:57 2010 : Error: Discarding duplicate request from client localhost port 55793 - ID: 237 due to unfinished request 127753 Fri Jun 25 11:43:58 2010 : Error: Discarding duplicate request from client localhost port 50065 - ID: 58 due to unfinished request 127754
  10. ДНС локальный, к радиусу по ипу. По поводу логов пока ответить не могу. Надо глянуть.
  11. Интересный момент. Фряха, мпд, радиус, подключающийся к базе пользователей. Суть проблемы: когда на сервере по каким-то причинам отключается интернет, то происходят дисконнеты vpn клиентов, после чего они пытаются снова подключится, но не могут - падает радиус на этой машине, и его нужно рестартить.:)
  12. А оптимизировать эти правила не пробовали ?via ng* in - жрет намного больше чем via inet0 out Для каких целей fwd используете ? Неужели route add отменили ? ;) натить сразу 10/8 в один адрес - круто. Помогает поднять несколько нат и натить каждую /24 в свой белый адрес. 00630 netgraph 23 ip from any to any in via inet0 - тоже красиво. Сквозь это правило проходит ВЕСЬ входящий трафик. Что мешает поменять на 00630 netgraph 23 ip from any to me in via inet0 ? Спасибо за советы. Будем пробывать :)
  13. Это явно в момент минимальной загрузки. Еще не помешает статистика vmstat -z | fgrep NetGraph и vmstat -m | fgrep netgraph На 7.3 стоит попробовать ipfw nat. У ng_netflow уменьшить таймауты, раза в 3. Да это минимальная загрузка vmstat -z | fgrep NetGraph NetGraph items: 72, 4140, 77, 688, 7424225660, 0 NetGraph data items: 72, 540, 1, 539, 18526492846, 6884988 vmstat -m | fgrep netgraph netgraph_msg 0 0K - 15395909 64,128,256,512,1024,2048,4096 netgraph_node 1347 337K - 101560 256 netgraph_hook 3230 404K - 188458 128 netgraph 1056 3417K - 62764 16,32,64,256,512,1024,4096 netgraph_bpf 1608 201K - 66704 128 netgraph_iface 156 20K - 4778 128 netgraph_ksock 157 20K - 14885 128 netgraph_parse 0 0K - 16 16,64 netgraph_ppp 156 1872K - 4778 netgraph_sock 4 1K - 29956 128 netgraph_path 0 0K - 7860441 16,32 netgraph_mppc 0 0K - 1 1024 попробуем на одной ipfw nat результаты отпишу.
  14. используется ng_nat, трафик заворачиваем через ipfwна нетграфе крутится только нат и подсчет трафика, ограничение через mpd ng_car 00230 netgraph 5 ip from ххх.ххх.ххх.0/23 to any via ng* in 00330 fwd ххх.ххх.ххх.ххх ip from ххх.ххх.ххх.0/23 to not ххх.ххх.ххх.0/23 00430 netgraph 1 ip from 10.0.0.0/8 to any via ng* in 00530 fwd ххх.ххх.ххх.ххх ip from ххх.ххх.ххх.ххх to not ххх.ххх.ххх.0/23 00630 netgraph 23 ip from any to any in via inet0 00730 allow ip from any to any /usr/sbin/ngctl -f- <<-SEQ mkpeer ipfw: netflow 1 iface0 name ipfw:1 netflow mkpeer netflow: split out0 in name netflow:out0 split1 mkpeer netflow: ksocket export inet/dgram/udp msg netflow:export connect inet/$ngnat_export connect split1: netflow: out iface1 connect ipfw: netflow: 4 out1 mkpeer split1: nat mixed out name split1:mixed nat1 connect ipfw: nat1: 23 in connect ipfw: netflow: 5 iface2 connect ipfw: netflow: 6 out2 msg nat1: setaliasaddr $ngnat_aliasaddr msg netflow: setdlt { iface=0 dlt=12 } msg netflow: setifindex { iface=0 index=1000 } msg netflow: setdlt { iface=1 dlt=12 } msg netflow: setifindex { iface=1 index=1001 } msg netflow: setdlt { iface=2 dlt=12 } msg netflow: setifindex { iface=2 index=1002 } SEQ There are 15 total types: Type name Number of living nodes --------- ---------------------- mppc 0 socket 5 iface 122 car 210 bpf 105 vjc 0 tee 122 tcpmss 122 split 1 netflow 1 pptpgre 122 ppp 122 nat 1 ksocket 123 ipfw 1 Ну слава богу что я не один такой, только вот там о 1500-2000 сессиях пишут, а у нас такое бывает даже при 50-100, а бывает больше 400 и ничего страшного не происходит.