шлюз Freebsd Help

[Erastik 0]

Добрый день!

Прошу хелп

Ситуация следующая:

Sk0 – интерфейс, через который я подключен к прову, инет настроен(Рамблер пингует).

Через вторую сетевую rl0, я подключаю свич, в котрый включены юзеры(в данном случае комп стоит в другой комнате).

АйПи sk0(к примеру) – 100.100.100.248, defaultrouter=”100.100.100.1”

Router_enable=”YES”

Gateway_enable=”YES”

Natd_enable=”YES” (IPDIVERT в ядре прописал)

Natd_interface=”sk0”

 

1. Что мне еще надо сделать для того, что бы я смог раздавать через 2-ю сетевуху инет?

2. Какой я могу использовать АйПи для rl0 любой, и зависимости от этого какой АйПи мне присвавать юзеру?

3. Natd_interface=”sk0” правильно указан или надо указать rl0

 

Заранее благодарю, за многочисленные ответы.

[alex_o 1 194]

Убери строку про роутер, ни к чему она тебе. С НАТом все верно сделал, теперь надо фаервол строить - ipfw или pf, без правил с дивертами НАТ работать не будет. Как это сделать покопай на www.opennet.ru там есть куча доходчиво написанных статей.

[Erastik 0]

"Убери строку про роутер" - для чего ее уберать когда будет 250 человек сети, она тоже не будет нужна?

Забыл добавить

Firewall_enable=”YES”

Firewall_type=”open”

(в ядре Options IPFIREWALL соответственно)

Т.е. фаервол вроде как настроен.

Что дальше?

[alex_o 1 194]

"Убери строку про роутер" - для чего ее уберать когда будет 250 человек сети, она тоже не будет нужна?

Забыл добавить

Firewall_enable=”YES”

Firewall_type=”open”

(в ядре Options IPFIREWALL соответственно)

Т.е. фаервол вроде как настроен.

Что дальше?

Строка про роутер тебе понадобится не "когда будет 250 человек в сети", а когда будет 250 маршрутизаторов в сети.

Фаервол ты запустил, но вовсе не настроил. Загляни в /etc/rc.firewall и настрой там диверты.

[Erastik 0]

Как именно?

[XoRe 0]

2Erastik:

gateway и router - две разные вещи сами по себе.

А в данном случае эти две строчки нужны для запуска разных служб во FreeBSD.

Тебе нужен gateway.

 

Я бы посоветовал три вещи.

Во первых, как можно раньше сделай такую команду:

cp /etc/rc.firewall /etc/rc.firewall.backup

В будущем ты поймешь всю ценность данного действия )

 

Во вторых, в файле /etc/rc.conf писать названия параметров с маленькой буквы.

Т.е. natd_interface=”sk0” вместо Natd_interface=”sk0” и т.д.

Идеологически более правильно, да и есть вероятность, что где-то до сих пор лежат не переписанные скрипты и параметры с большой буквой восприниматься не будут.

Кроме того тебе самому в последствии будет удобнее при поиске параметров в файле.

 

В третьих, почитать доки по фаерволлу ipfw, nat, по настройке FreeBSD в роли шлюза.

Как я вижу, ты в этом плаваешь.

Сейчас в интернете очень, даже ОЧЕНЬ много статей именно "как настроить FreeBSD под шлюз".

Чуть ли на каждом сайте, посвященном даннйо теме, таких статей сейчас штук по 5, причем не плагиаченных.

Суть моего совета в том, что файл /etc/rc.firewall в первозданном виде - это скорее небольшой набор правил для компьютера в качестве сервера или рабочей станции.

Но не для шлюза, причем не для шлюза, где используется твоя адресация.

И тебе в любом случае придется переписывать набор правил под свою ситуацию, под свою сеть, под используемый тобой биллинг.

Поэтому лучше сразу вникнуть суть настройки фаерволла и настраивать под себя, чем пытаться настроить фаерволл опциями типа firewall_type=”open”.

[Erastik 0]

Нашел статью, все сделал…

Вкратце:

Ядро:

options IPFIREWALL

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=10

options IPFIREWALL_DEFAULT_TO _ACCEPT (ЭТО ВРЕМЕННО)

options IPDIVERT

 

rc.conf:

ifconfig_sk0=”inet 222.222.222.148 netmask 255.255.255.0”

//смотрит в мир

ifconfig_rl0=”inet 333.333.333.1 netmask 255.255.255.0”

//смотрит в свич куда включен 333.333.333.2

 

defaultrouter=”222.222.222.1”

gateway_enable=”YES”

firewall_enable=”YES”

firewall_type=”simple”

natd_enable=”YES”

natd_interface=”sk0”

 

rc.firewall:

 

oif="sk0"

onet=”222.222.222.0”

omask="255.255.255.0"

oip="222.222.222.1”

 

 

iif="rl0"

inet="333.333.333.0”

imask="255.255.255.0"

iip="333.333.333.1”

 

Ядро собрал, все перезапустил.

На компе который является клиентом проставил АйПи 333.333.333.2, маску 255.255.255.0 шлюз 333.333.333.1

 

Пинганул гугль, работает, пинганул 333.333.333.2(это комп – клиент который подключен через свич к интерфейсу 1 rl0)– работает, пинганул с 333.333.333.2 на 333.333.333.1 тоже работает.

Работает все. Кроме Интернета на компе клиенте.

 

Что я сделал не так. Или чего я не сделал что бы все нормально работало?

Пожалуйста помогите разобраться и не пинайте.

 

ЗЫ: Просьба писать по теме, все что нужно настроить для работы сети в режиме «СУПЕР» меня сейчас не интересует, все что мне нужно добится что бы на компе клиенте был интернет.

[Pit 35]

шлюз прописал на клиентском компе?

 

а еще ДНС сервер неплохобы указать

[Erastik 0]

Шлюз прописал.

ДНС – нет.

Нужно настраивать ДНС? Это обязательно?

[911 140]

Erastik

а не проще ли нанять админа? :loop:

[Pit 35]

Шлюз прописал.

ДНС – нет.

Нужно настраивать ДНС? Это обязательно?

посмотри как траса идет по имени и по айпи c клиентского компа.

tracert www.cdrom.com

tracert 209.87.181.103

[Amal 0]

Да на клиентской машине надо указать шлюз - default gateway ( это адрес твоего сервера)

ДНС - ДНС прова.

 

можно вопрос в тему, существует ли команда для ipfw которая делает "слепок" с real-time правил ФВ и переписывает /etc/rc.firewall или записывает в файл. прошу не посылать в маны, т.к. человеку возможно пригодиться, для интерактивной настройки.

[Pit 35]

Erastik

а не проще ли нанять админа? :loop:

Немешай ему у него все получается, это будующий сисадмин 100 процентов, есть потенциал.

[Serjio 19]

ЗЫ: Просьба писать по теме, все что нужно настроить для работы сети в режиме «СУПЕР» меня сейчас не интересует, все что мне нужно добится что бы на компе клиенте был интернет.

покажи

 

ipfw -a show

[Erastik 0]

Код выложу вечером, но сразу могу сказать, что я его никак не настраивал..

[Erastik 0]

Вылаживаю ipfw -a show

         0                  0 allow ip from any to any via lo0
         0                  0 deny ip from any to 127.0.0.0/8     
         0                  0 deny ip from 127.0.0.0/8 to any
         0                  0 deny ip from 101.100.100.0/24 to any in via rl0
         0                  0 deny ip from 91.123.158.0/24 to any in via rl0
         0                  0 deny ip from any to 10.0.0.0/8 via sk0 
         0                  0 deny ip from any to 172.16.0.0/12 via sk0
         0                  0 deny ip from any to 192.168.0.0/16 via sk0
         0                  0 deny ip from any to 0.0.0.0/8 via sk0
         0                  0 deny ip from any to 169.254.0.0/16 via sk0
         0                  0 deny ip from any to 192.0.2.0/24 via sk0
        12              336 deny ip from any to 224.0.0.0/4 via sk0
    8502         523406 divert 8668 ip from any to any via sk0
130926        7045490 deny ip from any to any via sk0
         0                  0 deny ip from 10.0.0.0/8 to any via sk0
         0                  0 deny ip from 172.16.0.0/12 to any via sk0
         0                  0 deny ip from 192.168.0.0/16 to any via sk0
         0                  0 deny ip from 0.0.0.0/8 to any via sk0
         0                  0 deny ip from 169.254.0.0/16 to any via sk0
         0                  0 deny ip from 192.0.2.0/24 to any via sk0
         0                  0 deny ip from 224.0.0.0/4 to any via sk0
         0                  0 deny ip from 240.0.0.0/4 to any via sk0
       10               400 allow tcp from any to any established
        0                   0 allow ip from any to any frag
        0                   0 allow tcp from any to 91.123.158.248 dst-port 25 setup
        0                   0 allow tcp from any to 91.123.158.248 dst-port 53 setup
        0                   0 allow udp from any to 91.123.158.248 dst-port 53
        0                   0 allow udp from 91.123.158.248 53 to any
        0                   0 allow tcp from any to 91.123.158.248 dst-port 80 setup
      27              1296 deny log logamount 10 tcp from any to any in via sk0 setup
        0                   0 allow tcp from any to any setup
      18              1827 allow udp from 91.123.158.248 to any dst-port 53 keep-state
       0                  0 allow udp from 91.123.158.248 to any dst-port 123 keep-state
130871        7041967 allow ip from any to any

