FreeBSD

gf100 · Отправлено: **17:58, 08-11-2010** | #2

Цитата suzukialek:

модем в режиме роутера »

Разреши в модеме выход только с одного адреса.

suzukialek · Отправлено: **18:14, 08-11-2010** | #3

Модем ставлю бриджем, PPPoE поднимаю на FreeBSD... Я так понял нужно задействовать IPFW, но не очень разбираюсь в написании правил...(

gf100 · Отправлено: **22:47, 08-11-2010** | #4

Цитата suzukialek:

Модем ставлю бриджем, PPPoE поднимаю на FreeBSD... »

???
У меня несколько лет работала связка модем-FreeBSD-локалка. Nat и остальное было в модеме. У FreeBSD 2 сетевые: одна в локалку, другая на модем.

Цитата suzukialek:

нужно задействовать IPFW »

Озвучь имеющиеся интерфейсы у FreeBSD, тогда народ подскажет с правилами.

Цитата suzukialek:

что бы юзер мог ходить в инет только по VPN »

Это что, для авторизации?

suzukialek · Отправлено: **23:15, 08-11-2010** | #5

Да, на VPN уже режу скорость...
Поднимаю PPPoE на BSD так как процессор на модеме просто начинает виснуть при 10 и более клиентов...

rl1 - интерфейс который смотрит в интернет, ип - 192.168.10.1
192.168.10.10 - ип, на котором крутится VPN
rlo - интерфейс который смотрит в локалку, ип - 192.168.1.1

с ипа 192.168.10.1 перенаправить весь трафик на 192.168.10.10, все остальные пути прохождения трафика закрыть ....
как мне эту строчку оформить как правило?(((
перечитал кучу литературы, хендбуки и т д...не нашел(((

gf100 · Отправлено: **14:33, 09-11-2010** | #6

Цитата suzukialek:

инетрент у всех работает и по VPN и при прописывание шлюза на клиентских компах »

Покажи результат <ipconfig /all> и <route print> у клиентов для этих двух случаев

Цитата suzukialek:

с ипа 192.168.10.1 перенаправить весь трафик на 192.168.10.10, все остальные пути прохождения трафика закрыть »

Покажи с FreeBSD результат <ifconfig -a> и <ipfw list>, внешний ip замени на ххх.ххх.ххх.ххх

suzukialek · Отправлено: **14:35, 10-11-2010** | #7

Цитата gf100:

Покажи результат <ipconfig /all> »

Настройка протокола IP для Windows
Имя компьютера...................................: alden-451a5f931
Основной DNS-суффикс.......................:
Тип узла................................................: неизвестен
IP-маршрутизация включена..............: нет
WINS-прокси включен.........................: нет
Порядок просмотра суффиксов DNS...: local

Подключение по локальной сети - Ethernet адаптер:

DNS-суфикс этого подключения.......: local
Описание.............................................: Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес...............................: 00-13-8f-30-35-fa
DHCP включен.....................................: да
Автонастройка включена...................: да
IP-адрес...............................................: 192.168.1.2
Маска подсети.....................................: 255.255.255.0
Основной шлюз....................................: 192.168.1.1
DHCP-сервер........................................: 192.168.1.1
DNS-серверы........................................: 8.8.8.8
Аренда получена.................................: 10 ноября 2010г. 11:19:57
Аренда истекает..................................: 10 ноября 2010г. 12:19:57

Цитата gf100:

и <route print> »

Список интерфейсов
0x1 ................................. MS TCP Loopback interface
0x2 ................................. Realtek RTL8139 Family PCI Fast Ethernet NIC
==================================================================================
Активные маршруты:
Сетевой адрес ____Маска сети_______Адрес шлюза_____Интерфейс____Матрика
0.0.0.0___________0.0.0.0___________192.168.1.1______192.168.1.2____20
127.0.0.0_________255.0.0.0_________127.0.0.1________127.0.0.1______1
192.168.1.0_______255.255.255.0_____192.168.1.2______192.168.1.2____20
192.168.1.2_______255.255.255.255___127.0.0.1________127.0.0.1______20
192.168.1.255_____255.255.255.255___192.168.1.2______192.168.1.2____20
224.0.0.0_________240.0.0.0_________192.168.1.2______192.168.1.2____20
255.255.255.255___255.255.255.255___192.168.1.2______192.168.1.2____1
Основной шлюз:___192.168.1.1
==================================================================================
Постоянные маршруты:
Отсутствует

Цитата gf100:

