Kucher2 122 Опубликовано: 2010-02-18 16:32:46 Share Опубликовано: 2010-02-18 16:32:46 Всем привет. Ну, я опять нашёл приключения на свою голову. Перешёл на pf. Вернее, у меня и ipfw стоит, но с помощью pf я натю сетку за шлюзом, а ipfw рулит разрешениями и pipe. Проц это дело разгрузило очень существенно. Правда я ещё и двухядерник воткнул... Проблем такова, что мне нужно коннектиться по VPN на сервер в миру. Как вам всем наверное известно - с этим у pf есть определённые сложности. В гугле нарыл, что это прердлагается очень просто решить с помощью того же natd, потому что все остальные решения очень уж геморны и не всегда работают (так утверждал автор одной из статей). Да, я тоже посмеялся и начал рыть дальше. Надыбал /usr/ports/net/frickin. Поставил, настраивал манам и по статьям (в мане кстати не упоминается про одно правило в pf) - ну не хочет она работать и всё. Нашёл ещё это: http://www.mgix.com/pptpproxy/. Но увы, у меня FreeBSD. Пробовал из сырцов собрать - вываливается с ошибкой, хотя запускал как сказано в мане и Perl у меня установлен. У кого-то есть идеи или практические решения? Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-02-18 18:56:49 Share Опубліковано: 2010-02-18 18:56:49 перейти на ipfw-nat? и забыть pf как cтрашный сон Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-18 20:16:08 Share Опубліковано: 2010-02-18 20:16:08 Не знаю про PPTP, но у меня L2TP, защищённый IPSec (без AH) в транспортном режиме, работает через PF нормально. Почему PPTP? Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2010-02-18 20:56:44 Share Опубліковано: 2010-02-18 20:56:44 перейти на ipfw-nat? и забыть pf как cтрашный сон pf-оненавистник ))))))) а вообще +1 Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2010-02-19 00:27:51 Share Опубліковано: 2010-02-19 00:27:51 А я вообще не понимаю этих движений , ну мудрые мужи анука разрулите мне премущества pf/ipfw , только давайте без голых криков , конкретные описалово и сравнения по загрузке итд.итп. Блин сегодня пиво однако хорошее .... Я вообще за пляжи "без купальников" . Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того .... Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-02-19 12:39:09 Автор Share Опубліковано: 2010-02-19 12:39:09 Я никогда себя программером не считал, я больше техник. С natd у меня честно не получилось пробросить порт - заморочка с интерфейсами + сам nat, было действительно проще использовать приблуду вроде rinetd. Потом были ещё некоторые трудности с нагрузкой на систему. Сейчас уже не могу точно сказать - то ли сетевая грешила, то ли материнка, то ли проц слабый, то ли 512МБ маловато. А может и natd настолько грузил проц - не знаю. Но я точно видел процесс natd по top'у, который показывал в выходные дни до 60% загрузки проца. И в это время начинались "отвалы" Инета. Это факт. ПОскольку за две недели меня это сильно достало - я сделал всё сразу: сменил железо и ушёл от natd. Сейчас стоит не такой уж мощный двухядерник, 1,5ГГБ оперативки. Проблема ушла, не знаю в чём она состояла точно, но её нет. Да, я могу сейчас "погасить" pf, вернуть правила НАТА и редиректа. Только начёрта мне сдались эти эксперименты на работающей системе? Повторяю, нужен совет тех, кто разрулил ситуацию именно на pf. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-02-19 13:13:13 Share Опубліковано: 2010-02-19 13:13:13 различайте natd, который работает в userland и ipfw-nat, который работает в режиме ядра. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-19 17:09:13 Share Опубліковано: 2010-02-19 17:09:13 перейти на ipfw-nat? и забыть pf как cтрашный сон pf-оненавистник ))))))) а вообще +1 Да вообще хороша парочка Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-19 17:11:17 Share Опубліковано: 2010-02-19 17:11:17 Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того .... Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как? Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2010-02-21 22:45:01 Share Опубліковано: 2010-02-21 22:45:01 Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как? это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-22 08:36:18 Share Опубліковано: 2010-02-22 08:36:18 это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают. Да, похоже на то. Мегакулхацкер Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-02-22 09:22:41 Автор Share Опубліковано: 2010-02-22 09:22:41 Я вам под пиво ещё не то расскажу. Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2010-02-22 13:06:42 Share Опубліковано: 2010-02-22 13:06:42 Я вам под пиво ещё не то расскажу. Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки. Так а почему PPTP? Чем не подходит L2TP? Ссылка на сообщение Поделиться на других сайтах
Cell 7 Опубліковано: 2010-02-22 23:28:42 Share Опубліковано: 2010-02-22 23:28:42 я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант: rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723 rdr on fxp0 proto gre from any to any -> 10.16.1.1 где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом) 10.16.1.1 им входного интерфейса (локалка) в файрволе что-то типа такого: 02012 allow gre from any to any 02020 allow tcp from any to any dst-port 80,443,1723 У меня через эту хрень даже довольно весело интернетить получается. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-02-24 08:34:19 Автор Share Опубліковано: 2010-02-24 08:34:19 Так а почему PPTP? Чем не подходит L2TP? Не знаю о другом способе. На целевом сервере настроен шлюз VPN, моя задача к нему законнектиться. То же самое делает ещё с десяток машин. Я на них перекидываю инфу и "Радминю". Cell Спасибо, попробую когда будет время. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-03-19 09:40:21 Автор Share Опубліковано: 2010-03-19 09:40:21 я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант: rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723 rdr on fxp0 proto gre from any to any -> 10.16.1.1 где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом) 10.16.1.1 им входного интерфейса (локалка) в файрволе что-то типа такого: 02012 allow gre from any to any 02020 allow tcp from any to any dst-port 80,443,1723 У меня через эту хрень даже довольно весело интернетить получается. Спасибо, помогло. Однако хотелось бы, чтобы сие работало для более чем одной машины в сети. Если сделать что-то вроде -> 10.0.0.0/24 - будет ли такое работать с несколькими машинами одновременно? Ссылка на сообщение Поделиться на других сайтах
Cell 7 Опубліковано: 2010-03-20 09:30:07 Share Опубліковано: 2010-03-20 09:30:07 Нет, то что вы предлагаете чуток не то ), если приведенная схема для нескольких не работает то надо гуглить Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас