Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Проблемы c маршрутизацией FreeBSD 26.09.05 13:18
Автор: AleX-shl Статус: Незарегистрированный пользователь
Отредактировано 26.09.05 13:19 Количество правок: 1
|
Вообщем, ситуация следующая ->
В локалке стоит внутренний сервак (ВС) с работающем DHCP, с помощью которого сеть офисса делится на 3 отдела: 192.168.188.xxx / 192.168.184.xxx / 192.168.187.xxx. Соответственно происходит динамическое распределение ip. В интет ходим через выделенку, локальная сеть скрывается внешним роутером на freebsd (ВР). ВР - имеет две сетевухи: rl0 - смотрит наружу, rl1 - в локалку напрямую во ВС. rl0 -> 222.222.222.222, rl1 - 192.168.185.100 (соответственно адрес интерфейса ВС - 192.168.185.200).
В ядро вкомпилили: options IPFIREWALL, IPDIVERT...
в rc.conf прописали:
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
ifconfig_rl0="inet 222.222.222.222 netmask 255.255.255.252"
ifconfig_rl1="inet 192.168.185.100 netmask 255.255.255.0"
defaultrouter="222.222.222.221"
route add 192.168.188.0 192.168.185.200
route add 192.168.187.0 192.168.185.200
route add 192.168.184.0 192.168.185.200
----------------------------
Если заводим ipfw открытого типа - пакеты ходят - все замечательно:
ipfw add divert natd all from any to any
ipfw add allow all from any to any
------
Ставлю свои правила (которые на старом роутере работали) -> капут:
/sbin/ipfw flush
/sbin/ipfw pipe 1 config bw 44Kbit/s delay 150ms
/sbin/ipfw pipe 2 config bw 64Kbit/s delay 50ms
/sbin/ipfw pipe 3 config bw 44Kbit/s delay 150ms
/sbin/ipfw pipe 4 config bw 24Kbit/s delay 50ms
/sbin/ipfw pipe 5 config bw 128Kbit/s delay 75ms
/sbin/ipfw pipe 6 config bw 64Kbit/s delay 25ms
/sbin/ipfw pipe 7 config bw 512Kbit/s delay 50ms
/sbin/ipfw pipe 8 config bw 512Kbit/s delay 50ms
/sbin/ipfw add 50 allow ip from any to any via lo0
/sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
/sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
/sbin/ipfw add 200 allow ip from any to any via rl1
/sbin/ipfw add 500 divert 8668 ip from 192.168.0.0/16 to any
/sbin/ipfw add 600 allow ip from any to any out via rl0
/sbin/ipfw add 800 divert 8668 ip from any to any via rl0
/sbin/ipfw add 900 allow ip from any to any
При этом машины с локалки не могут даже пингануть интерфейс rl1=(((((((
netstat -nr показывает:
Destination Gateway Flags Refs Use Netif Expire
default 82.179.111.125 UGSc 49 9970408 rl0
222.222.222.220/30 link#1 UC 0 0 rl0
222.222.222.221 0:a0:c5:cb:62:72 UHLW 33 0 rl0
127.0.0.1 127.0.0.1 UH 0 210 lo0
192.168.184 192.168.185.200 UGSc 15 807127 rl1
192.168.185 link#2 UC 0 0 rl1
192.168.185.200 0:d0:b7:bf:b1:13 UHLW 6 705 rl1
192.168.187 192.168.185.200 UGSc 0 115060 rl1
192.168.188 192.168.185.200 UGSc 3 6305843 rl1
Что не так?? 3-ий день понять не могу=(
|
|
А почему?: 26.09.05 16:17
Автор: Den <Denis> Статус: The Elderman
|
/sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
/sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
???
|
| |
A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik... 26.09.05 16:34
Автор: AleX-shl Статус: Незарегистрированный пользователь
|
> /sbin/ipfw add 55 pipe 7 ip from any to
> 192.168.184.0/24
> /sbin/ipfw add 55 pipe 7 ip from
> 192.168.184.0/24 to any
> ???
A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik ineta ne sazhali
|
| | |
Кажется, ты меня не понял. [updated] 26.09.05 19:44
Автор: Den <Denis> Статус: The Elderman
Отредактировано 26.09.05 19:47 Количество правок: 1
|
> > /sbin/ipfw add 55 pipe 7 ip from
> any to
> > 192.168.184.0/24
> > /sbin/ipfw add 55 pipe 7 ip from
> > 192.168.184.0/24 to any
> > ???
>
> A potomu - chtoby lyudi s etogo otdela ves' 2 m/b traffik
> ineta ne sazhali
Кажется, ты меня не понял.
Обрати внимание на нумерацию этих двух правил - оба 55.
Ко всему прочему, на всякий случай, я бы сделал так:
add allow pipe 7 ip from 192.168.184.0/24 to any out xmit rl0
add allow pipe 7 tcp from any to 192.168.184.0/24 in recv rl0 established
add deny tcp from any to 192.168.184.0/24 in recv rl0
add allow pipe 7 ip from any to 192.168.184.0/24 in recv rl0
А почему ты все правила прописываешь в отдельной команде?
Не проще ли создать файл с правилами и грузить его в ipfw?
|
| | | |
Po povodu numeratsii - eto ne strashno, prosto pod odnim... 27.09.05 12:22
Автор: AleX-shl Статус: Незарегистрированный пользователь
|
> > > /sbin/ipfw add 55 pipe 7 ip
> from
> > any to
> > > 192.168.184.0/24
> > > /sbin/ipfw add 55 pipe 7 ip
> from
> > > 192.168.184.0/24 to any
> > > ???
> >
> > A potomu - chtoby lyudi s etogo otdela ves' 2 m/b
> traffik
> > ineta ne sazhali
>
> Кажется, ты меня не понял.
> Обрати внимание на нумерацию этих двух правил - оба 55.
>
> Ко всему прочему, на всякий случай, я бы сделал так:
>
> add allow pipe 7 ip from 192.168.184.0/24 to any out xmit
> rl0
> add allow pipe 7 tcp from any to 192.168.184.0/24 in recv
> rl0 established
> add deny tcp from any to 192.168.184.0/24 in recv rl0
> add allow pipe 7 ip from any to 192.168.184.0/24 in recv
> rl0
>
> А почему ты все правила прописываешь в отдельной команде?
> Не проще ли создать файл с правилами и грузить его в ipfw?
Po povodu numeratsii - eto ne strashno, prosto pod odnim nomerom 2-a pravila. A pravila umenya hranyatsya /etc/rc.firewall. Ponimaesh, problema v tom, chto pakety idut tol'ko po pravilam s DIVERT, a po trubam dazhe hodit' ne pytayutsya=(((( I s lokalki rl1 ne pinganut'
|
| | | | |
А что в логах ipfw? 27.09.05 13:28
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | | | |
Логи в субботу посмотрю, когда на сервак винт поставлю 27.09.05 16:52
Автор: AleX-shl Статус: Незарегистрированный пользователь
|
|
|
|
А dummynet? 26.09.05 14:50
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Вообщем, ситуация следующая ->
> В локалке стоит внутренний сервак (ВС) с работающем DHCP, с
> помощью которого сеть офисса делится на 3 отдела:
> 192.168.188.xxx / 192.168.184.xxx / 192.168.187.xxx.
> Соответственно происходит динамическое распределение ip. В
> интет ходим через выделенку, локальная сеть скрывается
> внешним роутером на freebsd (ВР). ВР - имеет две сетевухи:
> rl0 - смотрит наружу, rl1 - в локалку напрямую во ВС. rl0
> -> 222.222.222.222, rl1 - 192.168.185.100
> (соответственно адрес интерфейса ВС - 192.168.185.200).
> В ядро вкомпилили: options IPFIREWALL, IPDIVERT...
А DUMMYNET?
> Ставлю свои правила (которые на старом роутере работали)
> -> капут:
> /sbin/ipfw flush
> /sbin/ipfw pipe 1 config bw 44Kbit/s delay 150ms
> /sbin/ipfw pipe 2 config bw 64Kbit/s delay 50ms
> /sbin/ipfw pipe 3 config bw 44Kbit/s delay 150ms
> /sbin/ipfw pipe 4 config bw 24Kbit/s delay 50ms
> /sbin/ipfw pipe 5 config bw 128Kbit/s delay 75ms
> /sbin/ipfw pipe 6 config bw 64Kbit/s delay 25ms
> /sbin/ipfw pipe 7 config bw 512Kbit/s delay 50ms
> /sbin/ipfw pipe 8 config bw 512Kbit/s delay 50ms
>
> /sbin/ipfw add 50 allow ip from any to any via lo0
> /sbin/ipfw add 55 pipe 7 ip from any to 192.168.184.0/24
> /sbin/ipfw add 55 pipe 7 ip from 192.168.184.0/24 to any
> /sbin/ipfw add 200 allow ip from any to any via rl1
> /sbin/ipfw add 500 divert 8668 ip from 192.168.0.0/16 to
> any
> /sbin/ipfw add 600 allow ip from any to any out via rl0
> /sbin/ipfw add 800 divert 8668 ip from any to any via rl0
> /sbin/ipfw add 900 allow ip from any to any
> При этом машины с локалки не могут даже пингануть интерфейс
> rl1=(((((((
Дык. А что говорит /var/log/security ?
А ругается ли ipfw когда ты эти правила в него впихаваешь?
А какие каунтеры растут на рулесах (ipfw sh после 50-ти пингов на внутренний интерфейс)
|
| |
В ядре все прописано 26.09.05 15:46
Автор: AleX-shl Статус: Незарегистрированный пользователь
|
В ядре все прописано
По поводу логов в субботу скажу, когда на сервак винт с этим фрюком поставлю (на недели не смогу, т.к. контора работает, а инет всем нужен).
По поводу пингов - нет ответа.... Т.е. такое ощущение как буд-то файрвол отбрасывает, наверняка так оно и есть. Ведь с открытым типом пинги идут и инет ходит! Правила вроде верные прописаны, а получается так, что пакеты отбрасывает, хотя по правилам с divert пакеты бегают.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
