FreeBSD 8 MPD5 pppoe client + pf

[Starnet 4]

Доброго времени суток. Подскажите плиз что не так. Не работает NAT.

billing# ipfw show

00004 23805 16952092 allow ip from any to any

00050 562 44268 allow tcp from any to me dst-port 22

00051 429 92220 allow tcp from me 22 to any

00052 0 0 allow tcp from any to me dst-port 80

00053 0 0 allow tcp from me 80 to any

00054 0 0 allow tcp from any to me dst-port 443

00055 0 0 allow tcp from me 443 to any

00100 0 0 deny tcp from any to any dst-port 445

00110 1020 103792 allow ip from any to any via lo0

00120 28 1834 skipto 1000 ip from me to any

00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17

00140 0 0 deny ip from any to table(120)

00150 0 0 deny ip from table(120) to any

00160 655 782016 skipto 2000 ip from any to me

00200 626 32028 skipto 500 ip from any to any via ng0

00300 739 40627 skipto 4500 ip from any to any in

00400 0 0 skipto 450 ip from any to any recv ng0

00420 0 0 divert 1 ip from any to any

00450 0 0 divert 2 ip from any to any

00490 0 0 allow ip from any to any

00500 0 0 skipto 32500 ip from any to any in

00510 626 32028 divert 1 ip from any to any

00540 626 32028 allow ip from any to any

01000 0 0 allow udp from any 53,7723 to any

01010 0 0 allow tcp from any to any setup keep-state

01020 22 1498 allow udp from any to any keep-state

01100 6 336 allow ip from any to any

02000 0 0 check-state

02010 0 0 allow icmp from any to any

02020 0 0 allow tcp from any to any dst-port 80,443

02050 2 120 deny ip from any to any via ng0

02060 6 412 allow udp from any to any dst-port 53,7723

02100 647 781484 deny ip from any to any

05000 11 1459 deny ip from not table(0) to any

05001 0 0 skipto 5010 ip from table(127) to table(126)

05002 417 22448 skipto 5030 ip from any to not table(2)

05003 0 0 deny ip from any to not table(1)

05004 0 0 pipe tablearg ip from table(21) to any

05005 0 0 deny ip from any to any

05010 0 0 pipe tablearg ip from table(127) to any

05030 0 0 deny tcp from table(15) to any dst-port 25

05400 417 22448 pipe tablearg ip from table(11) to any

32000 0 0 deny ip from any to any

32490 37 1986 deny ip from any to any

33000 0 0 pipe tablearg ip from table(126) to table(127)

33001 0 0 skipto 33010 ip from not table(2) to any

33002 0 0 pipe tablearg ip from any to table(20)

33003 0 0 deny ip from any to any

33400 0 0 pipe tablearg ip from any to table(10)

65535 14 7474 deny ip from any to any

billing#

billing# pfctl -s info

No ALTQ support in kernel

ALTQ related functions disabled

Status: Enabled for 0 days 00:23:39 Debug: Urgent

 

State Table Total Rate

current entries 0

searches 29678 20.9/s

inserts 13 0.0/s

removals 13 0.0/s

Counters

match 12867 9.1/s

bad-offset 0 0.0/s

fragment 0 0.0/s

short 0 0.0/s

normalize 0 0.0/s

memory 0 0.0/s

bad-timestamp 0 0.0/s

congestion 0 0.0/s

ip-option 0 0.0/s

proto-cksum 0 0.0/s

state-mismatch 0 0.0/s

state-insert 0 0.0/s

state-limit 0 0.0/s

src-limit 0 0.0/s

synproxy 0 0.0/s

billing#

 

billing# pfctl -s all

No ALTQ support in kernel

ALTQ related functions disabled

TRANSLATION RULES:

nat on ng0 inet from 192.168.10.0/24 to any -> 95.132.198.235

 

FILTER RULES:

pass out on ng0 all flags S/SA keep state

 

INFO:

Status: Enabled for 0 days 00:25:05 Debug: Urgent

 

State Table Total Rate

current entries 0

searches 37402 24.9/s

inserts 13 0.0/s

removals 13 0.0/s

Counters

match 20591 13.7/s

bad-offset 0 0.0/s

fragment 0 0.0/s

short 0 0.0/s

normalize 0 0.0/s

memory 0 0.0/s

bad-timestamp 0 0.0/s

congestion 0 0.0/s

ip-option 0 0.0/s

proto-cksum 0 0.0/s

state-mismatch 0 0.0/s

state-insert 0 0.0/s

state-limit 0 0.0/s

src-limit 0 0.0/s

synproxy 0 0.0/s

 

