шлюз Freebsd Help

[AvatoR]

ournet='192.168.0.0/24' #локальная сеть - это внутреняя сеть в которую смотрит rl0?

да

[Erastik]

Добавь rc.firewall следующий простейший скрипт,  дальше подгонишь под свои нужды и добавишь правила безопасности. После настройки вынеси все наработанные скрипты с rc.firewall в какой нибудь другой файл к примеру rc.billing, а то после обновления системы будешь писать все заново.

А как этот самый rc.billing потом подгружать?

[Amal]

ipfw add 1000 allow ip from 192.168.0.2 to any

ipfw add 1000 allow ip from any to 192.168.0.2

а зачем такие 2?

у меня работает по allow ip from 10.1.5.1 to any via rl1

rl1 - внутренний интерфейс.

[Erastik]

Так как сделать что бы не пришлось все по новой настраивать после перезагрузки.

Если можно укажите с начала и до конца.

[Pentalgin]

Добавь rc.firewall следующий простейший скрипт,  дальше подгонишь под свои нужды и добавишь правила безопасности. После настройки вынеси все наработанные скрипты с rc.firewall в какой нибудь другой файл к примеру rc.billing, а то после обновления системы будешь писать все заново.

А как этот самый rc.billing потом подгружать?

Очень просто добавь в rc.conf

 

firewall_enable="YES"

firewall_script="/usr/local/billing/rc.billing"

[Pentalgin]

ipfw add 1000 allow ip from 192.168.0.2 to any

ipfw add 1000 allow ip from any to 192.168.0.2

а зачем такие 2?

у меня работает по allow ip from 10.1.5.1 to any via rl1

rl1 - внутренний интерфейс.

Очень интересно покажи свой ipfw show может в конце затаилась строчка allow ip from any to any

 

pfw add 1000 allow ip from 192.168.0.2 to any -исходящий трафик

ipfw add 1000 allow ip from any to 192.168.0.2 - входящий трафик

[Amal]

Pentalgin

allow ip from any to any

естессно.

так вопрос всё таки назрел: какой командой всё что набрал в консоле по ФВ сохранить? :loop:

[J.McKey]

Pentalgin

allow ip from any to any

естессно.

так вопрос всё таки назрел: какой командой всё что набрал в консоле по ФВ сохранить? :loop:

vi /etc/rc.firewall

[Erastik]

Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки?

 

ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же..

[J.McKey]

Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки?

 

ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же..

наверное лучше тогда не так.

 

rc.conf:

 

---[cut]---

firewall_enable="YES"

firewall_script="/etc/my-rc.firewall"

---[end cut]---

 

файлик my-rc.firewall шелл скрипт вида:

 

---[cut]---

#!/bin/sh

 

/sbin/ipfw -f flush

/sbin/ipfw zero

 

#ваши правила

...

...

 

/sbin/ipfw add 65534 pass all from any to any

 

---[end cut]---

[Erastik]

Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки?

 

ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же..

наверное лучше тогда не так.

 

rc.conf:

 

---[cut]---

firewall_enable="YES"

firewall_script="/etc/my-rc.firewall"

---[end cut]---

 

файлик my-rc.firewall шелл скрипт вида:

 

---[cut]---

#!/bin/sh

 

/sbin/ipfw -f flush

/sbin/ipfw zero

 

#ваши правила

...

...

 

/sbin/ipfw add 65534 pass all from any to any

 

---[end cut]---

Ок Спасибо большое!

[biceps]

iif="rl0"

inet="333.333.333.0”

imask="255.255.255.0"

iip="333.333.333.1”

 

Ядро собрал, все перезапустил.

На компе который является клиентом проставил АйПи 333.333.333.2, маску 255.255.255.0 шлюз 333.333.333.1

 

Пинганул гугль, работает, пинганул 333.333.333.2(это комп – клиент который подключен через свич к интерфейсу 1 rl0)– работает, пинганул с 333.333.333.2 на 333.333.333.1 тоже работает.

Работает все. Кроме Интернета на компе клиенте.

а правда Вы смогли назначить rl0 адрес 333.333.333.1 - или я просто не включил воображение (тогда изв.)? Если правда поставили - можно посмотреть вывод ifconfig ?

[Amal]

не я думаю это для примера, а 3-ки потому что возле точки на циферной клавиатуре.

[Erastik]

Конечно для примера ))) Торопился вот и ляпнул ))

[Erastik]

Все заработало!!!! Только правда, проработало только 5 мин. и так криво....

Половина сайтов не загружалась, аська тоже...

[Erastik]

Вчера вроде все заработало, но проработало всего 2 мин. потом почему-то отрубилось…

 

Сегодня пробую нифига…

 

Ставлю

allow all from any to any для интереса

все равно не работает, что это может быть?

[Erastik]

ХЕЛП!

[J.McKey]

Вчера вроде все заработало, но проработало всего 2 мин. потом почему-то отрубилось…

 

Сегодня пробую нифига…

 

Ставлю

allow all from any to any для интереса

все равно не работает, что это может быть?

сделайте вывод ipfw show и распишите построчно что хочется получить

 

P.S. для не телепатов

[Erastik]

Я же говорю, ставлю даже allow all from any to any

Все раво на компьюетере-юзере нет инета. Хотя первый раз он был ровно 2 мин. , потом пропал...

[J.McKey]

Я же говорю, ставлю даже allow all from any to any

Все раво на компьюетере-юзере нет инета. Хотя первый раз он был ровно 2 мин. , потом пропал...

последовательность телодвижений:

 

 

/sbin/sysctl -w net.inet.ip.forwarding=1

 

/sbin/natd -a xxx.xxx.xxx.xxx -p yyyy

 

#где xxx.xxx.xxx.xxx - ip на карточке в сторону провайдера, yyyy - номер порта для natd (задается произвольно)

 

/sbin/ipfw -f flush

 

/sbin/ipfw add 100 divert yyyy all from zzz.zzz.zzz.zzz/nn to any out via xxx.xxx.xxx.xxx

 

#где zzz.zzz.zzz.zzz/nn - внутренняя сеть на серых адресах (например 192.168.0.0/24)

 

/sbin/ipfw add 200 divert yyyy all from any to xxx.xxx.xxx.xxx

 

/sbin/ipfw add 65534 pass all from any to any

[Erastik]

Понеслась родимая , работает аж дым идет!!!)))))))))))))))))))))))))))

Спасибо тебе J.McKey!!! И всем кто принимал участие в этом топике!!!

Прокомментируй если не трудно эти 2 строки:

/sbin/sysctl -w net.inet.ip.forwarding=1

/sbin/natd -a xxx.xxx.xxx.xxx -p yyyy

и будет мне полное счастье.

Я в принципе приблизительно догоняю, но хотел бы уточнить.

[J.McKey]

Понеслась родимая , работает аж дым идет!!!)))))))))))))))))))))))))))

Спасибо тебе J.McKey!!! И всем кто принимал участие в этом топике!!!

Прокомментируй если не трудно эти 2 строки:

/sbin/sysctl -w net.inet.ip.forwarding=1

/sbin/natd -a xxx.xxx.xxx.xxx -p yyyy

и будет мне полное счастье.

Я в принципе приблизительно догоняю, но хотел бы уточнить.

/sbin/sysctl -w net.inet.ip.forwarding=1

включение форвардинга пакетов между интерфейсами

 

/sbin/natd -a xxx.xxx.xxx.xxx -p yyyy

запуск демона в user-space на которого будет отсылатся трафик их kernel-space и обратно

 

ключ -a говорит транслировать адреса из серой сети в xxx.xxx.xxx.xxx + хеш таблица для входящих соединений

 

ключ -p выбор порта который слушает демон

[Erastik]

Еще такой вопрос насколько допустимо использовать natd в сети скажем на 500-1000 юзерей?

[devchaos]

Еще такой вопрос насколько допустимо использовать natd в сети скажем на 500-1000 юзерей?

В принципе допустимо но зависит от скорости канала. Будет загружен процессор. Например 200 абонентов (однавременно 1/3) на канале до 20 мегабит загружают AMD 3200+ 1 GB ОЗУ 30-50%.

Не факт что все 1000 человек будет обслуживать один шлюз

[Erastik]

ipnat меньше хавает ресурсов?