форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD + pptpd + nat + IPFW"

Сообщение от link0ln (ok) on 16-Ноя-06, 19:55

Имеется сложная задачка(по крайней мере для меня). Есть FreeBSD "сервер", на котором стоит pptpd и IPFW. Имеется локальная сеть 192.168.12.0/24. VPN сеть 192.168.1.0/24. Еще есть Natd Вся проблема состоит в том, чтобы пускать в инет пользователей по VPN, а из локальной сети пускать в инет только на определенные адреса. Поскольку я новичек, накатал такие голые правила: #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw add 5 allow all from 192.168.12.1 to any /sbin/ipfw add 5 allow all from any to 192.168.12.1 /sbin/ipfw add 14 allow all from 192.168.12.0/24 to xx.xx.xx.x1 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x2 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x3 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x4 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x5 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x6 /sbin/ipfw add 15 allow all from 192.168.12.0/24 to xx.xx.xx.x7 /sbin/ipfw add 16 deny all from 192.168.12.0/24 to any /sbin/ipfw add 17 divert natd all from any to any via vr0 /sbin/ipfw add 18 allow ip from any to any Но эта цепочка не работает, те лан пользователи лазают только на xx.xx.xx.xx, дальше правило 16 их ограничивает, те, кто подрубились по VPN же не могут вообще никого пропинговать в инет. Топология сети у меня такая - adsl модем, к нему свич, к свичу сервер и клиенты, сервер для клиентов выступает в роли шлюза.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "FreeBSD + pptpd + nat + IPFW"

Сообщение от mg (??) on 16-Ноя-06, 23:49

Лучше топологию сменить на такую Втыкаем в сервер две сетевые карты. Теперь адсл втыкаем в сетевую карту №1 (назовём её $if1) А свитч втыкаем в сетевую карту №2 (назовём её $if2) Затем к свитчу подключаем все локальные компы Получается что твой сервер находится между твоими лоакльными машинами и адсл модемом. Теперь создаём следующие правила #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw add 30 allow all from any to any via lo /sbin/ipfw add 500 divert natd all from 192.168.12.0/24 to any via $if1 /sbin/ipfw add 510 divert natd all from any to me via $if1 /sbin/ipfw add 700 allow all from 192.168.12.0/24 to any /sbin/ipfw add 710 allow all from any to 192.168.12.0/24 via $if2 /sbin/ipfw add 720 allow all from me to any /sbin/ipfw add 730 allow all from 192.168.12.1 to any /sbin/ipfw add 10000 deny log logamount 10 all from any to any После этого у тебя заработает интерент у локальных пользователей далее тебе нужно настроить впн таким образом чтоб подключившиеся пользователи получали адрес из локальной сети 192.168.12.0/24 и имели своим шлюзом 192.168.12.1 По идее если ты такое сделаешь то у них тоже должен возникнуть интернет сразу после подключения к впн. Если же делать по той топрологии что у тебя то я бы тогда сделал так #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw add 30 allow all from any to any via lo /sbin/ipfw add 200 allow all from any to 192.168.12.0/24 /sbin/ipfw add 300 allow all from 192.168.12.1 to any /sbin/ipfw add 400 allow all from $MyRealIP to any /sbin/ipfw add 500 divert natd all from any to any via vr0 /sbin/ipfw add 10000 log logmount 10 deny all from any to any и возможно у вас тоже всё будет работать, но если честно такие настройки крайне НЕ БЕЗОПАСНЫ ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]