Название: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 20 Декабря 2009, 13:56:44
Доброе время суток!
Настраивал Nodeny всё по мануалу! Скачивал готовый образ настойной системы как на писано всё работает !
Не пускает авторизованных пользователей в глобальную сеть!
Помогите разобраться… : :( :( :(
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 20 Декабря 2009, 14:30:29
Доброе время суток!
Настраивал Nodeny всё по мануалу! Скачивал готовый образ настойной системы как на писано всё работает !
Не пускает авторизованных пользователей в глобальную сеть!
Помогите разобраться… : :( :( :(
ifconfig ipfw show ipfw tabel 10 list какой ip авторизован в данный момент? ключик в админке есть? ps ax | grep pl
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 20 Декабря 2009, 17:16:01
в админки ключик горит зелёным ip 10.1.2.4 ifconfigsis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:14:2a:1d:7a:cb inet 10.1.1.3 netmask 0xffffff00 broadcast 10.1.1.255 media: Ethernet autoselect (none) status: no carrier rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:a1:b0:11:ad:c4 inet 10.1.2.1 netmask 0xffffff00 broadcast 10.1.2.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 ipfw show00001 33398 2365849 allow ip from any to any 00050 0 0 allow tcp from any to me dst-port 22 00051 0 0 allow tcp from me 22 to any 00110 0 0 allow ip from any to any via lo0 00120 0 0 skipto 1000 ip from me to any 00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00160 0 0 skipto 2000 ip from any to me 00200 0 0 skipto 500 ip from any to any via em0 00300 0 0 skipto 4500 ip from any to any in 00400 0 0 skipto 450 ip from any to any recv em0 00420 0 0 divert 1 ip from any to any 00450 0 0 divert 2 ip from any to any 00490 0 0 allow ip from any to any 00500 0 0 skipto 32500 ip from any to any in 00510 0 0 divert 1 ip from any to any 00540 0 0 allow ip from any to any 01000 0 0 allow udp from any 53,7723 to any 01010 0 0 allow tcp from any to any setup keep-state 01020 0 0 allow udp from any to any keep-state 01100 0 0 allow ip from any to any 02000 0 0 check-state 02010 0 0 allow icmp from any to any 02020 0 0 allow tcp from any to any dst-port 80,443 02050 0 0 deny ip from any to any via em0 02060 0 0 allow udp from any to any dst-port 53,7723 02100 0 0 deny ip from any to any 05000 0 0 deny ip from not table(0) to any 05001 0 0 skipto 5010 ip from table(127) to table(126) 05002 0 0 skipto 5030 ip from any to not table(2) 05003 0 0 deny ip from any to not table(1) 05004 0 0 pipe tablearg ip from table(21) to any 05005 0 0 deny ip from any to any 05010 0 0 pipe tablearg ip from table(127) to any 05030 0 0 deny tcp from table(15) to any dst-port 25 05400 0 0 pipe tablearg ip from table(11) to any 32000 0 0 deny ip from any to any 32490 0 0 deny ip from any to any 33000 0 0 pipe tablearg ip from table(126) to table(127) 33001 0 0 skipto 33010 ip from not table(2) to any 33002 0 0 pipe tablearg ip from any to table(20) 33003 0 0 deny ip from any to any 33400 0 0 pipe tablearg ip from any to table(10) 65535 0 0 deny ip from any to any ipfw table 10 listipfw table 10 list 10.1.2.4/32 1004 ps ax | grep plps ax | grep pl 882 ?? S< 0:25.70 perl nodeny.pl (perl5.8.8) 892 ?? S< 0:05.46 perl noserver.pl -nowait (perl5.8.8) 1031 ?? S< 0:16.45 perl nol2auth.pl -nowait (perl5.8.8)
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: versus от 20 Декабря 2009, 18:52:54
во перых как покалеченный ывод файрвола нам поможет ?
Во вторых ipcad запущен ?
В третих какие еще "незначительные" изменения кроме файрвольного правила внесены по ходу установки ?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 20 Декабря 2009, 19:43:21
rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
ifOut='sis0'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
измения не вносил не какие даже все конфини с мануала
ipcap запущен
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 20 Декабря 2009, 21:55:58
Какую-то кашу ты показал. Интерфейс sis0 вообще никуда не подключен - status: no carrier, по ipfw show светится не sis0, а em0, первым правилом стоит почему-то allow from any to any.
pf nat настроил?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Fredik от 20 Декабря 2009, 22:38:08
я в таком случае всегда проверяю есть ли на самом сервере интернет а потом уже разбераюсь.
а по поводу того что там линка нет, я думаю он просто кабель себе в комп втыкнул(тот который с инетом) и показал что к чему
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 08:19:46
pf настроил вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает Pf..conf set limit states 128000 set optimization aggressive nat pass on sis0 from 10.1.2.0/16 to any -> sis0 nat pass on sis0 from 192.168.0.0/16 to any -> sis0 ifconfig billing# ifconfig sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:14:2a:1d:7a:cb inet 10.1.1.3 netmask 0xffffff00 broadcast 10.1.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:a1:b0:11:ad:c4 inet 10.1.2.1 netmask 0xffffff00 broadcast 10.1.2.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 if.conf defaultrouter="10.1.1.1" hostname="billing.lan" ifconfig_sis0="inet 10.1.1.3 netmask 255.255.255.0" ifconfig_rl0="inet 10.1.2.1 netmask 255.255.255.0" keymap="ua.koi8-u" sshd_enable="YES" gateway_enable="YES" firewall_enable="YES" mysql_enable="YES" apache22_enable="YES" natd_enable="YES" natd_interface="sis0" pf_enable="YES" pf_riles="/etc/pf.conf" ipcad_enable="YES" ipfw show 00001 309376 22767173 allow ip from any to any 00050 0 0 allow tcp from any to me dst-port 22 00051 0 0 allow tcp from me 22 to any 00110 0 0 allow ip from any to any via lo0 00120 0 0 skipto 1000 ip from me to any 00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00160 1 37 skipto 2000 ip from any to me 00200 0 0 skipto 500 ip from any to any via sis0 00300 0 0 skipto 4500 ip from any to any in 00400 0 0 skipto 450 ip from any to any recv sis0 00420 0 0 divert 1 ip from any to any 00450 0 0 divert 2 ip from any to any 00490 0 0 allow ip from any to any 00500 0 0 skipto 32500 ip from any to any in 00510 0 0 divert 1 ip from any to any 00540 0 0 allow ip from any to any 01000 0 0 allow udp from any 53,7723 to any 01010 0 0 allow tcp from any to any setup keep-state 01020 0 0 allow udp from any to any keep-state 01100 0 0 allow ip from any to any 02000 0 0 check-state 02010 0 0 allow icmp from any to any 02020 0 0 allow tcp from any to any dst-port 80,443 02050 0 0 deny ip from any to any via sis0 02060 0 0 allow udp from any to any dst-port 53,7723 02100 0 0 deny ip from any to any 05000 0 0 deny ip from not table(0) to any 05001 0 0 skipto 5010 ip from table(127) to table(126) 05002 0 0 skipto 5030 ip from any to not table(2) 05003 0 0 deny ip from any to not table(1) 05004 0 0 pipe tablearg ip from table(21) to any 05005 0 0 deny ip from any to any 05010 0 0 pipe tablearg ip from table(127) to any 05030 0 0 deny tcp from table(15) to any dst-port 25 05400 0 0 pipe tablearg ip from table(11) to any 32000 0 0 deny ip from any to any 32000 0 0 deny ip from any to any 32490 0 0 deny ip from any to any 33000 0 0 pipe tablearg ip from table(126) to table(127) 33001 0 0 skipto 33010 ip from not table(2) to any 33002 0 0 pipe tablearg ip from any to table(20) 33003 0 0 deny ip from any to any 33400 0 0 pipe tablearg ip from any to table(10) 65535 1 37 deny ip from any to any
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 09:04:52
я думаю он просто кабель себе в комп втыкнул(тот который с инетом) и показал что к чему
кабель включен))в сети инета нет!приходится втыкать на прямую обход через сервер
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 09:22:54
ipfw show
00001 309376 22767173 allow ip from any to any
правела есть firewall включен иза чего Это может быть?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Fredik от 21 Декабря 2009, 12:36:13
на сервере интернет есть?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: dark от 21 Декабря 2009, 12:39:02
pf nat включен?
шлюз на клиентском компе прописан на роутер?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 14:16:11
на сервере интернет есть?
да есть
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 14:27:44
pf nat включен?
шлюз на клиентском компе прописан на роутер?
вродебы включен))pfctl -e :) sis0 = 10.1.1.3 смотрит dsl router= 10.1.1.1 rl0 = 10.1.2.1 внутрения сеть шлюз прописан 10.1.1.1 верно? хотя пробывал так и так
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: versus от 21 Декабря 2009, 14:48:05
вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает
Я думаю ты заблуждаешься насчет того что ipcad не причем, он как раз очень непосредственно участвует в работе файрвола. Например правила под номером 420 450 510
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: dark от 21 Декабря 2009, 16:52:07
nat pass on sis0 from 10.1.2.0/16 to any -> sis0 Почему маска 16? у тебя что натится вся подсеть 10.1.255.255 ? надо nat pass on sis0 from 10.1.2.0/24 to any -> sis0 а так-же в фаерволе у тебя em0... документацию читал хоть??
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 21 Декабря 2009, 17:55:05
вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает
Я думаю ты заблуждаешься насчет того что ipcad не причем, он как раз очень непосредственно участвует в работе файрвола. Например правила под номером 420 450 510 B ipcap нече неминял поставил всё как написано в мануале! в конфиг capture-ports enable; interface divert port 1 netflow-disable; interface divert port 2 netflow-disable; rsh enable at 127.0.0.1; rsh root@127.0.0.1 admin; rsh ttl = 3; rsh timeout = 30; dumpfile = ipcad.dump; chroot = /tmp; memory_limit = 50m;
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 23 Декабря 2009, 00:39:40
доброе время суток!
в ipcap трафик попадает
но в авторизованных пользователей в инет не пускает
это или неправильно pf nat настроен или firewall блокирует.
как проверить?
и еще
у меня айпишники локалка 10,1,2,1
внешка 10,1,1,3
ip rotera 10.1.1.1
клиент у меня настроен верно?
10,1,2,4
255,255,255,0
10,1,2,1
dns10,1,1,1
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: goletsa от 23 Декабря 2009, 07:23:27
Маску в фраерволе уберите до /24
По поводу ipcad'ов и всего что рядом с ними - в фаерволе первое правило allow from any to any так что с билингом и ипкадом пока рано разбираться. Надо сначала с nat'ом закончить.
А вот натить с одной подсети 1.1.1.2 на другую 1.1.2.2 с маской /16 както глупо выглядит.
И кстати по поводу -> sis0 - както удобнее мне кажется указывать адрес а не интерфейс.
Если повесить на внешний интерфейс несколько ипов то можно статически задать разным внутреним сетям разные внешние адреса.
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 23 Декабря 2009, 10:01:50
а надо в ядро в ключать для pf ?
device pf
device pflog
device pfsync
test# ipfw table 0 list
10.1.2.4/32 0
test# ipfw table 10 list
тут нечего
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 23 Декабря 2009, 11:44:23
пока у тебя первым правилом allow ip from any to any, можешь не смотреть на содержимое таблиц. Сейчас, уже говорили, надо просто настроить над, для этого:
pfctl -N -f /etc/pf.conf
что пишет?
cat /etc/pf.conf
что показывает?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: boomer666 от 25 Декабря 2009, 09:39:36
вот
test# pfctl -N -f /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled
test# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on sis0 from 10.1.2.0/24 to any -> sis0
nat pass on sis0 from 192.168.1.0/16 to any -> sis0
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: dark от 25 Декабря 2009, 23:35:21
boomer666, ты прикалываешся? я ж тебе написал где у тебя ошибки! нат у тебя на интерфейсе sis0 nat pass on sis0 from 10.1.2.0/24 to any -> sis0 а пакеты у тебя идут на em0 в 3 посте! skipto 500 ip from any to any via em0 а в 5 посте ты подредактировал: fOut='sis0' и
измения не вносил не какие даже все конфини с мануала
ipcap запущен
« Последнее редактирование: 20 Декабрь 2009, 19:45:14 от boomer666 » выложи сюда полный вывод ipfw show, pfctl -e, ipfw table 10 list , у тебя авторизация через авторизатор?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 26 Декабря 2009, 01:17:51
и еще: что-то тут не так, правда?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Hashinger от 29 Января 2010, 11:47:48
Хочется поднять тему.
Есть два интерфейса один смотрит наружу(192.168.0.115 - адрес private network но в режиме теста думаю не обязательно сразц цеплять внешний)
второй смотрит в сторону клиентов 10.1.0.1
NoDeny заработал без проблем болячки вроде бы все излечил.
Проходит успешная авторизация через L2 и Web.
Дальше про проблему.
авторизуемся по L2 сеть видна, пингуем все внешние и все внутренние IP адреса. Но оказывается, что клиент не может преобразовать имя в адрес. Если же клиенту указать любой другой DNS отличный от 10.1.0.1 и прописать к примеру 192.168.0.1 или google - 8.8.8.8 то преобразование работает.
пинги с самого nodeny
PING www.ru (194.87.0.50): 56 data bytes
64 bytes from 194.87.0.50: icmp_seq=0 ttl=57 time=24.599 ms
в чем может быть проблема? нужно ли стартовать службу named ?
Задайте правильное направление куда копать!
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Aivanzipper от 29 Января 2010, 12:19:35
конечно надо днс-сервер поднимать
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Hashinger от 29 Января 2010, 13:43:07
конечно надо днс-сервер поднимать
Спасибо поднял, заработало.
Название: Re: Nodeny Не пускает авторизованных пользовател�
Отправлено: HIT от 23 Февраля 2010, 18:43:19
Та же проблема FreeBSD 8.0 /etc/rc.firewall #!/bin/sh -
f='/sbin/ipfw'
ifOut='bge0'
# Сети, в/из которых трафик блокируем
${f} table 120 flush
${f} table 120 add 224.0.0.0/4
#${f} table 120 add 192.168.0.0/16
#${f} table 120 add 172.16.0.0/12
${f} -f flush
#${f} add 40 accept ip from any to "table(10)"
#${f} add 41 accept ip from "table(10)" to any
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 100 deny tcp from any to any 445
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2030 allow gre from any to any
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
#${f} add 40 accept ip from any to "table(10)" #${f} add 41 accept ip from "table(10)" to any при раскоментировании инет начинает работать, только не шейпится. ipfw table 10 list 172.16.1.77/32 1008
172.16.1.90/32 1004 ipfw table 1 list 172.16.1.77/32 0
172.16.1.90/32 0 ipfw table 2 list 172.16.1.77/32 0
172.16.1.79/32 0
172.16.1.90/32 0
конфиг ядра #
# GENERIC -- Generic kernel configuration file for FreeBSD/i386
#
# For more information on this file, please read the config(5) manual page,
# and/or the handbook section on Kernel Configuration Files:
#
# http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/i386/conf/GENERIC,v 1.519.2.4.2.2 2009/11/09 23:48:01 kensmith Exp $
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
ident HITlan4
# To statically compile in device wiring instead of /boot/device.hints
#hints "GENERIC.hints" # Default places to look for devices.
# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env "GENERIC.env"
#makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options SCHED_ULE # ULE scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
options MD_ROOT # MD is a potential root device
options NFSCLIENT # Network Filesystem Client
options NFSSERVER # Network Filesystem Server
options NFSLOCKD # Network Lock Manager
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat (sgtty)
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
options COMPAT_FREEBSD7 # Compatible with FreeBSD7
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE # ktrace(1) support
options STACK # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options PRINTF_BUFR_SIZE=128 # Prevent printf output being interspersed.
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options HWPMC_HOOKS # Necessary kernel hooks for hwpmc(4)
options AUDIT # Security event auditing
options MAC # TrustedBSD MAC Framework
options FLOWTABLE # per-cpu routing cache
#options KDTRACE_HOOKS # Kernel DTrace hooks
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options DUMMYNET
options IPFILTER_LOG
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC
# To make an SMP kernel, the next two lines are needed
options SMP # Symmetric MultiProcessor Kernel
device apic # I/O APIC
device pf
...
ps -x | grep perl 990 ?? S< 0:03.18 perl nol2auth.pl (perl5.10.1)
991 ?? S< 0:00.89 perl noserver.pl (perl5.10.1)
1380 ?? S< 0:02.74 perl nodeny.pl (perl5.10.1)
2980 1 S+ 0:00.00 grep perl
sysctl -a | grep net.inet.ip.fw net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 33
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 100
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1
ipfw pipe list 01005: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
burst: 0 Byte
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 icmp 172.16.1.90/0 193.109.164.1/0 171 10206 0 0 0
01004: 512.000 Kbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
burst: 0 Byte
00001: unlimited 0 ms 50 sl. 0 queues (1 buckets) droptail
burst: 0 Byte
01008: 8.192 Mbit/s 0 ms 50 sl. 0 queues (1 buckets) droptail
burst: 0 Byte
ifconfig bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:13:21:f2:74:c5
inet 192.168.33.80 netmask 0xffffff00 broadcast 192.168.33.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:13:21:f2:74:c4
inet 172.16.1.1 netmask 0xffff0000 broadcast 172.16.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
конфиг ipcadа capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;
в нетстате порты 1,2 слушаются /etc/pf.conf set limit states 128000
set optimization aggressive
nat pass on bge0 from 172.16.0.0/16 to any -> bge0
ипкад запущен rsh 127.0.0.1 show ip accounting
Source Destination Packets Bytes SrcPt DstPt Proto IF
78.84.185.196 172.16.1.90 2 92 37598 48897 6 2
92.113.26.119 172.16.1.90 3 120 52566 48868 6 2
79.126.28.156 172.16.1.90 5 268 20805 49138 6 2
91.124.134.38 172.16.1.90 9 514 18553 48863 6 2
Accounting data age is 0
Accounting data age exact 30
Accounting data saved 1266951554
Interface 2: received ??, 5 m average 2 bytes/sec, 0 pkts/sec, dropped ??
Interface 1: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
Flow entries made: 4
Memory usage: 0% (448 from 52428800)
Free slots for rsh clients: 9
IPCAD uptime is 1:28
core-gw uptime is 1:28
прозьба помочь!
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 24 Февраля 2010, 00:57:24
вместо /etc/rc.firewall лучше приведи по нему будут видны актуальные правила в данной ситуации, поскольку noserver.pl добавляет свои, может фишка в том, что они как раз и не добавлены. А так, конечно, инфу привел полную - всем брать пример
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 24 Февраля 2010, 06:40:50
ipfw show00040 0 0 allow ip from any to table(10)
00041 127196 7825658 allow ip from table(10) to any
00050 58 6052 allow tcp from any to me dst-port 22
00051 49 6848 allow tcp from me 22 to any
00100 3 144 deny tcp from any to any dst-port 445
00110 320 29982 allow ip from any to any via lo0
00120 80 4602 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 478 13384 deny ip from any to table(120)
00150 0 0 deny ip from table(120) to any
00160 136 11084 skipto 2000 ip from any to me
00200 7423 698055 skipto 500 ip from any to any via bge0
00300 7435 698715 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 7423 698055 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 40 3950 allow udp from any to any keep-state
01100 60 3384 allow ip from any to any
02000 0 0 check-state
02010 5 304 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 17 4643 deny ip from any to any via bge0
02060 55 1975 allow udp from any to any dst-port 53,7723
02100 39 1430 deny ip from any to any
05000 7428 698331 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 0 0 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 0 0 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 7 384 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 7423 698055 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 7423 698055 allow ip from any to any
вот так он выглядит!
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 24 Февраля 2010, 09:31:44
и как мы увидим твои счетчики если есть 41 правило? ipfw delete 40
ipfw delete 41
ipfw zero
sleep 30
ipfw show
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 24 Февраля 2010, 11:07:23
00050 7 332 allow tcp from any to me dst-port 22
00051 9 876 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 68 4168 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 0 0 deny ip from any to table(120)
00150 0 0 deny ip from table(120) to any
00160 0 0 skipto 2000 ip from any to me
00200 1 68 skipto 500 ip from any to any via bge0
00300 1 68 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 1 68 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
32490 1 68 deny ip from any to any
65535 1 68 allow ip from any to any
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 24 Февраля 2010, 11:22:21
так хорошо начал приводить конфиги, а тут такую фигню городишь. Ты действительно хочешь решить свою проблему или хочется пообщаться? Почему в предыдущем примере есть правила от nofire.pl (33001,33002 и т.д), а в этом нет? Почему не организовал трафик в эти 30 секунд? Ведь я ясно сказал, что мне нужны значения счетчиков. Продолжаем играться дальше....
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 24 Февраля 2010, 11:57:42
сорь протупил, я просто перезапустил фаирволл, а нофаир не успел создать правила (утро, не проснулся еще видимо)) вот ipfw list 00050 7 332 allow tcp from any to me dst-port 22
00051 8 784 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 60 3752 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 0 0 deny ip from any to table(120)
00150 0 0 deny ip from table(120) to any
00160 0 0 skipto 2000 ip from any to me
00200 6 502 skipto 500 ip from any to any via bge0
00300 6 502 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 6 502 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 2 200 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 4 302 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 4 302 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 2 200 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 4 302 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 2 200 allow ip from any to any
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 24 Февраля 2010, 12:14:03
ipfw add 5031 allow ip from "table(11)" to any
ipfw add 33010 allow ip from any to "table(10)" так работает? (без шейпов ессно)
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 24 Февраля 2010, 12:30:14
не работает, но в таблицах 10, 11 записи есть
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 24 Февраля 2010, 17:18:26
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 25 Февраля 2010, 18:47:42
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
по всей видимости нет в мир не уходят, на внешнем интерфейсе тишина вот ipfw list с большим к-вом трафика 00050 74 4068 allow tcp from any to me dst-port 22
00051 95 17576 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 194 15664 allow ip from any to any via lo0
00120 0 0 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 0 0 skipto 2000 ip from any to me
00200 307 24806 skipto 500 ip from any to any via bge0
00300 307 24806 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 166 16486 skipto 32500 ip from any to any in
00510 141 8320 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01010 0 0 allow ip from any to table(11)
01010 0 0 allow ip from table(11) to any
01020 0 0 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 147 15044 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 160 9762 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 160 9762 pipe tablearg ip from table(11) to any
10101 0 0 allow ip from any to table(11)
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 147 15044 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33400 0 0 pipe tablearg ip from any to table(10)
65535 166 16486 allow ip from any to any
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 25 Февраля 2010, 21:54:01
В правила пакеты попадают?
В мир уходят? (tcpdump)
В мир уходят заначенными? (tcpdump)
по всей видимости нет это отличный ответ, но нужен точный. Поставь с клиентской машины пинг ya.ru и запусти
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 25 Февраля 2010, 23:27:26
я так и делал в мир не уходят, на внешнем интерфейсе тишина в /etc/rc.firewall заменил все divert на tee заработало! ipfw show 00050 49 3000 allow tcp from any to me dst-port 22
00051 43 5812 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 266 144204 allow ip from any to any via lo0
00120 575 52871 skipto 1000 ip from me to any
00130 5 340 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 579 82654 skipto 2000 ip from any to me
00200 3646 2132390 skipto 500 ip from any to any via bge0
00300 1845 300082 skipto 4500 ip from any to any in
00400 1801 1832308 skipto 450 ip from any to any recv bge0
00420 0 0 tee 1 ip from any to any
00450 1801 1832308 tee 2 ip from any to any
00490 1801 1832308 allow ip from any to any
00500 1815 1833378 skipto 32500 ip from any to any in
00510 1831 299012 tee 1 ip from any to any
00540 1831 299012 allow ip from any to any
01000 148 23455 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 587 81524 allow udp from any to any keep-state
01100 119 7136 allow ip from any to any
02000 0 0 check-state
02010 120 7254 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02030 0 0 allow gre from any to any
02050 11 5856 deny ip from any to any via bge0
02060 166 10190 allow udp from any to any dst-port 53,7723
02100 3 110 deny ip from any to any
05000 5 428 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 1840 299654 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 1840 299654 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 1806 1832736 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 9 642 deny ip from any to any
33400 1801 1832308 pipe tablearg ip from any to table(10)
65535 5 428 allow ip from any to any
только вот странно, что в 420 правиле счетчик на нуле
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: VitalVas от 25 Февраля 2010, 23:44:18
неиспользуй tee, сервер зависнет через некоторое времмя
(испытано на своей сети)
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: Efendy от 26 Февраля 2010, 00:38:10
tee - это дубликат пакета. Раз не работало без него, значит ipcad не возвращал пакет в фаервол. Трафик точно считается?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: VitalVas от 26 Февраля 2010, 00:58:04
tee - это дубликат пакета.
я знаю. тогда когда я делал под себя фаер, то заюзал tee. после последнього ребуту и запуска сателита в действее, через 5 часов ipcad сожрал 99% проца и памяти и сервак завис.
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: HIT от 26 Февраля 2010, 07:57:59
tee - это дубликат пакета.
я знаю. тогда когда я делал под себя фаер, то заюзал tee. после последнього ребуту и запуска сателита в действее, через 5 часов ipcad сожрал 99% проца и памяти и сервак завис. Трафф считает причом на ура! Ммм ето вообще странно почему так тогда заработало! Подскажите теперь раз так работаек как сделать правильно(Чтоб не зависало!) PS глюков и зависаний не заметил ганяли серв по полной перегружали сколько могли!)
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: VitalVas от 26 Февраля 2010, 08:57:59
собери ipcad чтоб divert работал
у меня такого небыло, чтоб divert неработал, возможно ты что то в настройке самого ipcad-у опускаеш
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: imp13 от 13 Декабря 2011, 10:55:43
Доброго дня. Проблема така ж, тому вирішив нову тему не відкривати. Пробую налаштувати 49.32. Отож... Поки тестую на одному клієнтові, який намагається пінгувати lib.ru %uname -a FreeBSD billy.lutsk.ukrpack.net 8.2-STABLE FreeBSD 8.2-STABLE #3: Mon Dec 12 17:31:40 EET 2011 root@billy.lutsk.ukrpack.net:/usr/obj/usr/src/sys/BILLY i386 %cat /sys/i386/conf/BILLY # $FreeBSD: src/sys/i386/conf/BILLY,v 1.519.2.17 2011/11/07 13:45:18 marius Exp $
cpu I686_CPU
ident BILLY
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options SCHED_ULE # ULE scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
options MD_ROOT # MD is a potential root device
options NFSCLIENT # Network Filesystem Client
options NFSSERVER # Network Filesystem Server
options NFSLOCKD # Network Lock Manager
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat (sgtty)
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
options COMPAT_FREEBSD7 # Compatible with FreeBSD7
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE # ktrace(1) support
options STACK # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options PRINTF_BUFR_SIZE=128 # Prevent printf output being interspersed.
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options HWPMC_HOOKS # Necessary kernel hooks for hwpmc(4)
options AUDIT # Security event auditing
options MAC # TrustedBSD MAC Framework
#options KDTRACE_HOOKS # Kernel DTrace hooks
options INCLUDE_CONFIG_FILE # Include this file in kernel
options KDB # Kernel debugger related code
options KDB_TRACE # Print a stack trace for a panic
# To make an SMP kernel, the next two lines are needed
options SMP # Symmetric MultiProcessor Kernel
device apic # I/O APIC
# CPU frequency control
device cpufreq
# Bus support.
device acpi
device eisa
device pci
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives
options ATA_STATIC_ID # Static device numbering
# SCSI peripherals
device scbus # SCSI bus (required for SCSI)
device da # Direct Access (disks)
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device kbdmux # keyboard multiplexer
device vga # VGA video card driver
device splash # Splash screen and screen saver support
# syscons is the default console driver, resembling an SCO console
device sc
device agp # support several AGP chipsets
# Power management support (see NOTES for more options)
#device apm
# Add suspend/resume support for the i8254.
device pmtimer
# Serial (COM) ports
device uart # Generic UART driver
# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device miibus # MII bus support
device bge # Broadcom BCM570xx Gigabit Ethernet
# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
device vlan # 802.1Q VLAN support
device tun # Packet tunnel.
device pty # BSD-style compatibility pseudo ttys
device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling
device faith # IPv6-to-IPv4 relaying (translation)
device firmware # firmware assist module
# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
# USB support
options USB_DEBUG # enable debug msgs
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device ehci # EHCI PCI->USB interface (USB 2.0)
device usb # USB Bus (required)
device ukbd # Keyboard
device umass # Disks/Mass storage - Requires scbus and da
device ums # Mouse
# Netgraph
options NETGRAPH
options NETGRAPH_IPFW
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_CISCO
options NETGRAPH_ECHO
options NETGRAPH_FRAME_RELAY
options NETGRAPH_HOLE
options NETGRAPH_KSOCKET
options NETGRAPH_LMI
options NETGRAPH_RFC1490
options NETGRAPH_TTY
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TEE
options NETGRAPH_UI
options NETGRAPH_VJC
# PF
device pf
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options DEVICE_POLLING
options HZ=1000
%cat /etc/rc.conf # -- sysinstall generated deltas -- # Mon Nov 21 21:03:48 2011
# Created: Mon Nov 21 21:03:48 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="212.1.102.14"
font8x14="cp866u-8x14"
font8x16="cp866u-8x16"
font8x8="cp866u-8x8"
gateway_enable="YES"
hostname="billy.lutsk.ukrpack.net"
ifconfig_bge0="inet 212.1.102.12 netmask 255.255.255.240"
# Cloned interfaces
cloned_interfaces="vlan317 vlan316"
#WiFi client antenas admin
ifconfig_vlan317="vlan 317 vlandev bge0 172.29.133.1 netmask 255.255.255.0"
#WiFi clients
ifconfig_vlan316="vlan 316 vlandev bge0 10.10.25.1 netmask 255.255.255.0"
inetd_enable="YES"
keymap="ua.koi8-u.shift.alt"
mousechar_start="3"
scrnmap="koi8-u2cp866u"
ntpdate_enable="YES"
ntpdate_flags="ua.pool.ntp.org"
scrnmap="koi8-u2cp866u"
sshd_enable="YES"
apache22_enable="YES"
mysql_enable="YES"
mpd_enable="YES"
sendmail_enable="NO"
ftpd_enable="YES"
# NAT interfaces
ifconfig_bge0_alias0="212.1.102.23/32"
##FireWall
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
#firewall_type="open"
firewall_quiet="NO"
firewall_logging="YES"
firewall_simple_oif="bge0"
bruteblockd_enable="YES"
bruteblockd_table="40"
bruteblockd_flags="-s 5"
pf_enable="YES"
pf_rules="/etc/pf.conf"
ipcad_enable="YES" %cat /etc/sysctl.conf # $FreeBSD: src/etc/sysctl.conf,v 1.8.34.1.6.1 2010/12/21 17:09:25 kensmith Exp $
#
# This file is read when going to multi-user and its contents piped thru
# ``sysctl'' to adjust kernel values. ``man 5 sysctl.conf'' for details.
#
# Uncomment this to prevent users from seeing information about processes that
# are being run under another UID.
#security.bsd.see_other_uids=0
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5
net.inet.ip.fw.one_pass=0
net.inet.ip.dummynet.hash_size=256
net.inet.ip.forwarding=1
#for mpd
net.graph.maxdgram=128000
net.graph.recvspace=128000 %cat /boot/loader.conf kern.maxdsiz="1G"
kern.dfldsiz="1G"
accf_http_load="YES"
ipdivert_load="YES"
dummynet_load="YES"
#mpd
kern.ipc.nmbclusters=16384
kern.ipc.maxsockets=16384
net.graph.maxalloc=2048
kern.maxusers=512
kern.ipc.maxpipekva=32000000 %ps ax | grep perl 2188 ?? S< 0:55.21 perl nol2auth.pl (perl5.10.1)
2189 ?? S< 0:56.46 perl nodeny.pl (perl5.10.1)
2190 ?? S< 0:13.60 perl noserver.pl (perl5.10.1)
26390 0 S+ 0:00.00 grep perl %ps ax | grep ipcad 1996 ?? I<s 0:00.59 /usr/local/bin/ipcad -rds -c /usr/local/etc/ipcad.conf
26392 0 S+ 0:00.00 grep ipcad %cat /etc/pf.conf set limit states 128000
set optimization aggressive
nat on bge0 from 10.10.25.0/24 to any -> bge0
pass quick all %sudo pfctl -sn nat on bge0 inet from 10.10.25.0/24 to any -> { 212.1.102.12, 212.1.102.23 } round-robin%sudo ipfw table all list ---table(0)---
10.10.25.3/32 0
---table(1)---
10.10.25.3/32 0
---table(2)---
10.10.25.2/32 0
10.10.25.3/32 0
---table(10)---
10.10.25.3/32 1004
---table(11)---
10.10.25.3/32 1005
---table(15)---
10.10.25.3/32 0
---table(20)---
10.10.25.3/32 1004
---table(21)---
10.10.25.3/32 1005
---table(120)---
172.16.0.0/16 0
172.17.0.0/16 0
172.18.0.0/16 0
172.19.0.0/16 0
172.20.0.0/16 0
172.21.0.0/16 0
172.22.0.0/16 0
172.23.0.0/16 0
172.24.0.0/16 0
172.25.0.0/16 0
172.26.0.0/16 0
172.27.0.0/16 0
172.28.0.0/16 0
172.30.0.0/16 0
172.31.0.0/16 0
172.32.0.0/16 0
192.168.0.0/16 0
224.0.0.0/4 0 %sudo ipfw show 00010 0 0 deny ip from table(40) to any
00011 0 0 deny ip from any to table(40)
00020 0 0 deny ip from table(120) to any
00021 1 56 deny ip from any to table(120)
00050 435 25512 allow tcp from any to me dst-port 22
00051 1373 232952 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 0 0 allow ip from any to any via lo0
00120 136 37451 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 149 26572 skipto 2000 ip from any to me
00200 4 1312 skipto 500 ip from any to any via bge0
00300 902 64263 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 4 1312 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 136 37451 allow ip from any to any
02000 0 0 check-state
02010 2 128 allow icmp from any to any
02020 147 26444 allow tcp from any to any dst-port 80,443
02050 0 0 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 3 959 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 899 63304 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 899 63304 pipe tablearg ip from table(11) to any
32000 899 63304 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 4 1312 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 4 1312 deny ip from any to any IPCAD збирав з портів. %cat /usr/local/etc/ipcad.conf capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m; %sudo rsh localhost show ip acco Source Destination Packets Bytes SrcPt DstPt Proto IF
Accounting data age is 0
Accounting data age exact 4
Accounting data saved 1323766350
Interface 2: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
Interface 1: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
Flow entries made: 0
Memory usage: 0% (0 from 52428800)
Free slots for rsh clients: 9
IPCAD uptime is 16:50
billy.lutsk.ukrpack.net uptime is 16:51 tcpdump -i bge0 10:38:14.621718 IP 10.10.25.3 > 81.176.66.163: ICMP echo request, id 302, seq 1033, length 64
10:38:15.622631 IP 10.10.25.3 > 81.176.66.163: ICMP echo request, id 302, seq 1034, length 64
при "ipfw add 161 allow ip from any to any" інет на клієнті зявляється. 40-ва таблиця використовується для bruteblock. зручна штучка. divert на tee пробував міняти. ситуація не змінилась. є в кого якісь ідеї?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: bnet от 13 Декабря 2011, 14:23:47
а якщо allow any to any, "без нодені", так працює?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: imp13 от 13 Декабря 2011, 14:33:40
так.
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: VitalVas от 13 Декабря 2011, 17:48:15
винеси аплінк на отдельний влан
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: imp13 от 14 Декабря 2011, 09:22:33
спробував.
по tcpdump натчені пакети чогось все-одно виходили через bge0. default route був через влан.
спробував рознести по мережевих аплінк та даунлінк - виявилось що друга мережева мертва (.
буду шукати залізо.
про результати відпишусь.
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: imp13 от 14 Декабря 2011, 12:10:21
з мережевою виявилось все в нормі - по неуважності втикнув в сусідній сервер ( отож, strip of /etc/rc.conf ifconfig_bge0="inet 212.1.102.12 netmask 255.255.255.240"
ifconfig_bge1="inet 10.20.30.1 netmask 255.255.255.252"
# Cloned interfaces
cloned_interfaces="vlan317 vlan316"
#WiFi client antenas admin
ifconfig_vlan317="vlan 317 vlandev bge1 172.29.133.1 netmask 255.255.255.0"
#WiFi clients
ifconfig_vlan316="vlan 316 vlandev bge1 10.10.25.1 netmask 255.255.255.0"
%sudo ipfw show 00010 3 456 deny ip from table(40) to any
00011 5 599 deny ip from any to table(40)
00020 0 0 deny ip from table(120) to any
00021 0 0 deny ip from any to table(120)
00050 321 18040 allow tcp from any to me dst-port 22
00051 1081 187460 allow tcp from me 22 to any
00100 0 0 deny tcp from any to any dst-port 445
00110 0 0 allow ip from any to any via lo0
00120 104 29568 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 116 20584 skipto 2000 ip from any to me
00200 8 841 skipto 500 ip from any to any via bge0
00300 766 54425 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv bge0
00420 0 0 tee 1 ip from any to any
00450 0 0 tee 2 ip from any to any
00490 0 0 allow ip from any to any
00500 8 841 skipto 32500 ip from any to any in
00510 0 0 tee 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 104 29568 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 114 20464 allow tcp from any to any dst-port 80,443
02050 2 120 deny ip from any to any via bge0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 37 3616 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 729 50809 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 729 50809 pipe tablearg ip from table(11) to any
32000 729 50809 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 8 841 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 8 841 deny ip from any to any
%cat /usr/local/etc/ipcad.conf capture-ports enable;
interface tee port 1 netflow-disable;
interface tee port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m; на divert поки не вертав. та й змісту поки не бачу - пакети не доходять до правил tee/divert. при "ipfw add 41 allow ip from any to any" пакети бігають нормально. до речі, файрвол має бути відкритим чи закритим? я про 65535... логіка підказує що закритим, як в мене і є. хоча до нього все-одно ніхто не добереться.
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: imp13 от 19 Декабря 2011, 17:33:26
Ще питання. В nodeny.log постійно пишеться ipacctctl: ip_account_ctl: NgSendMsg: No such file or directory
ipacctctl: Cann't get version number from node З чим пов'язано?
Название: Re: Nodeny Не пускает авторизованных пользователей в глобальную сеть!
Отправлено: versus от 19 Декабря 2011, 18:03:18
Ще питання. В nodeny.log постійно пишеться ipacctctl: ip_account_ctl: NgSendMsg: No such file or directory
ipacctctl: Cann't get version number from node З чим пов'язано? Предварительно пересобираем ядро со следующими опциями: options NETGRAPH options NETGRAPH_ETHER options NETGRAPH_SOCKET options NETGRAPH_TEE ставим: cd /usr/ports/net-mgmt/ng_ipacct make install clean Оставляем опции по умолчанию Тут можно добавить: в руководствах рекомендуют при каждой следующей пересборке ядра ставить ng_ipacct снова т.к. это все таки модуль ядра и пересборке он удаляется
|