Kucher2 122 Posted 2010-02-18 16:32:46 Share Posted 2010-02-18 16:32:46 Всем привет. Ну, я опять нашёл приключения на свою голову. Перешёл на pf. Вернее, у меня и ipfw стоит, но с помощью pf я натю сетку за шлюзом, а ipfw рулит разрешениями и pipe. Проц это дело разгрузило очень существенно. Правда я ещё и двухядерник воткнул... Проблем такова, что мне нужно коннектиться по VPN на сервер в миру. Как вам всем наверное известно - с этим у pf есть определённые сложности. В гугле нарыл, что это прердлагается очень просто решить с помощью того же natd, потому что все остальные решения очень уж геморны и не всегда работают (так утверждал автор одной из статей). Да, я тоже посмеялся и начал рыть дальше. Надыбал /usr/ports/net/frickin. Поставил, настраивал манам и по статьям (в мане кстати не упоминается про одно правило в pf) - ну не хочет она работать и всё. Нашёл ещё это: http://www.mgix.com/pptpproxy/. Но увы, у меня FreeBSD. Пробовал из сырцов собрать - вываливается с ошибкой, хотя запускал как сказано в мане и Perl у меня установлен. У кого-то есть идеи или практические решения? Link to post Share on other sites
adeep 212 Posted 2010-02-18 18:56:49 Share Posted 2010-02-18 18:56:49 перейти на ipfw-nat? и забыть pf как cтрашный сон Link to post Share on other sites
Queeq 0 Posted 2010-02-18 20:16:08 Share Posted 2010-02-18 20:16:08 Не знаю про PPTP, но у меня L2TP, защищённый IPSec (без AH) в транспортном режиме, работает через PF нормально. Почему PPTP? Link to post Share on other sites
911 140 Posted 2010-02-18 20:56:44 Share Posted 2010-02-18 20:56:44 перейти на ipfw-nat? и забыть pf как cтрашный сон pf-оненавистник ))))))) а вообще +1 Link to post Share on other sites
prototip 286 Posted 2010-02-19 00:27:51 Share Posted 2010-02-19 00:27:51 А я вообще не понимаю этих движений , ну мудрые мужи анука разрулите мне премущества pf/ipfw , только давайте без голых криков , конкретные описалово и сравнения по загрузке итд.итп. Блин сегодня пиво однако хорошее .... Я вообще за пляжи "без купальников" . Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того .... Link to post Share on other sites
Kucher2 122 Posted 2010-02-19 12:39:09 Author Share Posted 2010-02-19 12:39:09 Я никогда себя программером не считал, я больше техник. С natd у меня честно не получилось пробросить порт - заморочка с интерфейсами + сам nat, было действительно проще использовать приблуду вроде rinetd. Потом были ещё некоторые трудности с нагрузкой на систему. Сейчас уже не могу точно сказать - то ли сетевая грешила, то ли материнка, то ли проц слабый, то ли 512МБ маловато. А может и natd настолько грузил проц - не знаю. Но я точно видел процесс natd по top'у, который показывал в выходные дни до 60% загрузки проца. И в это время начинались "отвалы" Инета. Это факт. ПОскольку за две недели меня это сильно достало - я сделал всё сразу: сменил железо и ушёл от natd. Сейчас стоит не такой уж мощный двухядерник, 1,5ГГБ оперативки. Проблема ушла, не знаю в чём она состояла точно, но её нет. Да, я могу сейчас "погасить" pf, вернуть правила НАТА и редиректа. Только начёрта мне сдались эти эксперименты на работающей системе? Повторяю, нужен совет тех, кто разрулил ситуацию именно на pf. Link to post Share on other sites
adeep 212 Posted 2010-02-19 13:13:13 Share Posted 2010-02-19 13:13:13 различайте natd, который работает в userland и ipfw-nat, который работает в режиме ядра. Link to post Share on other sites
Queeq 0 Posted 2010-02-19 17:09:13 Share Posted 2010-02-19 17:09:13 перейти на ipfw-nat? и забыть pf как cтрашный сон pf-оненавистник ))))))) а вообще +1 Да вообще хороша парочка Link to post Share on other sites
Queeq 0 Posted 2010-02-19 17:11:17 Share Posted 2010-02-19 17:11:17 Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того .... Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как? Link to post Share on other sites
adeep 212 Posted 2010-02-21 22:45:01 Share Posted 2010-02-21 22:45:01 Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как? это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают. Link to post Share on other sites
Queeq 0 Posted 2010-02-22 08:36:18 Share Posted 2010-02-22 08:36:18 это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают. Да, похоже на то. Мегакулхацкер Link to post Share on other sites
Kucher2 122 Posted 2010-02-22 09:22:41 Author Share Posted 2010-02-22 09:22:41 Я вам под пиво ещё не то расскажу. Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки. Link to post Share on other sites
Queeq 0 Posted 2010-02-22 13:06:42 Share Posted 2010-02-22 13:06:42 Я вам под пиво ещё не то расскажу. Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки. Так а почему PPTP? Чем не подходит L2TP? Link to post Share on other sites
Cell 7 Posted 2010-02-22 23:28:42 Share Posted 2010-02-22 23:28:42 я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант: rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723 rdr on fxp0 proto gre from any to any -> 10.16.1.1 где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом) 10.16.1.1 им входного интерфейса (локалка) в файрволе что-то типа такого: 02012 allow gre from any to any 02020 allow tcp from any to any dst-port 80,443,1723 У меня через эту хрень даже довольно весело интернетить получается. Link to post Share on other sites
Kucher2 122 Posted 2010-02-24 08:34:19 Author Share Posted 2010-02-24 08:34:19 Так а почему PPTP? Чем не подходит L2TP? Не знаю о другом способе. На целевом сервере настроен шлюз VPN, моя задача к нему законнектиться. То же самое делает ещё с десяток машин. Я на них перекидываю инфу и "Радминю". Cell Спасибо, попробую когда будет время. Link to post Share on other sites
Kucher2 122 Posted 2010-03-19 09:40:21 Author Share Posted 2010-03-19 09:40:21 я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант: rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723 rdr on fxp0 proto gre from any to any -> 10.16.1.1 где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом) 10.16.1.1 им входного интерфейса (локалка) в файрволе что-то типа такого: 02012 allow gre from any to any 02020 allow tcp from any to any dst-port 80,443,1723 У меня через эту хрень даже довольно весело интернетить получается. Спасибо, помогло. Однако хотелось бы, чтобы сие работало для более чем одной машины в сети. Если сделать что-то вроде -> 10.0.0.0/24 - будет ли такое работать с несколькими машинами одновременно? Link to post Share on other sites
Cell 7 Posted 2010-03-20 09:30:07 Share Posted 2010-03-20 09:30:07 Нет, то что вы предлагаете чуток не то ), если приведенная схема для нескольких не работает то надо гуглить Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now