TIMEOUTS:

tcp.first 30s

tcp.opening 5s

tcp.established 18000s

tcp.closing 60s

tcp.finwait 30s

tcp.closed 30s

tcp.tsdiff 10s

udp.first 60s

udp.single 30s

udp.multiple 60s

icmp.first 20s

icmp.error 10s

other.first 60s

other.single 30s

other.multiple 60s

frag 30s

interval 10s

adaptive.start 76800 states

adaptive.end 153600 states

src.track 0s

 

LIMITS:

states hard limit 128000

src-nodes hard limit 10000

frags hard limit 5000

tables hard limit 1000

table-entries hard limit 200000

 

OS FINGERPRINTS:

696 fingerprints loaded

billing#

 

billing# pfctl -s stat

No ALTQ support in kernel

ALTQ related functions disabled

billing#

 

Инет на сервере есть. PPPoE подимаеться норм. В чом может быть проблема?

[varzoni 4]

Можем помоч, но платно. думаю до 15$ уложимся. пишите, разберёмся

[][-RaY 387]

Про пф не подскажу, а вот как на ипвф сделать, могу )

[Starnet 4]

в прицепе пофиг какой нат, галавное чтоб работал. такое чуство что кривая версия фряхи.

[varzoni 4]

Покажите команды.

 

uname -a

 

ifconfig

 

cat /etc/pf.conf

 

и попробуйте указать такое правело nat вместо вашего

 

nat pass on ng0 from 192.168.10.0/24 to any -> (ng0)

 

--

/etc/rc.d/pf restart

 

после пробуйте интернет

[Starnet 4]

Покажите команды.

 

uname -a

 

ifconfig

 

cat /etc/pf.conf

 

и попробуйте указать такое правело nat вместо вашего

 

nat pass on ng0 from 192.168.10.0/24 to any -> (ng0)

 

--

/etc/rc.d/pf restart

 

после пробуйте интернет

Сделал так ничо не помогло. Поставил модем в роутер сделал nat все гуд. pf работает. Значит грабли имено в mpd5 pppoe client. Есть еще мысли что может быть?

[neofun 0]

Покажите свой rc.conf

[varzoni 4]

Покажите команды.

 

uname -a

 

ifconfig

 

cat /etc/pf.conf

 

и попробуйте указать такое правело nat вместо вашего

 

nat pass on ng0 from 192.168.10.0/24 to any -> (ng0)

 

--

/etc/rc.d/pf restart

 

после пробуйте интернет

Сделал так ничо не помогло. Поставил модем в роутер сделал nat все гуд. pf работает. Значит грабли имено в mpd5 pppoe client. Есть еще мысли что может быть?

 

да может конфиг mpd5, но если вы пишите что инет на сервере есть тогда соединение поднимается, нужно было показать ifconfig в момент поднятие интернета на сервере.

[Starnet 4]

Конфиг мпд5

startup:

 

set user vpupkin 123456 admin

set console self 127.0.0.1 5005

 

default:

load pppoe_client

 

pppoe_client:

 

create bundle static B1

set iface route default

set ipcp ranges 0.0.0.0/0 0.0.0.0/0

set ipcp enable req-pri-dns

set ipcp enable req-sec-dns

 

create link static L1 pppoe

set link action bundle B1

set auth authname vpupkin

set auth password 12345678

set link max-redial 0

set link mtu 1480

set link keep-alive 10 60

set pppoe iface fxp0

set pppoe service ""

 

open

 

billing# ifconfig

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500

options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>

ether 00:08:02:53:d5:43

inet 192.168.7.59 netmask 0xffffff00 broadcast 192.168.7.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500

options=8<VLAN_MTU>

ether 00:e0:7d:e5:58:e3

inet 192.168.10.1 netmask 0xffffff00 broadcast 192.168.11.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384

options=3<RXCSUM,TXCSUM>

inet 127.0.0.1 netmask 0xff000000

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480

inet 95.132.141.244 --> 195.5.5.184 netmask 0xffffffff

 

 

billing# ping mail.ru

PING mail.ru (217.69.128.41): 56 data bytes

64 bytes from 217.69.128.41: icmp_seq=0 ttl=116 time=96.661 ms

64 bytes from 217.69.128.41: icmp_seq=1 ttl=116 time=96.777 ms

64 bytes from 217.69.128.41: icmp_seq=2 ttl=116 time=101.989 ms

^C

--- mail.ru ping statistics ---

3 packets transmitted, 3 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 96.661/98.476/101.989/2.485 ms

billing#

Как видим инет на сервере есть, а дальше нету.

[varzoni 4]

sysctl -a | grep forward

 

дайте вывод команды

 

и также сразу довайте

 

cat /etc/rc.firewall

 

Я понимаю что у вас стояло 4 правелом разрешить всё для тестирование

 

 

Уберите pass out on ng0 all flags S/SA keep state в pf.conf

[pavlabor 1 949]

Помоему стоит посмотреть на ядро,

не уверен что ядро собрано с поддержкой пф?

