The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +1 +/
Сообщение от auto_topic (ok) on 29-Июл-08, 13:21 
Обсуждение статьи тематического каталога: Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)

Ссылка на текст статьи: http://www.opennet.dev/base/net/freebsd_gw2.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Pahanivo email(ok) on 29-Июл-08, 13:21 
Прокинуть порты на внутренние машины можно стандартными средствами natd,
но лишние проблемы нам не нужны и поэтому мы пойдем другим путем ...
Стрынные у вас пути, товарисщ. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от JIexa email(??) on 30-Июл-08, 17:27 
Могли бы более обоснованно ответить а не выпендриваться.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Pahanivo email(ok) on 31-Июл-08, 19:09 
>Могли бы более обоснованно ответить а не выпендриваться.

Вообщето это стандартно делается natd:
/sbin/natd -n rl0 -f /etc/natd.cfg - стартем

в /etc/natd.cfg:
...
redirect_port udp 192.168.0.100:27015 ххх.ххх.121.161:666
redirect_port tcp 192.168.0.100:3690 ххх.ххх.121.161:3690
...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Сергей (??) on 01-Авг-08, 11:52 
Хотелось бы узнать мотивы автора, по которым он использует файрволл, открытый по умолчанию...
  Я бы понял, если бы использовался прозрачный прокси...
А применительно к 7-ке, можно и другой планировщик в ядре использовать и поддержку nat прямо в IPFW внедрить
options         IPFIREWALL_NAT
  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от avsess email(??) on 01-Авг-08, 12:41 
А как через natd пробросить порт, если хожу через чужую сетку и надо открыть только для определенного ip? тогда natd уже на канает, ведь источник у меня - шлюз той сети через которую ходишь. тоесть на ipfw, не iptables не годятся без плясок с бубном.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Pahanivo email(ok) on 01-Авг-08, 16:09 
>А как через natd пробросить порт, если хожу через чужую сетку и
>надо открыть только для определенного ip? тогда natd уже на канает,
>ведь источник у меня - шлюз той сети через которую ходишь.
>тоесть на ipfw, не iptables не годятся без плясок с бубном.
>

Ппц, я в шоке. С такой уверренонсть пароть такую чушь.
Натом natd пробрасываем порт как описаны выше, фареволом ipfw его фильтруем.

Екзампел:
(natd)
redirect_port udp 192.168.0.100:27015 217.217.217.217:666

(ipfw)
ipfw add allow ip from MY_NET to 217.217.217.217 666
ipfw add deny ip from any to 217.217.217.217 666

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Pahanivo email(ok) on 01-Авг-08, 16:10 
Нашел из-за чего с бубном плясать. Кто тебе ваабще бубен доверил ))


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 04-Авг-08, 17:45 
> Прокинуть порты на внутренние машины можно стандартными средствами natd,
> но лишние проблемы нам не нужны и поэтому мы пойдем другим путем ...
> Стрынные у вас пути, товарисщ. :)

Способов решения одной задачи может быть много. Главное - результат, также важно удобство. Мне удобнее через rinetd ;)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 04-Авг-08, 17:49 
> Хотелось бы узнать мотивы автора, по которым он использует файрволл, открытый по
> умолчанию...
>  Я бы понял, если бы использовался прозрачный прокси...

Фаер был открыт по умолчанию т.к. ядро я собирал и все настраивал по ssh. В скрипте последнее правило запрещает весь трафик - оно кроет дефолтное открытое. Какие проблемы? =)
>А применительно к 7-ке, можно и другой планировщик в ядре использовать и поддержку nat
> прямо в IPFW внедрить
> options         IPFIREWALL_NAT

Пробовал я этот ядерный нат, но смысла в переходе на него пока не вижу. У меня нагрузка на шлюз небольшая т.ч. natd вполне устаривает, плюс в ядерном правила как-то не особо удобно пишутся :P

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Сергей (??) on 06-Авг-08, 16:16 
>> Хотелось бы узнать мотивы автора, по которым он использует файрволл, открытый по
>> умолчанию...
>>  Я бы понял, если бы использовался прозрачный прокси...
>
>Фаер был открыт по умолчанию т.к. ядро я собирал и все настраивал
>по ssh. В скрипте последнее правило запрещает весь трафик - оно
>кроет дефолтное открытое. Какие проблемы? =)

  Проблемы... можно забыть, закоментировать, по поводу ssh, ты же в статье пишешь
Меняем в rc.conf строчку firewall_type="open" на
                                       ^^^^^^
firewall_script="/etc/rules" и применяем скрипт с правилами:

>>А применительно к 7-ке, можно и другой планировщик в ядре использовать и поддержку nat
>> прямо в IPFW внедрить
>> options         IPFIREWALL_NAT
>
>Пробовал я этот ядерный нат, но смысла в переходе на него пока
>не вижу. У меня нагрузка на шлюз небольшая т.ч. natd вполне
>устаривает, плюс в ядерном правила как-то не особо удобно пишутся :P

   Да также они пишутся...
  
>

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 09-Авг-08, 00:29 
>  Да также они пишутся...

