Zero Опубликовано 10 марта, 2006 · Жалоба Доброго времени суток! Есть машина FreeBSD 5.4 + Stargazer 2.0.14 (www.stg.dp.ua) rl0 (192.168.0.254)- смотрит в локаль (192.168.0.0/24) rl1 (10.0.32.10) - смотрит в сеть прова (10.0.32.0/24) ng0 (10.0.201.109) - впн, через который летит инет. Даю rc.conf: gateway_enable="YES" firewall_enable="YES" firewall_type="/etc/firewall/rules" natd_enable="YES" natd_interface="rl1" natd_flags="-redirect_port tcp 192.168.0.1:3000 80" sshd_enable="YES" usbd_enable="YES" ifconfig_rl1="inet 10.0.32.10 netmask 255.255.255.0" ifconfig_rl0="inet 192.168.0.254 netmask 255.255.255.0" #defaultrouter="10.0.32.1" hostname="Inet-Getway.Z-Network.local" router_flags="-q" router="/sbin/routed" router_enable="YES" static_routes="vpn" route_vpn="10.0.0.0/17 10.0.32.1" export route_vpn Даю /etc/firewall/rules: #Сброс правил -f flush #Все что приходит на 10.0.32.10 из сети прова заганяем в диверт сокет add 1 divert natd ip from any to 10.0.32.10 in via rl1 #Резрешаем ходить пингам внутри локали add 10001 allow icmp from any to any via rl0 #add 10002 allow ip from 10.0.32.10 to any via rl1 #Резрешаем коннектится авторизатором из внутренней сети 5555 порт add 10003 allow udp from 192.168.0.0/24 to 192.168.0.254 5555 via rl0 add 10004 allow udp from 192.168.0.254 5555 to 192.168.0.0/24 via rl0 add 10005 allow udp from 192.168.0.254 5554 to 192.168.0.0/24 via rl0 #Резрешаем коннект конфигуратора с 192.168.0.1 и 192.168.0.2, на порт 4444 add 10006 allow tcp from 192.168.0.1 to 192.168.0.254 4444 via rl0 add 10007 allow tcp from 192.168.0.254 4444 to 192.168.0.1 via rl0 add 10008 allow tcp from 192.168.0.2 to 192.168.0.254 4444 via rl0 add 10009 allow tcp from 192.168.0.254 4444 to 192.168.0.2 via rl0 #Разрешаем коннект на чат-сервер из локали add 10010 allow tcp from 192.168.0.0/24 to 192.168.0.254 6666 via rl0 add 10011 allow tcp from 192.168.0.254 6666 to 192.168.0.0/24 via rl0 #Разрешаем коннект на чат-сервер из локали прова add 10012 allow tcp from 10.0.0.0/16 to 10.0.32.10 6666 via rl1 add 10013 allow tcp from 10.0.32.10 6666 to 10.0.0.0/16 via rl1 #Разрешаем с 192.168.0.1 и 192.168.0.2 доступ по ssh add 10014 allow tcp from 192.168.0.1 to 192.168.0.254 22 via rl0 add 10015 allow tcp from 192.168.0.254 21-22 to 192.168.0.1 via rl0 add 10016 allow tcp from 192.168.0.2 to 192.168.0.254 22 via rl0 add 10017 allow tcp from 192.168.0.254 21-22 to 192.168.0.2 via rl0 #Разрешаем доступ на web-сервер из сети прова add 10018 allow tcp from 10.0.0.0/16 to 10.0.32.10 80 via rl1 add 10019 allow tcp from 10.0.32.10 80 to 10.0.0.0/16 via rl1 #Разрешаем коннект на 3000 порт 192.168.0.1 (нужно) add 10020 allow tcp from 192.168.0.254 to 192.168.0.1 3000 via rl0 add 10021 allow tcp from 192.168.0.1 3000 to 192.168.0.254 via rl0 #Разрешаем поднятие VPN к 10.0.4.3 add 10022 allow tcp from 10.0.32.10 to 10.0.4.3 1723 via rl1 add 10023 allow tcp from 10.0.4.3 to 10.0.32.10 via rl1 add 10024 allow gre from 10.0.32.10 to 10.0.4.3 via rl1 add 10025 allow gre from 10.0.4.3 to 10.0.32.10 via rl1 #Все что направляется в сеть прова из 192.168.0.1 и 192.168.0.2 заганяем в диверт сокет add 2 divert natd ip from 192.168.0.1 to any out via rl1 add 3 divert natd ip from 192.168.0.2 to any out via rl1 #Когда прописую эту муть и кто то из сети прова ставит прописывает "route #add 192.168.0.0/24 10.0.32.10", спокойно может получать доступ на все порты #этих машин (нужно устранить). Когда убираю нифига не работает add 4 allow ip from any to 192.168.0.1 add 5 allow ip from any to 192.168.0.2 add 6 allow ip from 192.168.0.1 to 10.0.0.0/16 add 7 allow ip from 192.168.0.2 to 10.0.0.0/16 #Без этого не летит на впн... add 8 allow ip from 10.0.201.109 to any via ng0 Короче задача: При отключенном авторизаторе: 1. Розрешить коннект с 192.168.0.0/24 к 192.168.0.254 на порт 5555 (авторизатор). 