Если да, то с какой стати юзается ipfw?

Хотя и поговаривают что фря уже может курить и pf, и ipfw, но не проверял, на более ранних версиях, фря этого делать не могла,

нужно было собирать ядро или с pf, или ipfw.

Если модем перевести в роутер, так ясен пень что будет работать, натит модем.

Определитесь что вы делаете.

 

Ну и на последок, не пробовали задаться вопросом, что например здесь написано и зачем?

billing# pfctl -s stat

No ALTQ support in kernel

ALTQ related functions disabled

[aklex 152]

Помоему стоит посмотреть на ядро,

не уверен что ядро собрано с поддержкой пф?

Если да, то с какой стати юзается ipfw?

Хотя и поговаривают что фря уже может курить и pf, и ipfw, но не проверял, на более ранних версиях, фря этого делать не могла,

нужно было собирать ядро или с pf, или ipfw.

Если модем перевести в роутер, так ясен пень что будет работать, натит модем.

Определитесь что вы делаете.

 

Ну и на последок, не пробовали задаться вопросом, что например здесь написано и зачем?

billing# pfctl -s stat

No ALTQ support in kernel

ALTQ related functions disabled

 

Может это поможет?

 

ipfw nat config 1 ip Внешний ИП

ipfw add 50000 nat 1 ip from (VPN address range) to any

 

У тебя ВПН раздает реальные ИП адреса. Зачем тебе НАТ? может тебе net.inet.ip.forwrding=1 проверить?

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480

inet 95.132.141.244 --> 195.5.5.184 netmask 0xffffffff

 

И еще проверь, знает ли маршрутизатор что подсеть твоих адресов(Которые выдает твой MPD) находится за твоим ВПН сервером.

[varzoni 4]

Я не могу один лучше другова.

 

ну и бред, вы пишите ребята.

 

Один пишит, Хотя и поговаривают что фря уже может курить и pf, и ipfw ))

 

другой пишит зачем nat, включите форвард. )))

 

------

 

как толка внедрили Ipfw, он и работал с pf.

 

---

.

nat нужен что бы транслировать серую сетку в белую.

 

--

 

форвард нужен, для пересылки пакетов между интерфейсами.

 

---

 

ему надо и форвард! и нат ! а ещё у него стоит настрйоки с фаервола Nodeny.

[pavlabor 1 949]

О! Добавился третий!

Думаю он знает что такое нат и примерно предствляет что хочет, заметь, - примерно.

Но нэ робэ!

 

При этом показал фаервол и и пф отчеты.

Я прежде чем на это смотреть предложил посмотреть включено все то хозяйство, в ядре или еще каким то боком,

потом уже разбирать отчеты.

 

Вот восьмерка, дополнение в конфиг для пересборки ядра, с поддержкой ната, ipfw, форвардинга и т.д.

 

options IPFIREWALL

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=50

options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPFIREWALL_NAT

options LIBALIAS

options ROUTETABLES=2

options DUMMYNET

options HZ="1000"

options IPDIVERT

options IPFIREWALL_FORWARD

 

pf не такая уже и крутая штука чтобы еще и его ставить на пути потока.

[varzoni 4]

что бы вы знали, pf стоял у истоков freebsd не надо рассказывать что кручи.

[pavlabor 1 949]

Надаже!

Все время считал что PF разработка команды OpenBSD, как и ssh, и прочие защиты.

И никто не спорит что круче, я всего лиш написал что при текущих pps, нужно осторожно подходить к решениям, дополнительно фильтрующим трафик.

[pavlabor 1 949]

Похоже вы не правы, на счет истоков!

Pácket Fílter (PF) — Межсетевой экран, разрабатываемый в рамках проекта OpenBSD.

http://ru.wikipedia.org/wiki/Packet_Filter

И он никогда не шол в ядре, нужно было дополнительно пересобирать.

[varzoni 4]

я сказал у истоков freebsd, это в смысле того что фриибзд начало свОё существование и Pf был импортирован, до ipfw )

 

 

и ещё pf ipfw всегда работали в месте, и они могут загружаться как динамически также и компилированием.

 

 

и ещё

---

pavlabor

 

Ну и на последок, не пробовали задаться вопросом, что например здесь написано и зачем?

billing# pfctl -s stat

No ALTQ support in kernel

ALTQ related functions disabled

---

после такова что вы сказали, можно понять уровень ваших знаний, хочу вам довести что ALTQ это управление совершенно другое нежили, как вы думаете включение pf или nat ))) и не сбивайте людей с истины. У них всё работает =) в плане pf

[wifi_master 132]

Вы счас тут поубиваете друг друга ALTQ нужно для шейпера pf в случае с nodeny оно нафиг не нужно. С Pppoe клиентом все просто вот вам рабочий конфиг

set limit states 128000

set optimization aggressive

scrub out all random-id max-mss 1440

nat pass on ng0 from 192.168.0.0/16 to any -> (ng0)

[varzoni 4]

wifi_master он не рабочий конфиг, хотя бы потому, если pppOE будет использовать не mpd(ng), а ppp демон (tun ) То nat работать не убдет ! а если будет 10 сеть, то независимо от ng & tun nat работать не будет, потому как 192 сеть прописана.