Не соглашусь. Из мана по ipfw:


NAT, REDIRECT AND LSNAT
     First redirect all the traffic to nat instance 123:

       ipfw add nat 123 all from any to any

     Then to configure nat instance 123 to alias all the outgoing traffic with
     ip 192.168.0.123, blocking all incoming connections, trying to keep same
     ports on both sides, clearing aliasing table on address change and keep-
     ing a log of traffic/link statistics:

       ipfw nat 123 config ip 192.168.0.123 log deny_in reset same_ports

     Or to change address of instance 123, aliasing table will be cleared (see
     reset option):

       ipfw nat 123 config ip 10.0.0.1

     To see configuration of nat instance 123:

       ipfw nat 123 show config

     To show logs of all the instances in range 111-999:

       ipfw nat 111-999 show

     To see configurations of all instances:

       ipfw nat show config

     Or a redirect rule with mixed modes could looks like:

       ipfw nat 123 config redirect_addr 10.0.0.1 10.0.0.66
               redirect_port tcp 192.168.0.1:80 500
               redirect_proto udp 192.168.1.43 192.168.1.1
               redirect_addr 192.168.0.10,192.168.0.11
                   10.0.0.100 # LSNAT
               redirect_port tcp 192.168.0.1:80,192.168.0.10:22
                   500          # LSNAT

     or it could be splitted in:

       ipfw nat 1 config redirect_addr 10.0.0.1 10.0.0.66
       ipfw nat 2 config redirect_port tcp 192.168.0.1:80 500
       ipfw nat 3 config redirect_proto udp 192.168.1.43 192.168.1.1
       ipfw nat 4 config redirect_addr
       192.168.0.10,192.168.0.11,192.168.0.12
                    10.0.0.100
       ipfw nat 5 config redirect_port tcp
              192.168.0.1:80,192.168.0.10:22,192.168.0.20:25 500


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от гыук on 09-Авг-08, 01:38 
>тоесть на ipfw, не iptables не годятся без плясок с бубном.

Опухли?В айпитаблесе можно как рулесы для натинга нарисовать так и файрвольные правила.Если вы имеючи в распоряжении нат и фаервол не можете им правила нарисовать как вам надо - в этом не нат и фаервол виноваты.Кстати никакой natd в случае iptables нафиг не впился: там нат сполпинка делается рулесами айпитаблесов.Btw так половина роутеров-коробочек с натом и фаерволом нынче делают - айпитаблесы все и рюхают по заданным в вебморде правилам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Peter email(??) on 10-Авг-08, 16:39 
нередко бывает нужно трафик учитывать с детальностями
доступом по времени и т. д.
это на винду поставил трафик инспектор и всё
а тут думать иногда приходится
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 10-Авг-08, 18:12 
>нередко бывает нужно трафик учитывать с детальностями
>доступом по времени и т. д.
>это на винду поставил трафик инспектор и всё
>а тут думать иногда приходится

Я трафик смотрю с виндовой машины через IAM - там все детально. Под никс тоже тьма решений есть с соответствующими функциями

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Morfius email(??) on 13-Окт-08, 09:40 
ну вы блин даете.... нормальная статья, каждый делает так как ему удобно, ине надо изобретать велосипед.... накинулись понимаешь на автора... сами то давно такими были
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Pavleg on 13-Ноя-08, 13:49 
Трафик можно дивертить на ipacctd
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 13-Ноя-08, 16:06 
>Трафик можно дивертить на ipacctd

Можно... еще можно использовать ng_ipacctd, trafd, netams, netflow... вариантов море!

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 13-Ноя-08, 16:07 
>ну вы блин даете.... накинулись понимаешь на автора...

Да никто особо и не накидывался =))


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от cahvay email on 21-Ноя-08, 12:19 
> makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols

а это зачем для "интернет шлюза на freebsd"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 21-Ноя-08, 12:33 
>> makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols
>
>а это зачем для "интернет шлюза на freebsd"?

Эта опция по умолчанию содержится в дефолтном конфиге ядра и суть ее в следующем:
"Эта опция добавляет в бинарный файл доп. символы для отладки через gdb. Влияния на производительность никакого."

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от cahvay email on 21-Ноя-08, 23:17 
>>> makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols
>>а это зачем для "интернет шлюза на freebsd"?
>Эта опция по умолчанию содержится в дефолтном конфиге ядра и суть ее
>в следующем:

"...в общем, ушел от ответа" (ц) жванецкий

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от eXoit email on 14-Дек-08, 17:38 
Привет, спасибо за статью! Но столкнулся с проблемой: не могу пропинговать внешние адреса с локальных машин. Инет на них работает. Думаю что дело в ipfw, но не могу понять где.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от eXoit email on 14-Дек-08, 22:38 
Все просто: gateway_enable="YES" в rc.conf - глупо было про это забыть
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Sliver email(ok) on 15-Янв-09, 12:31 
Делаю все по статье. Редактирую новое ядро ROUTER как написано. При сборке ядра сразу ошибка:
>>> stage 1: configuring the kernel
>
> /usr/src/sys/amd64/conf/ROUTER: unknown option "IPFIREWALL_VER"

Изменяю опцию ядра на:
> option "IPFIREWALL_VERBOSE"

Снова пересобираю ядро и снова ошибка:
>>> stage 3.2: building everything
> cc1: warnings being treated as errors
> /usr/src/sys/cam/cam_periph.c: In > function 'cam_periph_mapmem':
> /usr/src/sys/cam/cam_periph.c:643: warning: > pointer targets in assignment differ in signedness
> /usr/src/sys/cam/cam_periph.c:671: warning: > pointer targets in assignment differ in signedness
> *** Error code 1
>
> Stop in /usr/obj/usr/src/sys/ROUTER.

Закоментил все опции, описанные в статье, таже ошибка! Ядро, естественно, не инсталируется.  Система - FreeBSD 7.1 RС2 amd64, установлена с нуля и проапгрейджена. В FreeBSD 7.1 RELEASE i386 таких проблем небыло. Также пытался создавать ядро с "options IPFW2", но такая опция не поддерживается. Подскажите, в чем может быть проблема?
P.S. Вобщем, проблема создания шлюза решается после установки webmin. Подключив динамически требуемые модули ipfw, ipnat, ipfilter все работеат и без "нового" ядра. Но хотелось бы сделать все правильно...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 15-Янв-09, 14:45 
>Делаю все по статье.
> Система - FreeBSD 7.1 RС2 amd64, установлена с нуля и
>проапгрейджена.

Я все делал на 7.0 RELEASE.
RC никогда не использовал и не собираюсь этого делать.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от cahvay email on 17-Янв-09, 21:53 
>> /usr/src/sys/amd64/conf/ROUTER: unknown option "IPFIREWALL_VER"

что-то я примерно с 4-й версии не помню опции _VER. _VERBOSE - таки да. у автора, походу, опечатка.