2. Розрешить коннект с 192.168.0.1 и 192.168.0.2 к 192.168.0.254 на порт 4444 (Конфигуратор) 3. Розрешить коннект с 192.168.0.0/24 к 192.168.0.254 на порт 6666 (чат) 4. Розрешить коннект с 10.0.0.0/16 к 10.0.32.10 на порт 6666 (чат) 5. Розрешить доступ с 192.168.0.1 и 192.168.0.2 в сеть прова (10.0.0.0/16), но при этом чтобы не было того бага с установкой маршрута. 6. Резрешить поднятие впн к 10.0.4.3. При включенном авторизаторе: 1. Разрешить юзеру доступ в инет (тот что летит через ВПН). 2. Разрешить юзеру доступ к 10.0.32.11 на порт 80 (веб). 3. Разрешить юзеру доступ к 10.0.4.3 на порт 6667 (ирк). 4. Разрешить юзеру доступ к 10.0.4.8 на порт 27001 (КС). И соответственно ответы с этих портов.... Нужно: OnConnect, OnDisconnect, правила файрвола. Для поднятия впн используется mpd, нужны скрипты io-up.sh, io-down.sh Помогите пожалуйста! Я уже совсем запутался! Заранее благодарен! ЗЫ: Извените если уже было на форуме... Вроде как все перелазил не нашел... Если не заметил дайте точную ссылку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kucher2 Опубликовано 25 апреля, 2006 · Жалоба Для всех, кто спрашивает о СТГ: все ответы есть здесь: http://stg.dp.ua/doc.php - с подробным описанием как настроить и примерами конфигов. Ещё смотрите тут: http://local.com.ua/forum/index.php?showforum=3 - мне очень помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_J_ Опубликовано 27 апреля, 2006 · Жалоба дивертить в натд полный изврат гораздо лучше то делать через pf ну или ipf Сейчас в одной конторе поставил фряху 5.4 где нормально прижились Ipfw и ipnat, а инет забирается впном. По сравнению с натд просто сказка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 27 апреля, 2006 · Жалоба дивертить в натд полный извратгораздо лучше то делать через pf ну или ipf Сейчас в одной конторе поставил фряху 5.4 где нормально прижились Ipfw и ipnat, а инет забирается впном. По сравнению с натд просто сказка стесняюсь спросить , а в чём существенное различие между natd и ipnat ? в чём сказака то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 28 апреля, 2006 · Жалоба сказка еще та.. заставь через ipnat pptp ходить - сказка еще та.. Или всякие IRC - пользователи рады будут такой сказке... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 28 апреля, 2006 · Жалоба сказка еще та.. заставь через ipnat pptp ходить - сказка еще та.. Или всякие IRC - пользователи рады будут такой сказке... ну а если не брать в расчёт pptp и irc... инет лучше работает? или также? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dravor Опубликовано 28 апреля, 2006 · Жалоба также Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 28 апреля, 2006 · Жалоба также а чё им тогда все хвалятся ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saenara Опубликовано 28 апреля, 2006 · Жалоба natd работает через user-space, то есть, на каждый пакет происходит два переключения контекста. pf выполняет все в контексте ядра. Так что разница все-таки есть :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 28 апреля, 2006 · Жалоба natd работает через user-space, то есть, на каждый пакет происходит два переключения контекста.pf выполняет все в контексте ядра. Так что разница все-таки есть :-) ну да! главное что её не видно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alcool Опубликовано 28 апреля, 2006 · Жалоба говорят ipnat быстрее.. лично я разницы не заметил, во всяком случчае при маленькой таблице и там и там всё упералось почти в один предел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 апреля, 2006 · Жалоба говорят ipnat быстрее.. лично я разницы не заметил, во всяком случчае при маленькой таблице и там и там всё упералось почти в один предел. а сколько предел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saenara Опубликовано 29 апреля, 2006 · Жалоба ну да! главное что её не видно Гениальный вывод. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anclbob Опубликовано 29 апреля, 2006 · Жалоба ну да! главное что её не видно Гениальный вывод. я имел ввиду что бы пользователи не жаловались на дисконнекты и плохую скорость.... вот этих чудес в natd нету Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...