fabrik 0 Posted 2011-05-14 00:01:49 Share Posted 2011-05-14 00:01:49 Подскажите советом! Просьба не пинать, только начинаю разбираться! Поставил сервер на FreeBSD 8.2 с пакетом quagga, по идее же надо файервол настроить? Ifpw для этого сгодится? Или как? Link to post Share on other sites
spaul 69 Posted 2011-05-14 00:08:33 Share Posted 2011-05-14 00:08:33 Сгодится. Главное, если вы начинающий, не делать этого удаленно - плохая примета (к дороге). Хотя там и защищать наверное покачто нечего... Если на сервере кроме quagga ничего нету то достаточно поставить надежные пароли на квагу и на ssh. Link to post Share on other sites
fabrik 0 Posted 2011-05-14 09:04:55 Author Share Posted 2011-05-14 09:04:55 состряпал такие правила для ipfw: ipfw add 100 pass all from any to any via lo0 ipfw add 200 deny all from any to 127.0.0.0/8 ipfw add 300 deny ip from 127.0.0.0/8 to any ipfw add 500 skipto 10000 ip from me to any ipfw add 501 skipto 10000 ip from any to me ipfw add 502 skipto 10000 ip from any to X.X.X.X/X # ipfw add 1000 allow ip from any to any # Allow from me ipfw add 10000 check-state ipfw add 10005 allow tcp from any to any established # CVSUP ipfw add 10020 allow log tcp from me to any setup keep-state uid root # SSH ipfw add 10034 allow log tcp from me to any dst-port 22 setup # Mail ipfw add 10040 allow log tcp from me to any dst-port 25 setup # NTP ipfw add 10100 allow log udp from any to me dst-port 123 ipfw add 10101 allow log udp from me to any dst-port 123 keep-state # SNMP ipfw add 10200 allow log udp from any to me dst-port 161 ipfw add 10201 allow log udp from me to any dst-port 161 keep-state # DNS ipfw add 10310 allow log udp from me to any dst-port 53 keep-state # BGP ipfw add 10320 allow log tcp from any to me dst-port 179 setup ipfw add 10321 allow log tcp from me to any dst-port 179 setup ipfw add 10325 allow log udp from any to me dst-port 179 ipfw add 10325 allow log udp from me to any dst-port 179 keep-state Подскажите, ошибок нет? Может что-то добавить или убрать? Или если не сложно рабочий конфиг! Премного благодарен! Link to post Share on other sites
mlevel 52 Posted 2011-05-14 09:30:24 Share Posted 2011-05-14 09:30:24 /etc/hosts.allow налаштуйте. В кінці у Вас є правило deny ip from any to any? Більшість правил просто не потрібні. Для чого робити firewall закритого типу? Для чого все забороняти? allow ip from any to any via lo0 deny ip from any to 127.0.0.0/8 deny tcp from any to any dst-port 137-139,445 deny udp from any to any dst-port 137-139,445 deny ip from any to 255.255.255.255 deny ip from 127.0.0.0/8 to any Link to post Share on other sites
Kto To 602 Posted 2011-05-14 18:49:59 Share Posted 2011-05-14 18:49:59 а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х Link to post Share on other sites
VitalyMoiseev 113 Posted 2011-05-14 20:46:38 Share Posted 2011-05-14 20:46:38 а лучше еще поставь фрибсд 7.4 не ставь это убогое 8.х тогда уже лучше сразу 4.8 ставить Link to post Share on other sites
jack 25 Posted 2011-05-15 00:02:51 Share Posted 2011-05-15 00:02:51 может тогда вообще не ставить? Link to post Share on other sites
fabrik 0 Posted 2011-05-17 11:31:42 Author Share Posted 2011-05-17 11:31:42 а скажите, если добавляется аплинк, то в базе райпа надо добавить поля import, export ? или надо еще что-то добавить(изменить)? Link to post Share on other sites
Mobil 68 Posted 2011-05-17 11:48:14 Share Posted 2011-05-17 11:48:14 а скажите, если добавляется аплинк, то в базе райпа надо добавить поля import, export ? или надо еще что-то добавить(изменить)? Для основных настроек этого достаточно. Link to post Share on other sites
fabrik 0 Posted 2011-05-17 11:54:18 Author Share Posted 2011-05-17 11:54:18 будьте добры, скажите как скоро вступают в силу изменения? Link to post Share on other sites
Mobil 68 Posted 2011-05-17 12:01:05 Share Posted 2011-05-17 12:01:05 будьте добры, скажите как скоро вступают в силу изменения? Моментально. Link to post Share on other sites
Ajar 93 Posted 2011-05-17 12:52:52 Share Posted 2011-05-17 12:52:52 , в райпе мгновенно , а вот фильтры народ обновляет неспешно , обычно 2 раза в сутки . Уаикс уже обновил фильтры Subject: [ix-tech] UA-IX: filters have changed (2011-05-17) From: xxxx Date: 13:38 To: ix-tech@ix.net.ua Body: Hello, there are changes in filters on peers with: . AS3254 . AS3255 . AS3261 . AS6846 . AS8788 . AS12294 . AS12530 . AS12773 . AS12883 . AS12963 . AS13249 . AS15497 . AS15738 . AS20850 . AS21011 . AS21219 . AS24703 . AS25229 . AS28858 . AS29491 . AS29632 . AS34867 . AS35297 . AS35320 . AS35795 . AS44600 . AS48278 . AS48533 -- Cool Robot -- regards, Serge Pershin Link to post Share on other sites
fabrik 0 Posted 2011-05-18 20:27:59 Author Share Posted 2011-05-18 20:27:59 появился вопрос такого плана: бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру: speedtest.ru ya.ru zyxel.ru www.fast-torrent.org и т.д. Подскажите что может быть не так? Link to post Share on other sites
MEDVED 0 Posted 2011-05-21 11:30:53 Share Posted 2011-05-21 11:30:53 появился вопрос такого плана: бгп сессии настроены(пока 1 аплинк, ua-ix + fullview), но не видно части интернета, к примеру: speedtest.ru ya.ru zyxel.ru www.fast-torrent.org и т.д. Подскажите что может быть не так? Используйте looking glass, возможно кто-то не обновил фильтры... Link to post Share on other sites
fabrik 0 Posted 2011-05-21 12:00:33 Author Share Posted 2011-05-21 12:00:33 (edited) проблема в следующем: 2 аплинка, каждый отдает мир+юа, с обоих маршруты принимаю(даже те, в которые нет пингов с клиентских машин), через 2ой аплинк трафик пока вообще не хочет идти, но суть пока не в этом. Для начала разберусь с первым, итак: пинг с клиентской машины к примеру на speedtest.net вообще не идет, но вот с сервера с quagga идет, в чем трабл? Кстати после передергивания quagga 5-10 пингов прорывается, но не всегда Edited 2011-05-21 12:01:56 by fabrik Link to post Share on other sites
pavlabor 1,972 Posted 2011-05-21 12:08:44 Share Posted 2011-05-21 12:08:44 Зебры нет. Link to post Share on other sites
fabrik 0 Posted 2011-05-21 12:33:38 Author Share Posted 2011-05-21 12:33:38 zebra стоит вот конфиг: ! ! Zebra configuration saved from vty ! 2011/05/14 01:59:40 ! hostname zebra-router log file /var/log/quagga/zebra.log log stdout ! interface em0 ipv6 nd suppress-ra ! interface fwe0 ipv6 nd suppress-ra ! interface fwip0 ipv6 nd suppress-ra ! interface lo0 ! interface re0 ip address 10.10.10.254/24 ipv6 nd suppress-ra ! interface igb0 ipv6 nd suppress-ra ! interface igb1 ipv6 nd suppress-ra ! ip route 10.0.0.0/8 Null 254 ip route 172.16.0.0/12 Null 254 ip route 192.168.0.0/16 Null 254 ip route X.X.X.0/22 10.10.10.254 ! ip forwarding ! line vty exec-timeout 0 0 ! rc.conf gateway_enable="YES" keymap="ru.koi8-r" sshd_enable="YES" ifconfig_igb0="up" ifconfig_igb1="up" defaultrouter="NO" cloned_interfaces="vlan80 vlan81 vlan370 vlan371" ifconfig_vlan80="" ifconfig_vlan81="" ifconfig_vlan370="" ifconfig_vlan371="" ifconfig_re0="inet 10.10.10.254 netmask 255.255.255.0" ifconfig_lo0="inet 127.0.0.1 netmask 255.0.0.0" ifconfig_lo0_alias0="inet x.x.x.1 netmask 255.255.255.255" quagga_enable="YES" quagga_daemons="zebra bgpd" watchquagga_enable="YES" watchquagga_flags="-dz -R '/usr/local/sbin/zebra -d;' /usr/local/sbin/bgpd -d' bgpd" quagga_flags="-d -A 127.0.0.1" snmpd_enable="YES" может где ошибка есть? или чего не написал? Link to post Share on other sites
pavlabor 1,972 Posted 2011-05-21 12:44:04 Share Posted 2011-05-21 12:44:04 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l Link to post Share on other sites