>Снова пересобираю ядро и снова ошибка:
>>>> stage 3.2: building everything
>> cc1: warnings being treated as errors

сделайте rm -rf /usr/obj и снова make buildkernel с _VERBOSE.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Sliver (ok) on 22-Янв-09, 16:35 
Спасибо за помощь. Проблема решена после установки FreeBSD 7.1 RELEASE amd64 и с добавлением правильной опции в ядро, которую автор уже исправил в данной статье:
> option "IPFIREWALL_VERBOSE"

В FreeBSD 7.1 RС2 amd64 даже после
> # rm -rf /usr/obj
> # make buildkernel KERNCONF=ROUTER

и после
> # make buildkernel KERNCONF=GENERIC

выскакивала приведенная выше ошибка.
Остался один вопросик по статье.
> Добавляем в rc.conf строки:
>         …
>         natd_interface="rl0";

Зачем нужна точка с запятой в конце?
P.S. С фрей знаком три недели, по этому не знал, что РЦ может подвести.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Tavork email(ok) on 18-Мрт-09, 22:22 
Спасибо за статью, она мне очень помогла.
Но у меня остался вопрос с почтовыми программами, Bat и Outlook никак не хотят работать на нескольких компах. Надо ли для них пробрасовать 110 и 25 порт и как это сделать для нескольких компов?
redirect_port tcp 10.73.200.152:110 110
redirect_port tcp 10.73.200.152:25 25
Это на один комп, а как остальные?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от mak email(??) on 21-Мрт-09, 16:28 
>Спасибо за статью, она мне очень помогла.
>Но у меня остался вопрос с почтовыми программами, Bat и Outlook никак
>не хотят работать на нескольких компах. Надо ли для них пробрасовать
>110 и 25 порт и как это сделать для нескольких компов?
>
>redirect_port tcp 10.73.200.152:110 110
>redirect_port tcp 10.73.200.152:25 25
>Это на один комп, а как остальные?

а зачем тебе пробрасывать порты на все компы внутри сети?
то что ты написал имело бы смысл если бы у тебя на локальном сервере с ип 10.73.200.152 был натсроен почтовый сервак, да и этого еще не достаточно

но если ты имел в виду разрешить пользователям твоей сети скажем получать почту, то необходимо добавить правило в свой скрипт фаервола, которое примерно должны выглядеть так:

ipfw add allow tcp from any to твой.внешний.ай-пи.адр 25 in via твой.внешний.интерфейс setup

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Tavork (ok) on 25-Мрт-09, 11:14 
Спасибо за ответ, мне именно нужно разрешить пользователям своей сети получать
почту через BAT
Но правило ipfw add allow tcp from any to твой.внешний.ай-пи.адр 25 in via твой.внешний.интерфейс мне не помогло.
Да, по-моему, оно уже есть в текущей статье как правила
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state
$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2
$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2

У меня не установлен почтовый сервер и в rc.conf написано sendmail_enable="NO". Мне просто нужно, чтоб почтовый трафик проходил мимо сервера.
Или мне необходимо поставить почтовый сервер, sendmail включить?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 26-Мрт-09, 13:01 
Для этого в конфиге имеется:

$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Tavork (ok) on 27-Мрт-09, 10:14 
>Для этого в конфиге имеется:
>
>$cmd 160 $skip all from $lannet to any 25 out via $eif
>setup keep-state
>$cmd 170 $skip all from $lannet to any 110 out via $eif
>setup keep-state

Но это не помогло, может сквид мешает? Правила файерволла я брал из статьи как есть, а сквид у меня почти аналогичен, только у меня самс стоит и еще на всякий случай прописал
acl Safe_ports port 110
acl Safe_ports port 25

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 27-Мрт-09, 10:18 
>Но это не помогло, может сквид мешает? Правила файерволла я брал из
>статьи как есть, а сквид у меня почти аналогичен, только у
>меня самс стоит и еще на всякий случай прописал
>acl Safe_ports port 110
>acl Safe_ports port 25

А при чем тут сквид? Он вообщето кешированием занимается.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Tavork (ok) on 27-Мрт-09, 17:01 
>>Но это не помогло, может сквид мешает? Правила файерволла я брал из
>>статьи как есть, а сквид у меня почти аналогичен, только у
>>меня самс стоит и еще на всякий случай прописал
>>acl Safe_ports port 110
>>acl Safe_ports port 25
>
>А при чем тут сквид? Он вообщето кешированием занимается.

Ну тогда из-за чего у меня наотрез отказываются работать почтовые программы клиентов внутри локальной сети??? Что им мешает?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Alchemist (ok) on 27-Мрт-09, 17:09 
>>>Но это не помогло, может сквид мешает? Правила файерволла я брал из
>>>статьи как есть, а сквид у меня почти аналогичен, только у
>>>меня самс стоит и еще на всякий случай прописал
>>>acl Safe_ports port 110
>>>acl Safe_ports port 25
>>
>>А при чем тут сквид? Он вообщето кешированием занимается.
>
>Ну тогда из-за чего у меня наотрез отказываются работать почтовые программы клиентов
>внутри локальной сети??? Что им мешает?

1) lannet="192.168.0.0/24"
2) # Нет запретов внутри интерфейса смотрящего в локальную сеть
$cmd 010 allow all from any to any via re0


Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Tavork (ok) on 28-Мрт-09, 18:16 
>1) lannet="192.168.0.0/24"
>2) # Нет запретов внутри интерфейса смотрящего в локальную сеть
>$cmd 010 allow all from any to any via re0

Не понял, надо убрать 10 правило? А с lannet что не так? У меня lannet="10.73.200.0/24"

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от mak email(??) on 30-Мрт-09, 15:00 
во-первых
>>acl Safe_ports port 110
>>acl Safe_ports port 25

это что такое?
ты завернул трафик идущий по портам смтп и рор на сквид?
если нет, тогда и описывать эти порты в сквиде не стоит

если же ты форвардишь не только все что идет по 80-му порту а еще и 25, 110, тогда убери эти порты из форвардинга, и в squid.conf закаментируй все acl b http_access в которых они участвуют

далее во-вторых, как японял тебе просто нужно разрешить нат всего что ходит по 25 и 110 портам. если так, то я думаю что должно хватить вот чего

можешь сделать так (я, например, запускаю нат не через рц.конф, а прямо в скрипте фаера):

natd="/sbin/natd"
$natd -a ${твой.внешний.ип}
#если нат у тебя уже запущен, тогда пропусти то что я выше написал
#дальше тебе нужно разрешить обмениваться пакетами внутренней и внешней сети,
#для этого пишем следующие правила (у меня они записаны после ната):
#сам диверт во внутреннюю сеть и обратно (вх и исх) через внешний иф:
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
#далее собственно сами разрешающие правила (обязательно после, как минимум входящего диверта):
${FwCMD} add allow ip from any 25,110 to ${NetIn}
${FwCMD} add 3100 allow tcp from ${NetIn} to any 25,110 via ${LanIn} setup

вот так должно работать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +1 +/
Сообщение от mak email(??) on 30-Мрт-09, 15:11 
забыл обозначения пояснить, хотя должно быть понятно и так..
в посте выше:
${IpOut} - внешний IP
${LanOut} - внешний интерфейс
${NetIn} - локалка (192.160.0.0/24)
${LanIn} - внутренний интерфей


зы - в последнем правиле я при копи/пасте случайно оставил его номер (3100)

в любом случае тебе нужно просматриватй твой ipfw show и анализировать на каких из твоих правилах у тебя останавливаются пакеты, для теста я бы вообще убрал все что можно и оставил только необходимое чтобы попробовать будут ли пахать рпедложенные конструкции, а дальше уже искать какими твоими правилами оно блокируется и писать список правил корректно, а главное с пониманием того что ты делаешь.

да и не видя твоих конфигов правила фаера, сквида и ната тяжело что либо советовать.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от geminis on 31-Мрт-09, 12:48 
Спасибо автору за статью!
Сделал все как в статье, но почему-то не работают клиент-банки (443 порт) и аська (5190).
Также в браузере не грузятся странички с безопасным соединением (например gmail.com):
--
При соединении с www.google.com произошла ошибка.
SSL получило запись, длина которой превышает максимально допустимую.
(Код ошибки: ssl_error_rx_record_too_long)
--
А если в свойствах браузера указать явный прокси - то грузятся.
Помогите с мыслями, что не так.
Заранее благодарю!


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +1 +/
Сообщение от geminis on 31-Мрт-09, 13:11 
в access.log следующее:

1238490265.501      0 192.168.0.202 TCP_HIT/301 591 GET http://gmail.com/ - NONE/- text/html
1238490266.067    118 192.168.0.202 TCP_MISS/302 1066 GET http://mail.google.com/mail/ - DIRECT/72.14.221.17 text/html
1238490266.081      0 192.168.0.202 TCP_DENIED/400 1424 NONE NONE:// - NONE/- text/html

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 31-Мрт-09, 13:15 
>Спасибо автору за статью!
>Сделал все как в статье, но почему-то не работают клиент-банки (443 порт) и аська (5190).
>Также в браузере не грузятся странички с безопасным соединением (например gmail.com):
>При соединении с www.google.com произошла ошибка.
>SSL получило запись, длина которой превышает максимально допустимую.
>(Код ошибки: ssl_error_rx_record_too_long)

У https есть косяк с прозрачным прокси, т.ч. его лучше на сквид не заворачивать, а напрямую выпускать. Либо прописать прокси в браузере или самом клиент-банке...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Tavork (ok) on 02-Апр-09, 14:10 
Спасибо за развернутый ответ!
Правда, пока почта не пошла, но уже есть с чем работать.
Вот мой обновленный файерволл, результат ipfw show c заменой переменными:
00005 10884  8742145 divert 8668 ip from any to $wanip in via em0
00006    44     2526 divert 8668 ip from $lannet to any out via em0
00007     0        0 allow ip from any 25,110 to $lannet
00008     0        0 allow tcp from $lannet to any dst-port 25,110 via em1 setup
00010 23325 11640333 allow ip from any to any via em1
00011     0        0 allow ip from $lannet to any dst-port 1025,1110
00012     0        0 allow tcp from any to $wanip dst-port 22
00020    18     2116 allow ip from any to any via lo0
00030     0        0 deny ip from any to 127.0.0.0/8
00040     0        0 deny ip from 127.0.0.0/8 to any
00050     0        0 fwd 127.0.0.1,3129 tcp from $lannet to any dst-port 20,21,2121,80,8080,8100,443,5190 out via em0
00070     0        0 check-state
00105    30     2280 skipto 400 udp from any to any dst-port 123 out via em0 keep-state
00106     0        0 skipto 400 udp from 10.73.200.38 to any dst-port 55777 out via em0 setup keep-state
00107     0        0 skipto 400 udp from any to 89.239.133.23 dst-port 4433,4440,7500,10229 out via em0 setup keep-state
00110   939    96848 skipto 400 udp from any to any dst-port 53 out via em0 keep-state
00111     0        0 skipto 400 tcp from any to any dst-port 53 out via em0 setup keep-state
00140     0        0 skipto 400 ip from $lannet to any dst-port 4899 out via em0 setup keep-state
00150     0        0 skipto 400 ip from $lannet to any dst-port 3389 out via em0 setup keep-state
00190 19820 10195078 skipto 400 ip from $wanip to any out via em0 setup keep-state
00200     1       64 deny ip from 192.168.0.0/16 to any in via em0
00201     0        0 deny ip from 172.16.0.0/12 to any in via em0
00202     0        0 deny ip from 10.0.0.0/8 to any in via em0
00203     0        0 deny ip from 127.0.0.0/8 to any in via em0
00204     0        0 deny ip from 0.0.0.0/8 to any in via em0
00205     0        0 deny ip from 169.254.0.0/16 to any in via em0
00206     0        0 deny ip from 192.0.2.0/24 to any in via em0
00207     0        0 deny ip from 204.152.64.0/23 to any in via em0
00208     0        0 deny ip from 224.0.0.0/3 to any in via em0
00215     0        0 deny tcp from any to any dst-port 113 in via em0
00220     0        0 deny tcp from any to any dst-port 137 in via em0
00221     0        0 deny tcp from any to any dst-port 138 in via em0
00222     0        0 deny tcp from any to any dst-port 139 in via em0
00223     0        0 deny tcp from any to any dst-port 81 in via em0
00310     0        0 allow tcp from any to $wanip dst-port 80 in via em0 setup limit src-addr 2
00350     0        0 allow tcp from any to $wanip dst-port 4899 in via em0 setup limit src-addr 2
00360    63     3180 allow ip from any to any established
00399    22     2560 deny log logamount 100 ip from any to any
00410 20789 10294206 allow ip from any to any
00999     0        0 deny log logamount 100 ip from any to any
65535     0        0 allow ip from any to any

Нат прописал в файерволле в начале
natd="/sbin/natd" #zapusk natd
$natd -a $wanip #
В сквиде у меня (комментарии только тут поубирал):
# created by SAMS _sams_ 2009-4-2 8:28:1
http_port 10.73.200.1:3128
http_port 3129 transparent
cache_mem 256 MB
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
ftp_passive on
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
acl _sams_49a7fc2ec14f3 src "/usr/local/etc/squid/49a7fc2ec14f3.sams"
acl _sams_49a7fc2ec14f3_time time MTWHFAS 00:00-23:59
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 443     # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 21        # multiling http
acl Safe_ports port 20        # multiling http
acl CONNECT method CONNECT
acl krasnuk  src 10.73.200.14 10.73.200.151-10.73.200.153
acl deny_download url_regex -i \.amr \.ogg \.vob
acl my_restrict url_regex   "/usr/local/etc/squid/restrict/my_host"
acl zakupki url_regex   "/usr/local/etc/squid/restrict/zakupki"
acl banners url_regex   "/usr/local/etc/squid/restrict/banners.acl"
http_access allow krasnuk
http_access allow zakupki
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny my_restrict
http_access deny deny_download  
http_access deny banners
#  TAG: http_access
http_access allow _sams_49a7fc2ec14f3  _sams_49a7fc2ec14f3_time  
http_access deny  all
visible_hostname ServerUFSIN
error_directory /usr/local/squid/share/errors/Russian-1251
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_49a7fc2ec14f3
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288


>в любом случае тебе нужно просматриватй твой ipfw show и анализировать на
>каких из твоих правилах у тебя останавливаются пакеты, для теста я
>бы вообще убрал все что можно и оставил только необходимое чтобы
>попробовать будут ли пахать рпедложенные конструкции, а дальше уже искать какими
>твоими правилами оно блокируется и писать список правил корректно, а главное
>с пониманием того что ты делаешь.
>
>да и не видя твоих конфигов правила фаера, сквида и ната тяжело
>что либо советовать.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Tavork (ok) on 10-Апр-09, 11:26 
Снова я обращаюсь к знающим людям со все той же проблемой. Почта с компьютеров внутри сети не отправляется в интернет через почтовые агенты (Аутлук, бат).
Мой файерволл, никак не могу настроить (остальные параметры в 42 сообщении здесь)
#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 400"
wanip="92.xx.xx.xx" # внешний IP
lannet="10.73.200.0/24" # внутренняя сеть
eif="em0" # внешний интерфейс
$cmd 005 divert natd ip from any to $wanip in via $eif
$cmd 006 divert natd ip from $lannet to any out via $eif
$cmd 007 allow ip from any 25,110 to $lannet
$cmd 008 allow tcp from $lannet to any 25,110 via em1 setup

$cmd 010 allow all from any to any via em1
$cmd 011 allow ip from $lannet to any dst-port 1025,1110
$cmd 012 allow tcp from any to $wanip dst-port 22

# Нет ограничений на Loopback интерфейсе
$cmd 020 allow all from any to any via lo0

# Рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any

# отправляем всех на прозрачный squid
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 20,21,2121,80,8080,8100,443,5190 out via $eif

# Позволяем пакету проходить, если предыдущий был добавлен в
# "динамическую" таблицу правил с разрешением состояния keep-state
$cmd 070 check-state

############## Outgoing ################

# Исходящий NTP
$cmd 105 $skip udp from any to any 123 out via $eif keep-state

# moi pravila
$cmd 106 $skip udp from 10.73.200.38 to any 55777 out via $eif setup keep-state
$cmd 107 $skip udp from any to 89.239.133.23 4433,4440,7500,10229 out via $eif setup keep-state

# Разрешаем DNS
$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state

# Выпускаем пользователей в обход сквида
$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state

# Разрешаем полный выход с сервака
$cmd 190 $skip all from $wanip to any out via $eif setup keep-state

############# Incoming ################

# Запрещаем весь входящий трафик из зарезервированных адресных пространств
$cmd 200 deny all from 192.168.0.0/16  to any in via $eif  #RFC 1918 private IP
$cmd 201 deny all from 172.16.0.0/12   to any in via $eif  #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8      to any in via $eif  #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8     to any in via $eif  #loopback
$cmd 204 deny all from 0.0.0.0/8       to any in via $eif  #loopback
$cmd 205 deny all from 169.254.0.0/16  to any in via $eif  #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24    to any in via $eif  #reserved for dos
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif  #Sun cluster
$cmd 208 deny all from 224.0.0.0/3     to any in via $eif  #Class D & E multicast

# Запрещаем ident
$cmd 215 deny tcp from any to any 113 in via $eif

# Запрещаем весь сервис Netbios. 137=имя, 138=дейтаграмма, 139=сесси
$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81  in via $eif

# Разрешаем входящую www функцию, если есть вэб сервер
$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2

# Разрешаем RAdmin, номер порта лучше сменить
$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2

# Разрешаем уже установленные соединения
$cmd 360 allow all from any to any established

########### Final ###############

# рубим все, что не ушло в скип
$cmd 399 deny log all from any to any

# Выпускаем пакеты из скипа
$cmd 410 allow all from any to any

# Режем все лишнее с занесением в лог
$cmd 999 deny log all from any to any

Может дело вовсе не в файерволле, а в почтовом сервере? Сендмайл поставить может нужно?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от cahvay on 12-Апр-09, 18:58 
>Снова я обращаюсь к знающим людям со все той же проблемой. Почта
>с компьютеров внутри сети не отправляется в интернет через почтовые агенты
>(Аутлук, бат).
>$cmd 007 allow ip from any 25,110 to $lannet
>$cmd 008 allow tcp from $lannet to any 25,110 via em1 setup

(до конца ниасилил) попробуй заменить на это:
$cmd 007 allow tcp from any 25,110 to $lannet
$cmd 008 allow tcp from $lannet to any 25,110

>$cmd 399 deny log all from any to any
>$cmd 999 deny log all from any to any

что в логе-то пишется по поводу 25 и 110?
я бы еще сделал "deny log logamount 0 all..." для дебага.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Tavork (ok) on 30-Апр-09, 11:07 
>[оверквотинг удален]
>
>(до конца ниасилил) попробуй заменить на это:
>$cmd 007 allow tcp from any 25,110 to $lannet
>$cmd 008 allow tcp from $lannet to any 25,110
>
>>$cmd 399 deny log all from any to any
>>$cmd 999 deny log all from any to any
>
>что в логе-то пишется по поводу 25 и 110?
>я бы еще сделал "deny log logamount 0 all..." для дебага.

Всё это перепробовал, при отправке почты никаких логов о портах 25 и 110 нет.

:(

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Tavork (ok) on 30-Апр-09, 12:41 
Нужен ли qpopper или его аналоги для получения почты по pop-протоколу из вне почтовыми программами?
Или все дело в записи sendmail_enable="NO" в rc.conf?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Tavork (ok) on 22-Май-09, 15:24 
Никто не поможет???
Что неужели только у меня такая проблема?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 22-Май-09, 16:07 
>Никто не поможет???
>Что неужели только у меня такая проблема?

SMTP сервер требует авторизацию?
Проходит ли telnet mailserver 25 ?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от sergeyl (ok) on 25-Май-09, 01:29 
>Никто не поможет???
>Что неужели только у меня такая проблема?

По всей видимости загвоздка в переходе семёрки на кернел-нат.
точнее в не полной совместимости с предыдущей версией.
месяца три назад надо было по быстрому шлюзик поднять.
при прочих равных (ядро, конфиги) нат под семёркой не пошло......

Т.к. разбираться некогда было, заменил её на шестёрку и всё стало шеколадно.....

Автор же этой, ну статьёй назвать трудно, скорёй записка на память, ни в ядре, не в фаерволе особо то не разбирается, поэтому ничего и не описывал... и порты както.... ну....
в общем по своему строил ;-)

ну а Вам либо шестую версию ставить, либо использовать кернел-нат.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 25-Май-09, 10:35 
>По всей видимости загвоздка в переходе семёрки на кернел-нат.
>точнее в не полной совместимости с предыдущей версией.

Уважаемый! Kernel NAT в этой статье вообще не используется! NATD =)))

>месяца три назад надо было по быстрому шлюзик поднять.
>при прочих равных (ядро, конфиги) нат под семёркой не пошло......
>Т.к. разбираться некогда было, заменил её на шестёрку и всё стало шеколадно.....

Конфиги нужно не просто тупо копировать, а под себя подгонять.

>Автор же этой, ну статьёй назвать трудно, скорёй записка на память

Тут соглашусь, записка на пямять и была... по которой поднят не один десяток таких шлюзов.

>ни в ядре, не в фаерволе особо то не разбирается,

А с такими заявлениями нужно быть осторожнее, тем более что исходя из выше написанного вы сами мало что из себя представляете.

>поэтому ничего и не описывал...

Описано все в достаточном объеме для начального уровня, с учетом наличия хотябы базовых знаний по стеку TCP/IP.

> и порты както.... ну.... в общем по своему строил ;-)

А вы что хотели? чтобы я конфиг конкретно под ваш у машинку написал? ))

>ну а Вам либо шестую версию ставить, либо использовать кернел-нат.

Либо не слушать всях долбо... сомнительных персонажей, а читать маны и продолжать разбираться в системе

PS: Если кто-то не в курсе, уже давно есть вторая часть статьи, велкам!
http://www.opennet.dev/base/net/freebsd_gw3.txt.html

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от sergeyl (ok) on 25-Май-09, 13:36 
Молодой человек, не стоит так горячится, рвать на себе рубашку и доказывать, что Вы белый и пушистый.....
>>По всей видимости загвоздка в переходе семёрки на кернел-нат.
>>точнее в не полной совместимости с предыдущей версией.
>
>Уважаемый! Kernel NAT в этой статье вообще не используется! NATD =)))
>

А разве кто то говорил, что вы не правильно описали кернел-нат?
У человека не получается обеспечить работу почтовых программ руководствуясь Вашим описанием. Вы ему помочь либо не хотите, либо не можите.....
Я же указал на ВОЗМОЖНУЮ причину.

>>при прочих равных (ядро, конфиги) нат под семёркой не пошло......
>
>Конфиги нужно не просто тупо копировать, а под себя подгонять.
>

Для тех кто плохо понимает по русски ;-)
"при прочих равных" следует понимать, что это одинаковые настройки написанные под конкретную систему и конкретный функционал, на не тупо скопированные с чьего то описания.

>>Автор же этой, ну статьёй назвать трудно, скорёй записка на память
>
>Тут соглашусь, записка на пямять и была... по которой поднят не один
>десяток таких шлюзов.

В том то и дело, что статья, это описание настройки чего бы то ни было, с возможно более подробным разъяснением зачем и почему так делается.
А записка на память, это набор цитат из какой то статьи (статей), для напоминания о точ, что же вообще следует делать.......

>>ни в ядре, не в фаерволе особо то не разбирается,
>
>А с такими заявлениями нужно быть осторожнее, тем более что исходя из
>выше написанного вы сами мало что из себя представляете.

А об этом вы сами говорите:
(с) Редактируем наше новое ядро и добавляем новые функции:
        .....................
        makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols
................................
Прокинуть порты на внутренние машины можно стандартными средствами natd,
но лишние проблемы нам не нужны и поэтому мы пойдем другим путем - поставим
из портов rinetd
..........................................

По поводу последнего, Вам здесь уже не однократно указывалось
>
>>поэтому ничего и не описывал...
>
>Описано все в достаточном объеме для начального уровня, с учетом наличия хотябы
>базовых знаний по стеку TCP/IP.

читаем выше разницу между записками и статьёй ;-)

>
>> и порты както.... ну.... в общем по своему строил ;-)
>
>А вы что хотели? чтобы я конфиг конкретно под ваш у машинку
>написал? ))
>

Разве кто то об этом просил? Опять читаем выше разницу между записками и статьёй ;-)

>>ну а Вам либо шестую версию ставить, либо использовать кернел-нат.
>
>Либо не слушать всях долбо... сомнительных персонажей, а читать маны и продолжать
>разбираться в системе
>

Ну древнейший довод "сам дурак..." всегда был весомым аргументом. ;-)

А заявление (с)читать маны и продолжать разбираться в системе
в ответ на просьбу о помощи, ну это .......

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 25-Май-09, 14:45 
Моя статья не включает руководство по настройке почтовых систем, о чем я намекнул в одном из постов. Я НЕ ХОЧУ помогать тут никому настраивать почтовики, т.к. это уже оффтоп.

Насчет ваших стандартов по написанию статей - я повторяться не буду, статья написан как есть, для людей, в надежде что кому-то она будет полезна. И поверьте, очень многим она помогла. А вот вы первый, кому за год эта статья показалась не подробной и кто начал возмущаться по этому поводу. Если что-то не получается, то обращайтесь в icq - помогу. А если вам просто потрепаться, то просьба не засорять топик, а направить потенциал в более полезное русло, например на написание статьи, которая будет более полноценной и полезной.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +1 +/
Сообщение от sergeyl (ok) on 25-Май-09, 21:36 
Как то Вы молодой человек неадекватно реагируете на мои сообщения.
И почему то начинаете открещиваться от того, что никто Вам в вину не ставил (Kernel NAT, почтовые системы)
Еже ли Вас задело моё отношение к Вам как специалисту, то уж извините, такое оно сложилось после прочтения этой статьи и Ваших сообщений в данном форуме.
Который к стати и предназначен для обсуждения, задания вопросов и ответа на заданные вопросы.
У человека есть вопрос работы NAT под 7 версией FreeBSD, который меня также интересует.
Вы пока не смогли ему помочь. Я рассказал как в своё вышел из похожего положения.
Если кто то ему поможет запустить это в семёрке, то и я пойму где и в чём ошибался.
Для этого форумы то и нужны. Зачем же это держать в секрете и общаться через аську?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

54. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 25-Май-09, 23:23 
>Как то Вы молодой человек неадекватно реагируете на мои сообщения.

Я очень адекватно реагирую и довольно четко обозначаю свою позицию.

>И почему то начинаете открещиваться от того, что никто Вам в вину
>не ставил (Kernel NAT, почтовые системы)

Повторюсь - обсуждение работы почтовых систем находится вне рамок этой статьи.
У человека, за которого вы яро заступаетесь, проблема явно не с тем, о чем пишется в статье, т.к. статья описывает чистую установку на вышеуказанной системе с вышеуказанным набором ПО , что было без проблем реализовано на серверах не один десяток раз и не одним мной.

>Еже ли Вас задело моё отношение к Вам как специалисту, то уж
>извините, такое оно сложилось после прочтения этой статьи и Ваших сообщений
>в данном форуме.

Ваше мнение относительно моей компетентности в данном вопросе меня не особо интересует, т.к. вы не входите в круг авторитарных для меня лиц. Не понравилось то, что вы довольно категорично ставите диагнозы, при этом не подкрепляя их конкретными фактами.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Tavork (ok) on 26-Май-09, 09:49 
Люди! Не сорьтесь.
telnet smtp.pochta.ru 25 - не удается подключится к узлу. Сбой подключения.
SMTP авторизация настроена.
Переход на 6-ую версию пока не возможен из-за отстутствия замены для сервера, по той же причине не возможна чистая установка по схеме из статьи, FreeBSD все-таки не amd64.
Насчет кернел-нат посмотрю поподробнее, спасибо.
По поводу настройки почтовых систем как оффтопа, я же все-таки не почтовый сервер ставлю. Пропускать почту через мимо себя обычная функция интенет-сервера.

Alchemist, icq не подскажите?

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

56. "Тематический каталог: Интернет шлюз на FreeBSD (freebsd rout..."  +/
Сообщение от Alchemist (ok) on 27-Май-09, 10:11 
>[оверквотинг удален]
>telnet smtp.pochta.ru 25 - не удается подключится к узлу. Сбой подключения.
>SMTP авторизация настроена.
>Переход на 6-ую версию пока не возможен из-за отстутствия замены для сервера,
>по той же причине не возможна чистая установка по схеме из
>статьи, FreeBSD все-таки не amd64.
>Насчет кернел-нат посмотрю поподробнее, спасибо.
>По поводу настройки почтовых систем как оффтопа, я же все-таки не почтовый
>сервер ставлю. Пропускать почту через мимо себя обычная функция интенет-сервера.
>
>Alchemist, icq не подскажите?

Подскажу - 209209703

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Игорь email(??) on 12-Мрт-10, 12:04 
При использовании такого фаервола у меня интернет обрубается у всех! Привели бы лучше пример просто рабочего фаервола. нужно хотя бы разрешить SQUID-у лезть в интернет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Hate email(ok) on 13-Мрт-10, 11:11 
>При использовании такого фаервола у меня интернет обрубается у всех! Привели бы
>лучше пример просто рабочего фаервола. нужно хотя бы разрешить SQUID-у лезть
>в интернет.

На гугле забанили? Думать лень или мозг отсутствует? Учиться не хочем?

Может тебе еще в баночку пукнуть?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Игорь email(??) on 15-Мрт-10, 08:45 
В общем с фаерволом немного разобрался. Проблема теперь со SQUID-ом. Чтобы сквид работал прозрачно я в начале squid.conf написал

# порт прозрачного прокси
http_port 3129 transparent

В фаерволе сделал правило:

# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

где:

LanOut="tun0"            # внешний интерфейс
LanIn="ale0"            # внутренний интерфейс
IpOut="192.168.9.96" # внешний IP адрес машины
IpIn="200.0.0.96"   # внутренний IP машины
NetMask="24"            # маска сети

Но squid все равно прозрачно не работает. Только если в браузере указывать IP прокси и порт, тогда все работает.
Но я все же хочу настроить прозрачный прокси. Соединение с интернет настроено через PPPoE.
Облазил гугл и ман squid-а. но решения все равно пока не нашел... Что еще можете посоветовать?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Игорь email(??) on 15-Мрт-10, 08:48 
Извените, сделал опечатку

# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3129 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

Прокси все равно прозрачно не работает.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

61. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Игорь email(??) on 15-Мрт-10, 11:46 
>Извените, сделал опечатку
>
># отправляем всех на squid (в данном случае - прокси прозрачный)
>${FwCMD} add fwd 127.0.0.1,3129 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
>
>
>Прокси все равно прозрачно не работает.

У меня получился прозрачный прокси!
Надо было добавить в фаервол вместо строки выше(пример ipfw list):

00012 fwd 200.0.0.ХХ,3129 ip from any to any dst-port 80,3129,8080 recv fxp0
00012 allow ip from any 80,3129,8080 to any xmit tun0
00012 fwd 200.0.0.ХХ,3129 ip from any to any dst-port 80,3129,8080 recv tun0
00013 allow tcp from 200.0.0.ХХ 3129 to any
00013 allow tcp from any to 200.0.0.ХХ dst-port 3129
00013 allow tcp from 200.0.0.ХХ 3128 to any
00013 allow tcp from any to 200.0.0.ХХ dst-port 3129

Осталось только аську сделать и т.п....

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

62. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от xom94ok email on 25-Мрт-10, 15:38 
Сделал все по статье, но по http не пускает.
пинги идут и по ip и по именам.
но в браузере страницы не открываются.
не подскажите чем это может быть вызвано?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy..."  +/
Сообщение от Игорь email(??) on 29-Мрт-10, 20:25 
>Сделал все по статье, но по http не пускает.
>пинги идут и по ip и по именам.
>но в браузере страницы не открываются.
>не подскажите чем это может быть вызвано?

Проверь запущен ли Сквид и в правилах фаервола должен быть ворвардинг с адреса лок. сети, порт сквида с любого на любой адрес порт 80,порт сквида recv интерфейс сет. карты смотрящей в локальную сеть.
fwd 200.0.0.ХХ,3129 ip from any to any 80,3129,8080 recv fxp0
где:
200.0.0.ХХ,3129 - адрес, порт на котором запущен сквид
fxp0 - интерфейс сет. карты смотрящей в локальную сеть.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

64. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от SunWind email(ok) on 24-Апр-12, 11:21 
http://www.xserver.a-real.ru/
ставишь ИКС и нет проблем.
"Универсальный интернет-шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового сервера, Web и jabber сервера, организации IP-телефонии c поддержкой 64-битных систем."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Дмитрий Ю. Карпов on 28-Окт-12, 16:15 
Зачем запрещать identd? Чем он помешал?

Запрещать дейтаграммы, указав "tcp" - это феерично!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от tehnikpc email(ok) on 06-Фев-13, 17:16 
"# Нет запретов внутри интерфейса смотрящего в локальную сеть
$cmd 010 allow all from any to any via re0"
Толку тогда от фаерволла ноль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от Alchemist (ok) on 06-Фев-13, 21:52 
> "# Нет запретов внутри интерфейса смотрящего в локальную сеть
> $cmd 010 allow all from any to any via re0"
> Толку тогда от фаерволла ноль.

А вот это ты братец погнал! Толку ноль как раз это ограничивать. Относительно локалки фаервол - это доверенный девайс. А если же его взломают и захотят полезть с него в локалку - взломщик сам себе какие надо порты откроет. А вообще я удивляюсь, что это статью кто-то еще читает. =) Видимо фря с ipfw еще у кого-то жива. Сам я сначала на pf в качестве фаера перешел, а потом и вовсе на linux перебрался.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "Интернет шлюз на FreeBSD (freebsd route ipfw nat squid proxy)"  +/
Сообщение от tehnikpc email(ok) on 07-Фев-13, 06:57 
>> "# Нет запретов внутри интерфейса смотрящего в локальную сеть
>> $cmd 010 allow all from any to any via re0"
>> Толку тогда от фаерволла ноль.
> А вот это ты братец погнал!

Да это ты наверное гонишь. Таких правил не должно быть нигде и никогда. Всё, что не разрешено, должно быть запрещено. Фаерволл для того и существует что бы разрешать только критические порты, а остальное должно быть заблокировано.

> а потом и вовсе на linux перебрался.

Я тоже потихоньку начал переходить на Linux :). Кстати, какой дистрибутив выбрал?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру