AvatoR 0 Posted 2007-06-26 06:39:31 Share Posted 2007-06-26 06:39:31 ournet='192.168.0.0/24' #локальная сеть - это внутреняя сеть в которую смотрит rl0? да Link to post Share on other sites
Erastik 0 Posted 2007-06-26 07:02:25 Author Share Posted 2007-06-26 07:02:25 Добавь rc.firewall следующий простейший скрипт, дальше подгонишь под свои нужды и добавишь правила безопасности. После настройки вынеси все наработанные скрипты с rc.firewall в какой нибудь другой файл к примеру rc.billing, а то после обновления системы будешь писать все заново. А как этот самый rc.billing потом подгружать? Link to post Share on other sites
Amal 0 Posted 2007-06-26 08:44:30 Share Posted 2007-06-26 08:44:30 ipfw add 1000 allow ip from 192.168.0.2 to any ipfw add 1000 allow ip from any to 192.168.0.2 а зачем такие 2? у меня работает по allow ip from 10.1.5.1 to any via rl1 rl1 - внутренний интерфейс. Link to post Share on other sites
Erastik 0 Posted 2007-06-26 09:34:06 Author Share Posted 2007-06-26 09:34:06 Так как сделать что бы не пришлось все по новой настраивать после перезагрузки. Если можно укажите с начала и до конца. Link to post Share on other sites
Pentalgin 8 Posted 2007-06-26 12:10:05 Share Posted 2007-06-26 12:10:05 Добавь rc.firewall следующий простейший скрипт, дальше подгонишь под свои нужды и добавишь правила безопасности. После настройки вынеси все наработанные скрипты с rc.firewall в какой нибудь другой файл к примеру rc.billing, а то после обновления системы будешь писать все заново. А как этот самый rc.billing потом подгружать? Очень просто добавь в rc.conf firewall_enable="YES" firewall_script="/usr/local/billing/rc.billing" Link to post Share on other sites
Pentalgin 8 Posted 2007-06-26 12:13:13 Share Posted 2007-06-26 12:13:13 ipfw add 1000 allow ip from 192.168.0.2 to anyipfw add 1000 allow ip from any to 192.168.0.2 а зачем такие 2? у меня работает по allow ip from 10.1.5.1 to any via rl1 rl1 - внутренний интерфейс. Очень интересно покажи свой ipfw show может в конце затаилась строчка allow ip from any to any pfw add 1000 allow ip from 192.168.0.2 to any -исходящий трафик ipfw add 1000 allow ip from any to 192.168.0.2 - входящий трафик Link to post Share on other sites
Amal 0 Posted 2007-06-26 12:59:44 Share Posted 2007-06-26 12:59:44 Pentalgin allow ip from any to any естессно. так вопрос всё таки назрел: какой командой всё что набрал в консоле по ФВ сохранить? :loop: Link to post Share on other sites
J.McKey 0 Posted 2007-06-26 14:12:03 Share Posted 2007-06-26 14:12:03 Pentalgin allow ip from any to any естессно. так вопрос всё таки назрел: какой командой всё что набрал в консоле по ФВ сохранить? :loop: vi /etc/rc.firewall Link to post Share on other sites
Erastik 0 Posted 2007-06-26 19:28:20 Author Share Posted 2007-06-26 19:28:20 Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки? ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же.. Link to post Share on other sites
J.McKey 0 Posted 2007-06-26 20:08:46 Share Posted 2007-06-26 20:08:46 Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки? ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же.. наверное лучше тогда не так. rc.conf: ---[cut]--- firewall_enable="YES" firewall_script="/etc/my-rc.firewall" ---[end cut]--- файлик my-rc.firewall шелл скрипт вида: ---[cut]--- #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw zero #ваши правила ... ... /sbin/ipfw add 65534 pass all from any to any ---[end cut]--- Link to post Share on other sites
Erastik 0 Posted 2007-06-26 20:19:54 Author Share Posted 2007-06-26 20:19:54 Прошу прощения за совсем ломвской вопрос, но скажите плз куда именно в файле rc.firewall надо вводить правила что бы они работали? Просто в коне файла с новой строки? ЗЫ: знаю что вопрос совсем из ряда вон выходящих, но все же.. наверное лучше тогда не так. rc.conf: ---[cut]--- firewall_enable="YES" firewall_script="/etc/my-rc.firewall" ---[end cut]--- файлик my-rc.firewall шелл скрипт вида: ---[cut]--- #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw zero #ваши правила ... ... /sbin/ipfw add 65534 pass all from any to any ---[end cut]--- Ок Спасибо большое! Link to post Share on other sites
biceps 0 Posted 2007-06-26 21:02:06 Share Posted 2007-06-26 21:02:06 iif="rl0"inet="333.333.333.0” imask="255.255.255.0" iip="333.333.333.1” Ядро собрал, все перезапустил. На компе который является клиентом проставил АйПи 333.333.333.2, маску 255.255.255.0 шлюз 333.333.333.1 Пинганул гугль, работает, пинганул 333.333.333.2(это комп – клиент который подключен через свич к интерфейсу 1 rl0)– работает, пинганул с 333.333.333.2 на 333.333.333.1 тоже работает. Работает все. Кроме Интернета на компе клиенте. а правда Вы смогли назначить rl0 адрес 333.333.333.1 - или я просто не включил воображение (тогда изв.)? Если правда поставили - можно посмотреть вывод ifconfig ? Link to post Share on other sites
Amal 0 Posted 2007-06-26 22:11:00 Share Posted 2007-06-26 22:11:00 не я думаю это для примера, а 3-ки потому что возле точки на циферной клавиатуре. Link to post Share on other sites
Erastik 0 Posted 2007-06-27 06:19:02 Author Share Posted 2007-06-27 06:19:02 Конечно для примера ))) Торопился вот и ляпнул )) Link to post Share on other sites
Erastik 0 Posted 2007-06-27 06:21:33 Author Share Posted 2007-06-27 06:21:33 Все заработало!!!! Только правда, проработало только 5 мин. и так криво.... Половина сайтов не загружалась, аська тоже... Link to post Share on other sites
Erastik 0 Posted 2007-06-27 18:51:24 Author Share Posted 2007-06-27 18:51:24 Вчера вроде все заработало, но проработало всего 2 мин. потом почему-то отрубилось… Сегодня пробую нифига… Ставлю allow all from any to any для интереса все равно не работает, что это может быть? Link to post Share on other sites
Erastik 0 Posted 2007-06-27 20:24:11 Author Share Posted 2007-06-27 20:24:11 ХЕЛП! Link to post Share on other sites
J.McKey 0 Posted 2007-06-27 20:55:43 Share Posted 2007-06-27 20:55:43 Вчера вроде все заработало, но проработало всего 2 мин. потом почему-то отрубилось… Сегодня пробую нифига… Ставлю allow all from any to any для интереса все равно не работает, что это может быть? сделайте вывод ipfw show и распишите построчно что хочется получить P.S. для не телепатов Link to post Share on other sites
Erastik 0 Posted 2007-06-28 07:21:46 Author Share Posted 2007-06-28 07:21:46 Я же говорю, ставлю даже allow all from any to any Все раво на компьюетере-юзере нет инета. Хотя первый раз он был ровно 2 мин. , потом пропал... Link to post Share on other sites
J.McKey 0 Posted 2007-06-28 08:23:56 Share Posted 2007-06-28 08:23:56 Я же говорю, ставлю даже allow all from any to anyВсе раво на компьюетере-юзере нет инета. Хотя первый раз он был ровно 2 мин. , потом пропал... последовательность телодвижений: /sbin/sysctl -w net.inet.ip.forwarding=1 /sbin/natd -a xxx.xxx.xxx.xxx -p yyyy #где xxx.xxx.xxx.xxx - ip на карточке в сторону провайдера, yyyy - номер порта для natd (задается произвольно) /sbin/ipfw -f flush /sbin/ipfw add 100 divert yyyy all from zzz.zzz.zzz.zzz/nn to any out via xxx.xxx.xxx.xxx #где zzz.zzz.zzz.zzz/nn - внутренняя сеть на серых адресах (например 192.168.0.0/24) /sbin/ipfw add 200 divert yyyy all from any to xxx.xxx.xxx.xxx /sbin/ipfw add 65534 pass all from any to any Link to post Share on other sites
Erastik 0 Posted 2007-06-28 08:56:10 Author Share Posted 2007-06-28 08:56:10 Понеслась родимая , работает аж дым идет!!!))))))))))))))))))))))))))) Спасибо тебе J.McKey!!! И всем кто принимал участие в этом топике!!! Прокомментируй если не трудно эти 2 строки: /sbin/sysctl -w net.inet.ip.forwarding=1 /sbin/natd -a xxx.xxx.xxx.xxx -p yyyy и будет мне полное счастье. Я в принципе приблизительно догоняю, но хотел бы уточнить. Link to post Share on other sites
J.McKey 0 Posted 2007-06-28 09:47:35 Share Posted 2007-06-28 09:47:35 Понеслась родимая , работает аж дым идет!!!))))))))))))))))))))))))))) Спасибо тебе J.McKey!!! И всем кто принимал участие в этом топике!!! Прокомментируй если не трудно эти 2 строки: /sbin/sysctl -w net.inet.ip.forwarding=1 /sbin/natd -a xxx.xxx.xxx.xxx -p yyyy и будет мне полное счастье. Я в принципе приблизительно догоняю, но хотел бы уточнить. /sbin/sysctl -w net.inet.ip.forwarding=1 включение форвардинга пакетов между интерфейсами /sbin/natd -a xxx.xxx.xxx.xxx -p yyyy запуск демона в user-space на которого будет отсылатся трафик их kernel-space и обратно ключ -a говорит транслировать адреса из серой сети в xxx.xxx.xxx.xxx + хеш таблица для входящих соединений ключ -p выбор порта который слушает демон Link to post Share on other sites
Erastik 0 Posted 2007-06-28 11:17:18 Author Share Posted 2007-06-28 11:17:18 Еще такой вопрос насколько допустимо использовать natd в сети скажем на 500-1000 юзерей? Link to post Share on other sites
devchaos 1 Posted 2007-06-28 20:42:35 Share Posted 2007-06-28 20:42:35 Еще такой вопрос насколько допустимо использовать natd в сети скажем на 500-1000 юзерей? В принципе допустимо но зависит от скорости канала. Будет загружен процессор. Например 200 абонентов (однавременно 1/3) на канале до 20 мегабит загружают AMD 3200+ 1 GB ОЗУ 30-50%. Не факт что все 1000 человек будет обслуживать один шлюз Link to post Share on other sites
Erastik 0 Posted 2007-06-28 20:52:57 Author Share Posted 2007-06-28 20:52:57 ipnat меньше хавает ресурсов? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now