fabrik 0 Posted 2011-05-21 12:57:56 Author Share Posted 2011-05-21 12:57:56 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l ps -ax | grep quagga 1874 0 R+ 0:00.00 grep quagga я же говорю маршруты получаю: BGP router identifier x.x.x.1, local AS number ##### RIB entries 657567, using 40 MiB of memory Peers 4, using 10080 bytes of memory Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd y.y.y.y 4 21219 1757 7 0 0 0 00:01:18 5299 x.x.x.x 4 21219 59663 7 0 0 0 00:01:14 353400 a.a.a.a 4 12507 60517 6 0 0 0 00:01:06 355448 b.b.b.b 4 12507 1503 6 0 0 0 00:01:12 4482 Total number of neighbors 4 Link to post Share on other sites
pavlabor 1,972 Posted 2011-05-21 13:00:08 Share Posted 2011-05-21 13:00:08 ответ увидел? покажи то что я прошу то что ты маршруты получаеш, еще не означает что они строятся Link to post Share on other sites
fabrik 0 Posted 2011-05-21 13:05:42 Author Share Posted 2011-05-21 13:05:42 покажи ps -ax | grep '[q]uagga' и такое netstat -rn| wc -l на это пусто, а вот на: ps -ax | grep quagga 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Link to post Share on other sites
dir1212 9 Posted 2011-05-21 13:06:53 Share Posted 2011-05-21 13:06:53 конфиг bgpd в студию Link to post Share on other sites
pavlabor 1,972 Posted 2011-05-21 13:11:39 Share Posted 2011-05-21 13:11:39 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Это говорит о том что у тебя построено 355770 марщрутов, сноси фаервол и проверяй. Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают netstat -rn|less думаю что у тебя все работает, разреши все в фаерволе. Link to post Share on other sites
fabrik 0 Posted 2011-05-21 13:17:03 Author Share Posted 2011-05-21 13:17:03 конфиг bgpd в студию bgpd.conf router bgp ##### bgp router-id x.x.2.1 network x.x.2.0/24 network x.x.3.0/24 network x.x.4.0/24 network x.x.5.0/24 neighbor 1.1.1.x remote-as xxxx1 neighbor 1.1.1.x description 1(UA-IX) neighbor 1.1.1.x soft-reconfiguration inbound neighbor 1.1.1.x route-map Network out neighbor 1.1.1.x weight 7000 neighbor 1.1.1.x prefix-list default in neighbor 1.1.1.z remote-as xxxx1 neighbor 1.1.1.z description 1(World) neighbor 1.1.1.z soft-reconfiguration inbound neighbor 1.1.1.z route-map Network out neighbor 1.1.1.z weight 1000 neighbor 1.1.1.z prefix-list default in neighbor 2.2.2.a remote-as xxxx2 neighbor 2.2.2.a description 2(World) neighbor 2.2.2.a soft-reconfiguration inbound neighbor 2.2.2.a route-map Network out neighbor 2.2.2.a weight 4000 neighbor 2.2.2.a prefix-list default in neighbor 2.2.2.b remote-as xxxx2 neighbor 2.2.2.b description 2(UA-IX) neighbor 2.2.2.b soft-reconfiguration inbound neighbor 2.2.2.b route-map Network out neighbor 2.2.2.b weight 9000 neighbor 2.2.2.b prefix-list default in ! access-list 1 remark Localhost only access-list 1 permit 127.0.0.1 ! ip prefix-list default seq 5 deny 0.0.0.0/0 ip prefix-list default seq 10 permit any ip prefix-list mynets permit x.x.2.0/24 ip prefix-list mynets permit x.x.3.0/24 ip prefix-list mynets permit x.x.4.0/24 ip prefix-list mynets permit x.x.5.0/24 ! route-map Network permit 50 match ip address prefix-list mynets ! line vty access-class 1 ! Link to post Share on other sites
fabrik 0 Posted 2011-05-21 13:22:46 Author Share Posted 2011-05-21 13:22:46 1874 0 R+ 0:00.00 grep quagga netstat -rn| wc -l 355770 Это говорит о том что у тебя построено 355770 марщрутов, сноси фаервол и проверяй. Можеш выборочно просмотреть маршруты на какие интерфейсы они указывают netstat -rn|less думаю что у тебя все работает, разреши все в фаерволе. фаервол ipfw 65535 1228772 1037467726 allow ip from any to any на часть ресурсов без проблем хожу, как сейчас на local.com.ua, часть не видится вообще, из под сервера вижу Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now