Биллинговая система Nodeny

Главная категория => Nodeny 49 => Тема начата: sedo26 от 14 Октября 2012, 18:41:40


Название: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 14 Октября 2012, 18:41:40
Проблема с сателлитом на freebsd.
Подключаются клиенты по pppoe - mpd5.
В 10 таблицу фаера - добавляются при подключении,
пайпы создаются.

ipfw
Код:

00048      0        0 allow udp from any to me dst-port 1812
00049      0        0 allow udp from me 1812 to any
00050     18      980 allow tcp from any to me dst-port 22
00051     22     2216 allow tcp from me 22 to any
00052      0        0 allow udp from any to me dst-port 544
00053      0        0 allow udp from me 544 to any
00110      0        0 allow ip from any to any via lo0
00120     35     3952 skipto 1000 ip from me to any
00130      0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160     44    28328 skipto 2000 ip from any to me
00200      8      415 skipto 500 ip from any to any via nfe0
00300     10      527 skipto 4500 ip from any to any in
00400      0        0 skipto 450 ip from any to any recv nfe0
00420      0        0 divert 1 ip from any to any
00450      0        0 divert 2 ip from any to any
00490      0        0 allow ip from any to any
00500      0        0 skipto 32500 ip from any to any in
00510      8      415 divert 1 ip from any to any
00540      0        0 allow ip from any to any
01000      0        0 allow udp from any 53,7723 to any
01010     59    30169 allow tcp from any to any setup keep-state
01020      0        0 allow udp from any to any keep-state
01100      8     1432 allow ip from any to any
02000      0        0 check-state
02010      0        0 allow icmp from any to any
02020      0        0 allow tcp from any to any dst-port 80,443
02050      0        0 deny ip from any to any via nfe0
02060      0        0 allow udp from any to any dst-port 53,7723
02100     12      679 deny ip from any to any
05000      0        0 deny ip from not table(0) to any
05001      0        0 skipto 5010 ip from table(127) to table(126)
05002      8      415 skipto 5030 ip from any to not table(2)
05003      0        0 deny ip from any to not table(1)
05004      0        0 pipe tablearg ip from table(21) to any
05005      0        0 deny ip from any to any
05010      0        0 pipe tablearg ip from table(127) to any
05030      0        0 deny tcp from table(15) to any dst-port 25
05400      8      415 pipe tablearg ip from table(11) to any
32000      0        0 deny ip from any to any
32490      2      112 deny ip from any to any
33000      0        0 pipe tablearg ip from table(126) to table(127)
33001      0        0 skipto 33010 ip from not table(2) to any
33002      0        0 pipe tablearg ip from any to table(20)
33003      0        0 deny ip from any to any
33400      0        0 pipe tablearg ip from any to table(10)
65535 133383 28912532 allow ip from any to any

noserver.pl, nofire.pl - стандартный без изменений
при очистке фаервола - в инет ходит,

уже не знаю что и проверять дальше...

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 14 Октября 2012, 18:51:55
что смущает?

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: Efendy от 14 Октября 2012, 20:24:40
allow from any to any в конце фаера разрешает траф всем

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 14 Октября 2012, 21:07:39
при rc.firewall и noserver из коробки должно все работать.
главное интерфейсы правильно поставь в rc.firewall

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: Efendy от 14 Октября 2012, 22:36:48
Цитата: stimels от 14 Октября 2012, 21:07:39
при rc.firewall и noserver из коробки должно все работать.
вот и я про это говорю, что вроде по дефолту nofire.pl должен дописывать deny. Значит правил файлы, но как обычно "ничего не трогал и не менял" :)

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 17 Октября 2012, 10:34:18
Установил всё с 0, проблема таже осталась. Клиент pppoe правильный ip получает, в таблицах 10,11 ip добавляется, сателит с сервером биллинга общается нормально, но фаервол так и в инет не пускает.

rl0 - в мир
em0 - к клиентам
nfe0 - связь с сервером биллинга

ifconfig
Код:
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:1c:3c:d1:43
        inet 10.10.151.10 netmask 0xffffff00 broadcast 10.10.151.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:07:e9:0c:58:13
        inet 172.16.0.2 netmask 0xffffff00 broadcast 172.16.0.255
        inet 172.30.0.2 netmask 0xffffff00 broadcast 172.30.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8210b<RXCSUM,TXCSUM,VLAN_MTU,TSO4,WOL_MAGIC,LINKSTATE>
        ether 00:26:18:b5:00:36
        inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,txpause>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480
        inet 172.16.0.3 --> 192.168.19.22 netmask 0xffffffff

ipfw
Код:
www2# ipfw show
00050 112 11812 allow tcp from any to me dst-port 22
00051  86 13032 allow tcp from me 22 to any
00110   0     0 allow ip from any to any via lo0
00120 113 11234 skipto 1000 ip from me to any
00130   0     0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 177 84553 skipto 2000 ip from any to me
00200 160 15689 skipto 500 ip from any to any via em0
00300 160 11596 skipto 4500 ip from any to any in
00400   0     0 skipto 450 ip from any to any recv em0
00420  79  4688 divert 1 ip from any to any
00450   0     0 divert 2 ip from any to any
00490   0     0 allow ip from any to any
00500 160 15689 skipto 32500 ip from any to any in
00510   0     0 divert 1 ip from any to any
00540   0     0 allow ip from any to any
01000   0     0 allow udp from any 53,7723 to any
01010 193 87626 allow tcp from any to any setup keep-state
01020  34  4185 allow udp from any to any keep-state
01100   0     0 allow ip from any to any
02000   0     0 check-state
02010   1    56 allow icmp from any to any
02020   6   304 allow tcp from any to any dst-port 80,443
02050   0     0 deny ip from any to any via em0
02060  40  2524 allow udp from any to any dst-port 53,7723
02100  16  1092 deny ip from any to any
05000   0     0 deny ip from not table(0) to any out xmit nfe0
05001   0     0 skipto 5010 ip from table(127) to table(126)
05002 160 11596 skipto 5030 ip from any to not table(2)
05003   0     0 deny log ip from any to not table(1)
05004   0     0 pipe tablearg ip from table(21) to any in recv ng*
05010   0     0 pipe tablearg ip from table(127) to any in recv ng*
05030   0     0 deny log tcp from table(15) to any dst-port 25
05400 140  8196 pipe tablearg ip from table(11) to any in recv ng*
32490  20  3400 deny ip from any to any
33000   0     0 pipe tablearg ip from table(126) to table(127)
33001 142 13569 skipto 33010 ip from not table(2) to any
33002   0     0 pipe tablearg ip from any to table(20) out xmit ng*
33400   0     0 pipe tablearg ip from any to table(10) out xmit ng*
65535 160 15689 allow ip from any to any

ipfw table 10 list
Код:
192.168.19.22/32 1004
192.168.19.24/32 1008


Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 17 Октября 2012, 10:45:32
Цитировать
но фаервол так и в инет не пускает.
а нат проверял?

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 17 Октября 2012, 10:52:09
Нат есть, если выгружаю фаервол -всё нормально работает, но соответственно без нодени правил

Код:
 pfctl -s nat
nat pass on nfe0 inet from 192.168.19.0/24 to any -> 192.168.1.10

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 17 Октября 2012, 10:57:39
ipcad установлен?

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 17 Октября 2012, 11:00:13
ipcad стоит, но статистику пока не сливает, не настроил ещё. Может из-за этого разве не пускать   в мир????

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: 0xbad0c0d3 от 17 Октября 2012, 11:00:53
мой внутренний телепат говорит, что нужно divert заменить на tee
и посмотреть sysctl -a net.inet.ip.fw.one_pass
должно быть 1

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 17 Октября 2012, 11:00:58
дело в том, что у тебя divert стоит, он трафик туда отправляет
убери его

UPD: опередил )
без ipcad например работать не будет

я вообще убрал и tee и divert

Код:
[root@ar2 ~]# cat /usr/local/etc/ipcad.conf

capture-ports disable;
interface vlan500;
interface vlan501;
interface vlan502;
interface vlan503;
interface vlan504;
interface vlan505;
interface vlan506;
......

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 17 Октября 2012, 12:35:07
ipcad - уже работает статистику сливает на сервер, но трафик в мир так и не побежал(или не вернулся с мира), и divert и tee и вообще правила удалял, не помогло, ....

Код:
capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
interface em0;
rsh enable at 127.0.0.1;
rsh enable at 10.10.151.10;
rsh root@10.10.7.55 admin;
rsh root@127.0.0.1 admin;
rsh ttl = 254;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 17 Октября 2012, 12:44:10
может в интерфейсах накосячил?
в алиасах скрипта

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: sedo26 от 17 Октября 2012, 12:47:46
Без фаервола всё работает, алиасов пока нет. Уже не знаю где дальше искать проблему...


Нашел, видать когда искал, всё под ряд менял, проблема была в
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='nfe0'

было ifOut='em0'

Название: Re: Nodeny сателлит, проблема с firewall
Отправлено: stix от 17 Октября 2012, 12:53:12
Код:
f='/sbin/ipfw'
ifOut='em0'

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0

${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
$${f} add 2030 allow tcp from any to any 1723
$${f} add 2040 allow gre from any to any
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any

попробуй примерно так.
только ifout сделай нужный


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines