Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » FreeBSD 5.4 + vpn + ipnat +ipf - проблемче?
Тема: FreeBSD 5.4 + vpn + ipnat +ipf - проблемче?
Мнение #1 Skip to the next post in this topic.
Написано на: Октомври 25 2006, 11:20
theoldman

No avatar chosen




Група: Li fans
Мнения: 3
Регистриран: Януари 2006

Оценка: няма

Offline
Значи каква е проблемацията:
Рутер с FreeBSD 5.4, качени mpd за VPN към доставчика, ipnat и ipf за рутиране и защита.
Зад рутера има 10-тина РС-та с адреси 192.168.ххх.ххх/255.255.0.0, закачени на мрежова карта rl1 (192.168.0.1) на рутера.
На rl0 на рутера е даден адрес 10.10.2.100/255.255.0.0 примерно.
При връзване с mpd-то, доставчика ми дава някакъв адрс от областта 212.36.ххх.ххх (не е статичен, ама и това не ми е проблема), закачен за ng0.
Сега, какво точно да пиша като правила за ipnat-a, за да мога хем да имам връзка към интернета, хем да имам достъп до локален сървър на доставчика, който има IP 10.10.0.123 примерно?
В момента имам следното:

map rl0 192.168.0.0/24 -> 10.10.2.100/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 10.10.2.100/32 portmap tcp/udp 1025:65000
map rl0 192.168.0.0/24 -> 10.10.2.100/32

map ng0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
map ng0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 49152:65000
map ng0 192.168.0.0/24 -> 0.0.0.0/32

С него нета ми бачка, ама нямам връзка до локалния сървър.
Спирах ipf-а, ама пак няма достъп до сървъра на доставчика.
Някакви идеи?
Контакти:  theoldman
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 25 2006, 12:28

Avatar




Група: Li psychos
Мнения: 380
Регистриран: Април 2005

Offline
това на практика не ти трябва или поне ти си знаеш за какво ти е

Цитат:

map rl0 192.168.0.0/24 -> 10.10.2.100/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 10.10.2.100/32 portmap tcp/udp 1025:65000
map rl0 192.168.0.0/24 -> 10.10.2.100/32


а за сървъра на доставчика един допълнителен маршрут ще е достатъчен
Код: 

route add -host 10.10.0.123 10.10.2.100

"Linux is for people who hate Windows, BSD is for people who love UNIX"
Контакти:  gog

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 25 2006, 14:10
theoldman

No avatar chosen




Група: Li fans
Мнения: 3
Регистриран: Януари 2006

Оценка: няма

Offline
Цитат:

FreeBSD ~ # ping 10.10.0.123
PING 10.10.0.123 (10.10.0.123): 56 data bytes
64 bytes from 10.10.0.123: icmp_seq=0 ttl=63 time=2.043 ms
64 bytes from 10.10.0.123: icmp_seq=1 ttl=63 time=0.944 ms
^C
--- 10.10.0.123 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.944/1.494/2.043/0.549 ms

FreeBSD ~ # route add -host 10.10.0.123 10.10.2.100
add host 10.10.0.123: gateway 10.10.2.100

FreeBSD ~ # ping 10.10.0.123
PING 10.10.0.123 (10.10.0.123): 56 data bytes
ping: sendto: Invalid argument
ping: sendto: Invalid argument
ping: sendto: Invalid argument
^C
--- 10.10.0.123 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss

Да, ама не :( След тоя route add даже и пинг няма :(
А с туй:
Цитат:

map rl0 192.168.0.0/24 -> 10.10.2.100/32 proxy port ftp ftp/tcp
map rl0 192.168.0.0/24 -> 10.10.2.100/32 portmap tcp/udp 1025:65000
map rl0 192.168.0.0/24 -> 10.10.2.100/32

се опитвах да прехвърлям пакетите между rl0 и rl1, ама няма успех.
Някакви други идеи, или допълнителна информация?
P.S. Забавих да спомена, че от рутера със lynx мога да влезна в сървъра на доставчика, ама първо всичко е в текстов режим, някои от линовете не щат да работят, и второ - на диска на рутера няма място да си сваля нищо, което по-нататък да си преточа на станцията.