---

я говарю к тому, что те кто просто срисовывают конфигурации это одни люди, но когда те кто срисовывают пишут бурду, то знающие заметят это

[wifi_master 132]

wifi_master он не рабочий конфиг, хотя бы потому, если pppOE будет использовать не mpd(ng), а ppp демон (tun ) То nat работать не убдет ! а если будет 10 сеть, то независимо от ng & tun nat работать не будет, потому как 192 сеть прописана.

---

я говарю к тому, что те кто просто срисовывают конфигурации это одни люди, но когда те кто срисовывают пишут бурду, то знающие заметят это

Вы страный человек зачем пишете то что не знаете? я вам дал реально рабочий конфиг с своего сервера а вы мне тут что работать не будет. дать доступ чтоб посмотрели что работает? Вы хоть поняли в чом ошибка ?

[varzoni 4]

wifi_master он не рабочий конфиг, хотя бы потому, если pppOE будет использовать не mpd(ng), а ppp демон (tun ) То nat работать не убдет ! а если будет 10 сеть, то независимо от ng & tun nat работать не будет, потому как 192 сеть прописана.

---

я говарю к тому, что те кто просто срисовывают конфигурации это одни люди, но когда те кто срисовывают пишут бурду, то знающие заметят это

Вы страный человек зачем пишете то что не знаете? я вам дал реально рабочий конфиг с своего сервера а вы мне тут что работать не будет. дать доступ чтоб посмотрели что работает? Вы хоть поняли в чом ошибка ?

 

Я странный ? и чего я не знаю ?? как работать с PF )), давайте я ваш конфиг щас пропишу себе, и он не заработает ? тогда что вы скажите ?, и я даже знаю почему он не заработает .

 

1) у меня не ng интерфейс а tun

 

2) подсеть у меня не 192 а 10

 

3) У TC с конфигом всё в порядке зачем он тут ? ему нужен ?

[tramX 12]

У меня тоже tun0. Думаю и ежу должно быть понятно что нужно заменить на свои значения. С под сетью можно так решить nat on pass tun0 from rl0:network to any -> tun0

[pavlabor 1 949]

Я странный?

 

Угу.

Нормальные люди сначала проверяют включен комп, прежде чем братца за отвертку.

 

Могу третий раз написать - как и какие запускаются службы?

 

 

после такова что вы сказали, можно понять уровень ваших знаний, хочу вам довести что ALTQ это управление совершенно другое нежили, как вы думаете включение pf или nat ))) и не сбивайте людей с истины. У них всё работает =) в плане pf

Я нечего не сказал, просто обратил внимание на то что отчеты идут, о незапущеных службах,

и попросил дать инфу как вообще запускаются службы.

Без этой инфы, копаться в ошибках, рановато.

 

Сидеть на хостинге это одни нагрузки, разруливать гигабитные потоки это другие нагрузки,

поетому оптимизация идет предельно, все что можно встраивается в ядро,

и нат и фаервол.

 

На счет совмесной связки пф и фаервола, никогда небыло потребности их ставит вместе,

поетому умничать особо не стану.

Насчет скорости, думаю что преимущество пф-а, то что он немного быстрее, будет перечеркнуто дополнительной обрабокой двумя фаерволами.

 

Хорошие статьи по оптимизации фаервола и ната, для большого количества пользователей.

http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/

Здесь просто шедевр, как сделать фаервол в 15 правил, для 15000 пользователей!!!

http://viruzzz.org/2009/03/03/highperformanceshaper/

 

 

ps.

ipfirewall — межсетевой экран, который встроен во FreeBSD начиная с версии 2.0.

http://ru.wikipedia.org/wiki/Ipfw

 

...выпуска FreeBSD 2.0 в январе 1995 года...

http://ru.wikipedia.org/wiki/FreeBSD

 

История PF началась в 2000 году...

http://ru.wikipedia.org/wiki/Packet_Filter

 

Pf моложе на пять лет и FreeBSD, и ipfw.

Все время ipfw был штатным фаерволом FreeBSD, а pf - OpenBSD

[tramX 12]

У меня тоже tun0. Думаю и ежу должно быть понятно что нужно заменить на свои значения. С под сетью можно так решить nat on pass tun0 from rl0:network to any -> tun0