[Erastik 0]

sk0 - смотрит в мир

rl0 - смотрит в свич с юзером на винде

[alex_o 1 194]

1. Все правила ниже "deny ip from 240.0.0.0/4 to any via sk0" не имеют смысла, т.к. общая политика стоит - allow.

 

2. Правило "vivert 8668 ip from any to any via sk0" замени на 2 таких:

 

divert 8668 ip from any to any out via sk0

divert 8668 ip from any to XXXX in via sk0

 

XXXX - замени на реальный IP, на котором висит НАТ.

[Erastik 0]

И все? После этого должно заработать?

[Erastik 0]

Все равно не работает.

[alex_o 1 194]

Пардон, забыл еще одну строку! Должно быть так:

 

allow all from XXXX to any out via sk0

divert 8668 ip from any to any out via sk0

divert 8668 ip from any to XXXX in via sk0

 

XXXX - внешний IP, под которым НАТ.

[Erastik 0]

Ввел все равно фиг там.

Как к стати сохранить эти правила? Что бы при перезагрузке они не слетали?

ДНС обязательно водить на компе юзере?

[Pentalgin 8]

To Erastik Товой конфиг что ты привел немного бредовый (без обид )ты пытаешься ухватить все сразу, сначала настрой простой доступ, потом занимайся безопасностью, ты просто ище не до конца понял сам прицып роботы фаервола не хватай все сразу начни с азов, рекомендую изучить этот сайт http://ipfw.ism.kiev.ua/ написано все очень толково, сам многое оттуда почерпнул

 

Добавь rc.firewall следующий простейший скрипт, дальше подгонишь под свои нужды и добавишь правила безопасности. После настройки вынеси все наработанные скрипты с rc.firewall в какой нибудь другой файл к примеру rc.billing, а то после обновления системы будешь писать все заново.

 

ournet='192.168.0.0/24' #локальная сеть

ifout='sk0' # интерфейс смотрящий в интернет

ifuser='rl0' # интерфейс смотрящий в ЛС

${ipfw} -f flush

${ipfw} add 100 check-state

#Локальная заглушка

${ipfw} add 150 allow ip from any to any via lo0

${ipfw} add 200 allow ip from me to any keep-state

# Правило безопасности - отшиваем любые пакеты внутри локальной сети,

# которые имет ip не нашего диапазона ($ournet)

${ipfw} add 220 deny ip from not ${ournet} to any via ${ifuser} in

# NAT

${ipfw} add 250 divert natd ip from any to any via ${ifout}

${ipfw} add 260 allow ip from any to any via ${ifout} out

#SSH

${ipfw} add 300 allow tcp from any to me ssh

#ICMP

${ipfw} add 310 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

${ipfw} add 310 allow icmp from any to me

# разрешим ДНС запросы

${ipfw} add 340 allow udp from any to me 53 via ${ifuser}

 

В rc.conf должны быть такие строчки

firewall_enable="YES"

natd_enable="YES"

natd_interface="sk0"

 

После всех прописок делаем ребут

 

Дольше после ребута добавляешь правила доступа для клиента к примеру

 

ipfw add 1000 allow ip from 192.168.0.2 to any

ipfw add 1000 allow ip from any to 192.168.0.2

ipfw add 1001 allow ip from 192.168.0.3 to any

ipfw add 1001 allow ip from any to 192.168.0.4

и так дальше для каждого клиента по 2 правила одно на входящий другое на исходящий трафик

 

На клиентах прописывеш шлюзом ip своего сервера и ДНС своего провайдера (без днс работать не будет!!)

Все удачи

[Erastik 0]

Спасибо, буду пробовать.

Собственно говоря, я и хотел всего на всего добиться простого доступа к нету на компе – юзере, а потом уже заниматься безопасностью.

[Erastik 0]

ournet='192.168.0.0/24' #локальная сеть - это внутреняя сеть в которую смотрит rl0?