Покажи с FreeBSD результат <ifconfig -a> »

vpn# ifconfig -a
rl0: flags=8844<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
option=8<VLAN_MTU>
ether 00:c0:26:a8:f4:2e
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8844<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
option=8<VLAN_MTU>
ether 00:e0:1c:3c:3b:2b
inet 192.168.10.2 netmask 0xffffff00 broadcast 192.168.10.255
media: Ethernet autoselect (100baseTX <full duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80:: 1%lo0 prefixlen 64 scopied 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 95.132.167.98 --> 195.5.5.184 netmask 0xffffffff
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIPLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.39 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.208 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.93 netmask 0xffffffff

Цитата gf100:

и <ipfw list> »

vpn# ipfw list
00005 allow ip from 192.168.10.0/24 to any via rl1
00006 allow ip from 192.168.10.0/24 to 192.168.10.2
00010 deny ip from 192.168.0.0/16 to any via rl1
00020 deny ip from 172.16.0.0/12 to any via rl1
00030 deny ip from 192.168.0.0/16 to 192.168.10.2
00040 deny ip from 172.16.0.0/12 to 192.168.10.2
30000 pipe 30000 ip from any to any in via ng0
30001 pipe 30001 ip from any to any in via ng1
30002 pipe 30002 ip from any to any in via ng2
30003 pipe 30003 ip from any to any in via ng3
31000 pipe 31000 ip from any to any out via ng0
31001 pipe 31001 ip from any to any out via ng1
31002 pipe 31002 ip from any to any out via ng2
31003 pipe 31003 ip from any to any out via ng3
65535 allow ip from any to any

gf100 · Отправлено: **15:12, 10-11-2010** | #8

Попробуй добавить

allow ip from 192.168.1.0/24 to 192.168.0.0/16
deny ip from 192.168.1.0/24 to any via rl0

Цитата gf100:

Покажи результат <ipconfig /all> и <route print> у клиентов для этих двух случаев »

Интересен как раз случай с активированным ВПН.

Не совсем понятна привязка rl1 к 192.168.10.0/24: в эту же сетку попадают адреса ВПН.

suzukialek · Отправлено: **16:39, 10-11-2010** | #9

Цитата gf100:

Покажи результат <ipconfig /all> »

alden - PPP адаптер:

DNS - суфикс этого подключения .......:
Описание..............................................: WAN <PPP/SLIP> Interface
Физический адрес................................: 00-53-45-00-00-00
Dhcp включен.......................................: нет
IP-адрес................................................: 192.168.10.4
Маска подсети......................................: 255.255.255.255
Основной шлюз....................................: 192.168.10.4
DNS-серверы........................................: 8.8.8.8

Цитата gf100:

и <route print> »

Активные маршруты:
Сетевой адрес ____Маска сети_______Адрес шлюза_____Интерфейс______Матрика
0.0.0.0___________0.0.0.0___________192.168.1.1______192.168.1.2_____21
0.0.0.0___________0.0.0.0___________192.168.10.4_____192.168.10.4____1
127.0.0.0_________255.0.0.0_________127.0.0.1________127.0.0.1_______1
192.168.1.0_______255.255.255.0_____192.168.1.2______192.168.1.2_____20
192.168.1.1_______255.255.255.255___192.168.1.2______192.168.1.2_____20
192.168.1.2_______255.255.255.255___127.0.0.1________127.0.0.1_______20
192.168.1.255_____255.255.255.255___192.168.1.2______192.168.1.2_____20
192.168.10.4______255.255.255.255___127.0.0.1________127.0.0.1_______50
192.168.10.255____255.255.255.255___192.168.10.4_____192.168.10.4____50
224.0.0.0_________240.0.0.0_________192.168.1.2______192.168.1.2_____20
224.0.0.0_________240.0.0.0_________192.168.10.4_____192.168.10.4____1
255.255.255.255___255.255.255.255___192.168.1.2______192.168.1.2_____1
255.255.255.255___255.255.255.255___192.168.10.4______192.168.10.4___1
Основной шлюз:___192.168.10.4
==================================================================================
Постоянные маршруты:
Отсутствует

Цитата gf100:

Попробуй добавить
allow ip from 192.168.1.0/24 to 192.168.0.0/16
deny ip from 192.168.1.0/24 to any via rl0 »

/etc/rc.conf
firewall_enable="YES"
firevall_script="/usr/local/etc/ipfw.rulles"

В файле ipfw.rulles уже вбиваю правила.
Всё правильно, или что то нужно добавить?

gf100 · Отправлено: **10:04, 11-11-2010** | #10

Цитата suzukialek:

8.8.8.8 »

Надеюсь, это написано для примера...

Цитата suzukialek:

Всё правильно, или что то нужно добавить? »

Проверь сначала в этом виде. Где-нибудь до 30000...

<ipfw show> покажет статистику срабатывания правил.