Stg+ipfw=ничего не пашит

[lex.lviv 1]

итого.

1. система фрибсд 6.4 (на 7 фрихе не удалось поднять систему)

2. 2 сетевых интерйфеса

3. старгейзер поднятый, и отвечающий на запросы конфигуратора и авторизатора

 

4. а меджу картами то нет маршрутизации. что я не правильно прописал то в фаэрволе. делал как в мануале с оф сайта.

(так авторизатор и конфигуратор вообще не конектились к серверу)

 

вот что я навоял

#!/bin/sh
fwcmd="/sbin/ipfw"
natdcmd="/sbin/natd"
int_if="vr0"
ext_if="rl0"

${fwcmd} -f flush

${natdcmd} -s -m -u -a 192.168.100.5  !!!!!!!!!!т  при вызове етой строки выдает нечто - что адрес уже задействован но скрипт бежит дальше без продлемы

${fwcmd} add 10 allow icmp from any to any

#${fwcmd} add 301 deny ip from any to 192.168.0.0/16 out via ${ext_if}
#${fwcmd} add 302 deny ip from any to 172.16.0.0/12 out via ${ext_if}

#		
# stargazer   8888	  
${fwcmd} add 307 allow tcp from any to 172.16.123.45 5555 via ${int_if}
${fwcmd} add 308 allow udp from any to 172.16.123.45 8888 via ${int_if}
${fwcmd} add 309 allow udp from any to 172.16.123.45 5555 via ${int_if}
${fwcmd} add 310 allow udp from 172.16.123.45 to any via ${int_if}
${fwcmd} add 311 allow tcp from 172.16.123.45 to any via ${int_if}

# allow connections from internal net from host to server  ssl
#${fwcmd} add 315 allow tcp from 192.168.100.5 to 172.16.123.45 22 via ${int_if}
${fwcmd} add 316 allow tcp from any to 172.16.123.45 22 via ${int_if}


# block client to router
#${fwcmd} add 320 deny log ip from 192.168.100.0/24 to 172.16.123.45 via ${int_if}
#${fwcmd} add 321 deny log ip from 192.168.10.0/24 to 192.168.20.1 via ${int_if}
#${fwcmd} add 322 deny log ip from 172.16.123.0/24 to 172.16.123.45 via ${int_if}

${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup
${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

${fwcmd} add 50031 allow udp from any to any out via ${ext_if}
${fwcmd} add 50032 allow udp from any 53 to any  via ${ext_if}

#allow connections wia ssh to router from ext 
${fwcmd} add 50033 allow tcp from any to 192.168.100.5  22 via ${ext_if}
${fwcmd} add 50034 allow tcp from any to 172.16.123.45  22 via ${int_if}


#$fwcmd add 65534 deny log ip from any to any

где же зарыт кот?

итого реально с внутренней сети могу пингануть только внутренний и внешний интерфейс и ничего болие

простите за возможную некоректность вопросов. занимался поднятием вебов а не биллингов

[nightfly 1 221]

где же зарыт кот?

в банальном непонимании того что вы делаете в принципе

 

Какраз начал писать серию статей из цикла "FreeBSD для чайников"

 

http://nightfly.habrahabr.ru/blog/70414/

http://habrahabr.ru/blogs/bsdelniki/71053/

 

 

Повникайте что-ли.

[lex.lviv 1]

доброго утречька. не спорю что недопонимание присутствует. главное чтоб было желание

 

${FwCMD} table 2 add 192.168.0.0/24

${FwCMD} table 9 add 10.10.10.8/32

#internet natting and preserving

${FwCMD} add 1799 divert 8671 ip from table\(2\) to not table\(9\) out via rl1

${FwCMD} add 2099 divert 8671 ip from any to 10.10.10.1 in via rl0

использовал етот пример и ослучислось счастье

 

но. опять но

 

ipwf выдает вот таку строчку красивую к верхним имеющимся

 

65535 allow tcp any to any

 

и все юзеры - авторизирующиеся или не авторизирующиеся ходят в нет на ура

 

удаляя строку 1799 в нет ходит только бсд

 

что по вашему я профтыкал

пс(правила приведенные в посте выше вообще мертвый номер)

[Kucher2 122]

что по вашему я профтыкал

http://stargazer.dp.ua/doc20/conf_example_freebsd.html

+ man ipfw

пс(правила приведенные в посте выше вообще мертвый номер)

Конечно мёртвый, у вас там чёрт ногу сломит.

Зачем например у вас правила с 307 по 311 - для всего лишь ОДНОЙ машины?

И что у вас divert natd делает аж 50024-ым правилом? Конечно не будет ничего работать, у вас же по OnConnect'ту правила юзеров наверняка выше.

Сходите по ссылке, это ман к СТГ. Пусть он кривой, но там по крайней мере есть описание "что и как".

И покажите /etc/rc.conf, OnConnect и конфиг СТГ.

[nightfly 1 221]

что по вашему я профтыкал

вобще всю логику работы ipfw

 

ipfw add 60000 deny ip from any to table\(2\)

ipfw add 60000 deny ip from table\(2\) to any

 

очевидно же

 

пс(правила приведенные в посте выше вообще мертвый номер)

про груду бесполезного металлолома знаете присказку?

[lex.lviv 1]

http://stargazer.dp.ua/doc20/conf_example_freebsd.html

+ man ipfw

 

Конечно мёртвый, у вас там чёрт ногу сломит.

Зачем например у вас правила с 307 по 311 - для всего лишь ОДНОЙ машины?

И что у вас divert natd делает аж 50024-ым правилом? Конечно не будет ничего работать, у вас же по OnConnect'ту правила юзеров наверняка выше.

Сходите по ссылке, это ман к СТГ. Пусть он кривой, но там по крайней мере есть описание "что и как".

И покажите /etc/rc.conf, OnConnect и конфиг СТГ.

пример с поста 1 это как раз с статьи на сайте старгейзера... так что там глюк

 

 

 

вобще всю логику работы ipfw

 

ipfw add 60000 deny ip from any to table\(2\)

ipfw add 60000 deny ip from table\(2\) to any

 

очевидно же

 

 

про груду бесполезного металлолома знаете присказку?

 

таки теперь понял в чем причина. ночь проведенная с мануалом и много чашек кофе... теперь все стало понятно и просто и забегало.

 

ваши примеры со старгейзером малость переработал под нужды конкретного биллинга(без мака но с разными ап и даун скоростями)

 

на следующей неделе сяду и навояю еще системку для блока сайтецов разных(типа торрентов)

ну и сделаю историю посещений пользователем ресурсов.

если интересно то выкину сюда что получилось и как бегает

[nightfly 1 221]

ваши примеры со старгейзером малость переработал под нужды конкретного биллинга(без мака но с разными ап и даун скоростями)

ну да, минус одна строка плюс один знак деления допустим - искренне поздравляю

 

на следующей неделе сяду и навояю еще системку для блока сайтецов разных(типа торрентов)

а еще кроме основ freebsd вы не знаете как работает торрент? ждем еще технологии безболезненного и быстрого блокирования скайпа ))

 

ну и сделаю историю посещений пользователем ресурсов.

собрались героически бекризолвить детальную статистику? сочувствую.

[lex.lviv 1]

ну да, минус одна строка плюс один знак деления допустим - искренне поздравляю

повторение - мать учения

а еще кроме основ freebsd вы не знаете как работает торрент? ждем еще технологии безболезненного и быстрого блокирования скайпа ))

от чего ж. любой каприз за ваши деньги, как говорилось непомню где. как хочет насяльника так и делаем. ну дхт я никаким раком не заблокирую ну и все торенты мира. а вот примитивный блок адресов трекеров можна и поставить. конечно если юзверь умный - ему не составит труда поставить какойнибуть аннимный прокси. но таких юзверов мало

 

 

собрались героически бекризолвить детальную статистику? сочувствую.

опять же насяльника хочет так и сделаем...ресурсрв много...

к примеру такая же ерунда стоит во львовском нацыональном(ну бекапят они все, чтоб потом показать старперам професорам что они мол порнушку смотрели....)...

 

ну, про бекап вообще всего ето страшно будет. а вот сделать потсчет по направлениям.... ничего вообще сложного