Редактирано от theoldman на Октомври 25 2006, 14:26
Контакти:  theoldman
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 25 2006, 17:12

Avatar




Група: Li psychos
Мнения: 380
Регистриран: Април 2005

Offline
махни правилата за rl0 в ipnat.conf и остави само тези за ng0 и тогава пробвай

и дай да видим как си конфигурирал ipf, ipfw, pf
като модули ли ги зареждаш или си ги компилирал в ядрото. По подразбиране пускат трафика или го забраняват
дай и изхода от netstat -r


Редактирано от gog на Октомври 25 2006, 23:51

"Linux is for people who hate Windows, BSD is for people who love UNIX"
Контакти:  gog

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Октомври 26 2006, 11:51
theoldman

No avatar chosen




Група: Li fans
Мнения: 3
Регистриран: Януари 2006

Оценка: няма

Offline
rc.conf:
Цитат:


ifconfig_rl0="inet 10.10.2.232  netmask 255.255.0.0 up"
ifconfig_rl1="inet 192.168.0.1  netmask 255.255.0.0 up"
sendmail_enable="NONE"
hostname="mp-linux"
gateway_enable="YES"
mpd_enable="YES"
ipfilter_enable="YES"
ipfilter_flags="-Fa -f /etc/ipf.rules"
ipmon_enable="YES"
ipmon_flags="-Ds"
ipnat_enable="YES"
sshd_enable="YES"


ipf.rules:
Цитат:


pass in quick on lo0 all
pass out quick on lo0 all

pass in quick on rl1 all
pass out quick on rl1 all

# Let clients behind the firewall send out to the internet, and replies to come
pass out quick on rl0 proto tcp all keep state
pass out quick on ng0 proto tcp all keep state
pass out quick on rl0 proto udp all keep state
pass out quick on ng0 proto udp all keep state
pass out quick on rl0 proto icmp all keep state
pass out quick on ng0 proto icmp all keep state

# Since nothing should be coming from these address ranges, block them
block in quick on rl0 from 192.168.0.0/16 to any
block in quick on ng0 from 192.168.0.0/16 to any
block in quick on rl0 from 172.16.0.0/12 to any
block in quick on ng0 from 172.16.0.0/12 to any
block in quick on rl0 from 127.0.0.0/8 to any
block in quick on ng0 from 127.0.0.0/8 to any
block in quick on rl0 from 192.0.2.0/24 to any
block in quick on ng0 from 192.0.2.0/24 to any

# Let's let people access the services running on this system
pass in quick on rl0 proto tcp from any to any port 30000 >< 50000 flags S keep
pass in quick on rl0 proto tcp from any to any port = 50505 flags S keep state
pass in quick on rl0 proto udp from any to any port = 50505 #BitComet
pass in quick on rl0 proto tcp from any to any port = 21 #FTP
pass in quick on rl0 proto tcp from any to any port = 22 #SSH
pass out quick on rl0 proto tcp from any to any port = 22 #SSH
pass in quick on rl0 proto tcp/udp from any to any port = 53 #DNS
pass in quick on rl0 proto tcp from any to any port = 80 #WWW

# Block everything else
block in quick on rl0 all


Цитат:


FreeBSD /etc # netstat -r
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            CLGW-V57.BGMreja.c UGS         0   132248    ng0
10.10/16           link#1             UC          0        0    rl0
10.10.2.232        lo0                UHS         0        0    lo0
10.10.2.235        4c:00:10:55:21:34  UHLW        0        0    rl0   1200
10.10.3.162        00:13:8f:86:2a:26  UHLW        0        0    rl0   1200
localhost          localhost          UH          0        0    lo0
192.168.0/16       link#2             UC          0        0    rl1
host2.net0.int.lan 00:50:fc:e5:59:bc  UHLW        0      362    rl1   1142
host6.net0.int.lan 00:00:00:00:00:00  UHLW        0    57929    rl1   1034
host8.net0.int.lan 00:04:61:9c:14:1b  UHLW        0    47724    rl1   1152
host9.net0.int.lan 00:04:61:a5:bb:c7  UHLW        0     2290    rl1   1050
CLGW-V57.BGMreja.c 10.10.2.232        UH          1        0    ng0

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UH          lo0
fe80::%rl0         link#1             UC          rl0
и дрън-дрън по-нататък ...

ipnat.rules:
Цитат:


map ng0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp
map ng0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 49152:65000
map ng0 192.168.0.0/24 -> 0.0.0.0/32



Ядрото не съм го прекомпилирал, така че май по default пуска всичко.
На ipf.rules трябва да разчистя още малко pass in, щото нямам сървъри, ама първо това с free съвъра ми е болката :(


Редактирано от theoldman на Октомври 26 2006, 11:53
Контакти:  theoldman
WEB  
Мнение #6
Skip to the previous post in this topic. Написано на: Октомври 26 2006, 14:00

Avatar




Група: Li psychos
Мнения: 380
Регистриран: Април 2005

Offline
сложи най-отгоре в ipf.conf за тест

Код: 
pass in quick all
pass out quick all


изпълни
Код: 
ipf -Fa -f /etc/ipf.conf

"Linux is for people who hate Windows, BSD is for people who love UNIX"
Контакти:  gog

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 5 отговор(а) от Октомври 25 2006, 11:20 до сега
 » Начало » Li Форуми » Help & Support » Networking » FreeBSD 5.4 + vpn + ipnat +ipf - проблемче?

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums