Биллинговая система Nodeny

Главная категория => Общий раздел => Тема начата: stix от 09 Июня 2010, 15:54:59


Название: ipfw nodeny mpd pf
Отправлено: stix от 09 Июня 2010, 15:54:59
т.к. я линуксоид переходящий на фрю, то еще не разобрался во всех нюансах :)

подскажите плиз где накосячил с натом и файрволом.
используется pppoe и vpn доступ
mpd собрал и настроил без проблем
ядро пересобрал с поддержкой pf, dummynet, firewall итд

сеть выдается 192.168.0.0/16 через радиус

Код:
ext_if="fxp0"
set limit states 128000
set optimization aggressive
nat pass on fxp0 from 192.168.0.0/16 to any -> fxp0
pass in all
pass out all
аля маскарадинг для всех сети 192.168

net.inet.ip.fw.enable: 1
net.inet.ip.fw.one_pass: 1

Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='fxp0'

${f} -f flush
${f} add 11 allow TCP from any to me 1723 in
${f} add 12 allow TCP from me 1723 to any out
${f} add 13 allow GRE from any to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 505 divert 1 ip from any to any
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any


ipfw list

Код:
00011 allow tcp from any to me dst-port 1723 in
00012 allow tcp from me 1723 to any out
00013 allow gre from any to any
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via fxp0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv fxp0
00420 divert 1 ip from any to any
00450 divert 2 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00505 divert 1 ip from any to any
00510 divert 1 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 80,443
02050 deny ip from any to any via fxp0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
32490 deny ip from any to any
65535 deny ip from any to any

туннельный ip сервера вижу без проблем с любого хоста
между собой 2 pptp клиента не видят друг друга
ну и плюс на шлюз по умолчанию не ходят

Название: Re: ipfw nodeny mpd pf
Отправлено: versus от 09 Июня 2010, 15:58:18
Конфиг мпд посмотреть

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 09 Июня 2010, 16:02:17
с fxp0 вылетают пакеты.
на fxp1 на каталисте настроен транк порт и на фре поднял вланы
туннельные ip взяты с дефолта, посути они не играют роли, только для построения точка-точка.
радиус свои настройки отдает.

если делаю /etc/rc.d/ipfw stop
то трафик натится и бегает все ок, но тогда не смогу на сателите шейперить и блочить юзеров

Код:
startup:
        set user admin password
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load pptp_server
        load pppoe_server
pptp_server:
        set ippool add pool1 192.168.1.50 192.168.1.99
        create bundle template B
#<----->set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 172.16.100.1/32 ippool pool1
        set ipcp dns 1.1.1.1
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e128
        set mppc yes stateless
        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        load radius
        set link keep-alive 10 60
        set link mtu 1460
        set link enable incoming

pppoe_server:

        create bundle template C
        set ipcp ranges 1.2.3.4/32 127.0.0.2/32
        set ipcp dns 1.1.1.1
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e56
        set mppc yes e128
        set mppc yes stateless
        set ecp disable dese-bis dese-old

        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"

        create link template fxp1 common
        set link max-children 1000
        set pppoe iface vlan100
        set link enable incoming


radius:
        set radius server 192.168.100.2 hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 192.168.100.2
        set auth acct-update 60
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic

Название: Re: ipfw nodeny mpd pf
Отправлено: smallcms от 09 Июня 2010, 18:15:15
Цитата: stimels от 09 Июня 2010, 15:54:59
т.к. я линуксоид переходящий на фрю, то еще не разобрался во всех нюансах :)
ничего, лайнукс головного мозга у большинства здесь был и пока увы, остаётся. ;D

Цитата: stimels от 09 Июня 2010, 15:54:59
Код:
${f} add 11 allow TCP from any to me 1723 in
${f} add 12 allow TCP from me 1723 to any out
${f} add 13 allow GRE from any to any

У Вас простая проблема - gre трафик не бегает как положено. Я могу подсказать Вам как я это реализовал:
Код:
${f} add 492 allow gre from any to any
${f} add 542 allow gre from any to any
${f} add 2074 allow tcp from any to any 1723
${f} add 2076 allow gre from any to any
Удачи вам.

Название: Re: ipfw nodeny mpd pf
Отправлено: Efendy от 09 Июня 2010, 18:32:31
Для линуксоидов:

во фре нет понятия цепочек фаервола, поэтому не стоит бросаться правилами allow в самое начало фаера - это все равно что везде на файлы ставить права 777, только хуже. Вы учтите, что трафик, в данном случае протокола gre, имеет несколько направлений: от клиента к серверу, от сервера к клиенту, от клиента в мир и обратно. Тупо разрешив gre from any to any, вы откроете дырку абсолютно для всех клиентов, которые без авторизации смогут посылать и получать данные по этому протоколу. Может быть пока поверх него ничего не инкапсулировали, пока еще, но что будет потом? ip over dns есть и это сложнее.

Более того, что-то похожее на цепочки iptables как раз и сделаны в предлагаемом мною фаерволе! А именно:

- начиная с правила 1000 - цепочка OUTPUT
- 2000 - INPUT
- 4500 - FORWARD (клиенты -> мир)
- 32500 - FORWARD (мир -> клиенты)

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 09 Июня 2010, 18:41:12
ниче, я думаю моск адаптируется, хоть и не сразу )

Код:
${f} add 492 allow gre from any to any
${f} add 542 allow gre from any to any
${f} add 2074 allow tcp from any to any 1723
${f} add 2076 allow gre from any to any
если так, то pptp клиент не может подключиться к серверу
а если я вначале разрешу GRE туннель, то пакеты тогда не натятся получается


на первом сателите у меня проще сделано
разерешено все
запретить форвардинг с НЕ активных к НЕ активным

Название: Re: ipfw nodeny mpd pf
Отправлено: smallcms от 09 Июня 2010, 19:01:28
Цитата: stimels от 09 Июня 2010, 18:41:12
если так, то pptp клиент не может подключиться к серверу
а если я вначале разрешу GRE туннель, то пакеты тогда не натятся получается
угу. есть мысль, что
set ipcp ranges 172.16.100.1/32 ippool pool1
вне ната
nat pass on fxp0 from 192.168.0.0/16 to any -> fxp0
у меня пптп адрес в пределах ната лежит...  ???

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 09 Июня 2010, 19:03:32
тоже об этом подумал и добавил туннель в этот диапазон - не помогло
set ippool add pool1 192.168.1.50 192.168.1.99
set ipcp ranges 192.168.0.1/32 127.0.0.2/32

рубится фаерволом, точнее при его неправильном заворачивании
т.к. при ipfw stop пакеты натятся.

на линуксподобных системах как рыба в воде, но на фре местами тяжело мне )

есть предположение, что дело в диверте

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 09:16:06
если сделать
Код:
${f} add 60 allow all from any to any via ng0
и
${f} add 2005 allow all from any to me 1723
${f} add 2007 allow gre from any to me
то работает, значит 100% дело в правилах ipfw
но не попадает в pipe

Если я сделаю в ACCEPT TO ALL в ядре и запрещу форвардинг от тех, кто не в table активных абонентов, логически верно ведь будет?

типо:
ipfw add deny fwd from from not "table(1)" to not "table(1)"

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 10 Июня 2010, 10:23:05
Цитата: stimels от 10 Июня 2010, 09:16:06
если сделать
Код:
${f} add 60 allow all from any to any via ng0
и
${f} add 2005 allow all from any to me 1723
${f} add 2007 allow gre from any to me
то работает, значит 100% дело в правилах ipfw
но не попадает в pipe

Если я сделаю в ACCEPT TO ALL в ядре и запрещу форвардинг от тех, кто не в table активных абонентов, логически верно ведь будет?

типо:
ipfw add deny fwd from from not "table(1)" to not "table(1)"
нет
в ipfw fwd - это не равно цепочке forward в iptables

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 10:46:13
а если я сделаю

ipfw add deny from from not "table(1)" to not "table(1)"
то отвалюсь я, т.к. я не в таблице 1

логически тогда верно сделать

Код:
${f} -f flush
${f} add 50 allow all from any to me
${f} add 51 allow all from me to any

${f} add 130 allow all from "table(0)" to any
${f} add 140 allow all from any to "table(0)"

${f} add 150 deny all from not "table(0)" to not "table(0)"

так вроде работает нормально, только без шейперов пока что

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 14:15:47
так работает с пипами и доступом

вопрос, логически верно это, с логикой ipfw?
доки читаю...
единственное что не нравится сейчас, это bandwidth тест при 512 кбит тарифе показывает в 495-500 кбит.
при 4мбит - 3.7мбит
и вырастает задержка.

в htb при p/b fifo или pcq/sfq/red знаю как выставлять буферы, здесь еще не дочитал.

Код:
f='/sbin/ipfw'

ifOut='fxp0'

${f} -f flush
#${f} -f pipe flush

${f} add 30 pipe tablearg ip from "table(10)" to any
${f} add 40 pipe tablearg ip from any to "table(10)"

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 70 allow icmp from any to me
${f} add 80 allow icmp from me to any

${f} add 90 allow gre from me to any
${f} add 100 allow gre from any to me
${f} add 110 allow all from any to me 1723
${f} add 120 allow all from me 1723 to any

${f} add 125 allow all from any to me
${f} add 126 allow all from me to any

${f} add 130 allow all from "table(0)" to any
${f} add 140 allow all from any to "table(0)"
${f} add 150 allow all from "table(0)" to "table(0)"

${f} add 1000 deny all from not "table(0)" to not "table(0)"

бутнул тазик и трафик упал в 2 раза.
видиомо трафик бегает 2 раза по правилам....

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 14:48:31
Код:
${f} add 30 pipe tablearg ip from "table(10)" to any out
${f} add 40 pipe tablearg ip from any to "table(10)" in
добавил in/out и вроде встало так как надо...

если все будет ок, то можно почистить в конце топик и выделить в мануал, как сделать файрвол и шейпер при accept all

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 15:42:30
Цитата: stimels от 10 Июня 2010, 14:48:31
Код:
${f} add 30 pipe tablearg ip from "table(10)" to any out
${f} add 40 pipe tablearg ip from any to "table(10)" in
добавил in/out и вроде встало так как надо...

если все будет ок, то можно почистить в конце топик и выделить в мануал, как сделать файрвол и шейпер при accept all
нифига не правильно работают

залипла трассировка и пинги перестали ходить.

удалил через ipfw delete правила Pipe и трассировка дошла

Код:
 5    17 ms    20 ms    19 ms  yandex-gw.ix.net.ua [195.35.65.88]
 6    44 ms    41 ms    49 ms  leonov-vlan843.yandex.net [213.180.208.142]
 7    53 ms    41 ms    39 ms  grechko-vlan120.yandex.net [87.250.233.125]
 8    99 ms    52 ms    44 ms  toyota-vlan4.yandex.net [213.180.210.181]
 9    41 ms    51 ms    44 ms  l3-iva2-eto2.yandex.net [213.180.213.19]
10     *        *        *     Превышен интервал ожидания для запроса.
11     *        *        *     Превышен интервал ожидания для запроса.
12     *        *        *     Превышен интервал ожидания для запроса.
13     *        *        *     Превышен интервал ожидания для запроса.
14     *        *        *     Превышен интервал ожидания для запроса.
15     *        *        *     Превышен интервал ожидания для запроса.
16     *        *        *     Превышен интервал ожидания для запроса.
17     *       47 ms    41 ms  www.yandex.ru [213.180.204.3]

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 10 Июня 2010, 17:47:45
мм а чем стандартный фаервол не устраивает из доки нодени?

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 19:54:01
он GRE туннели не пропускает.
а если я ставлю вначало allow gre, то он не натится.... :-[

мне тяжело перестроить мышление на ipfw, потому вот так делаю как в аналогии линукса

и с pipe я не знаком...

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 10 Июня 2010, 20:20:44
мдяя
ну кто же тебе тогда доктор? :)

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 10 Июня 2010, 20:23:09
Код:
${f} add 2070 allow tcp from any to any 1723
${f} add 2080 allow gre from any to any

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 20:32:50
фигушки....потому и изобретаю велосипеды
Код:
02070   0      0 allow tcp from any to any dst-port 1723
02080   0      0 allow gre from any to any

Название: Re: ipfw nodeny mpd pf
Отправлено: Efendy от 10 Июня 2010, 20:49:55
Цитата: elite от 10 Июня 2010, 20:23:09
Код:
${f} add 2070 allow tcp from any to any 1723
${f} add 2080 allow gre from any to any
2070 -> 2030
2080 -> 2040
т.к. 2050 рубает все пакеты на внешнем интерфейсе

Название: Re: ipfw nodeny mpd pf
Отправлено: Cell от 10 Июня 2010, 20:50:31
Код:
02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723
Ну вот совершенно рабочий вариант. Че вы беса гоните?

Название: Re: ipfw nodeny mpd pf
Отправлено: Cell от 10 Июня 2010, 20:51:14
Упс... опередили )))

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 21:00:59
Цитата: Cell от 10 Июня 2010, 20:50:31
Код:
02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723
Ну вот совершенно рабочий вариант. Че вы беса гоните?
чтоб я матом, вот уж х..
pptp подключается, а трафик уже не натится

ни в первом, ни во втором варианте.
мой моск сломан


Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 10 Июня 2010, 21:13:57
Цитата: Efendy от 10 Июня 2010, 20:49:55
2070 -> 2030
2080 -> 2040
т.к. 2050 рубает все пакеты на внешнем интерфейсе
а нафиг ему на внешнем интерфейсе?

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 21:16:52
я ж подключаюсь через внешний интерфейс к сети (fxp0)
подключился на внешний маршрутизируемый ip и получил фейковый (192.168.)
затем через нат вылетел с этого же fxp0 и его маскарадным ip
(это нужно для меня и 2х человек, которые с другой сети через vpn берут статический Ip)

+ юзеры будут подключаться через второй интерфейс, который будет еще в транковом порту (fxp1)
на fxp1 подняты несколько десятков вланов.

сейчас на микротике и линухе такое работает

Название: Re: ipfw nodeny mpd pf
Отправлено: Efendy от 10 Июня 2010, 21:55:19
Цитата: elite от 10 Июня 2010, 21:13:57
Цитата: Efendy от 10 Июня 2010, 20:49:55
2070 -> 2030
2080 -> 2040
т.к. 2050 рубает все пакеты на внешнем интерфейсе
а нафиг ему на внешнем интерфейсе?
честно говоря, я не вчитался в ТЗ, думал речь идет о пптп не клиентских, а соединение сервер-провайдер

Название: Re: ipfw nodeny mpd pf
Отправлено: Efendy от 10 Июня 2010, 22:05:00
Цитата: stimels от 10 Июня 2010, 21:00:59
pptp подключается, а трафик уже не натится

ни в первом, ни во втором варианте.
мой моск сломан
если у тебя pf nat, то отладить его проще всего с :
Код:
ipfw add 1 allow ip from any to any

172.16.100.1 - этот ip явно прописан на каком-либо интерфейсе?


Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 10 Июня 2010, 22:37:58
нет, я уже перестроил все на 192.168.0.1

да, pf nat

при
Код:
ipfw add 1 allow ip from any to any
трафик ходит и pptp подключается

но смысл отпадает в блокировании юзеров через биллинг и не работает шейпер

Название: Re: ipfw nodeny mpd pf
Отправлено: Cell от 10 Июня 2010, 22:56:36
Если у тебя
Цитата: stimels от 10 Июня 2010, 22:37:58
при
Код:
ipfw add 1 allow ip from any to any
трафик ходит и pptp подключается
значит у тебя не правильно настроен файрвол... либо сам биллинг.
Какие ипы выдает у тебя биллинг при коннекте по впн?
покажи ifconfig при этом
покажи действующий в настоящий момент конфиг mpd с учетом переделок
и в любом случае мое глубокое ИМХО что 16-тые сети в нат загонять не есть гуд т.к. вам никогда в жизни не понадобится столько.

Название: Re: ipfw nodeny mpd pf
Отправлено: Efendy от 10 Июня 2010, 23:47:58
Цитата: stimels от 10 Июня 2010, 22:37:58
но смысл отпадает в блокировании юзеров через биллинг и не работает шейпер
читай внимательно:
Цитировать
если у тебя pf nat, то отладить его проще всего с :
это был совет по отладке pfnat. Ты же кипешевал, что ничего не натится! Теперь оказалось, что дело именно в фаерволе. Может не нужно было  делать allow from any to any и дальше искать пальцем в небо?

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 06:06:21
Цитировать
это был совет по отладке pfnat. Ты же кипешевал, что ничего не натится! Теперь оказалось, что дело именно в фаерволе. Может не нужно было  делать allow from any to any и дальше искать пальцем в небо?
я же сказал, при таких правилах подключается, но не натится.

потому я и пошел другим путем, сделав так, как описал раннее на основе - резрешить все
только с Pipe не получилось все как хотелось

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 08:42:52
mpd5.conf

Код:
startup:
        set user admin password
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load pptp_server
        load pppoe_server
pptp_server:
        set ippool add pool1 192.168.1.50 192.168.1.99
        create bundle template B
#<----->set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 192.168.0.1/32 ippool pool1
        set ipcp dns 195.5.130.200
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e128
        set mppc yes stateless
        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        load radius
        set link keep-alive 10 60
        set link mtu 1460
        set pptp self 195.5.130.205
        set link enable incoming

pf.conf
Код:
ext_if="fxp0"
set limit states 128000
set optimization aggressive
#nat on $ext_if inet from any to any -> ($ext_if)
nat pass on fxp0 from 192.168.66.0/24 to any -> fxp0
pass in all
pass out all

ifconfig
Код:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1456
        inet 192.168.0.1 --> 192.168.66.7 netmask 0xffffffff

Код:
[root@ ~]# pfctl -s nat
nat pass on fxp0 inet from 192.168.66.0/24 to any -> 195.5.130.205

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 11 Июня 2010, 11:04:49
указывай интерфейс для правил.

для теста разреши все на внешнем канале.
 

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 11:18:57
если делаю
allow all from any to any via fxp0
то ничего не меняется

tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 11 Июня 2010, 11:20:45
Цитата: stimels от 11 Июня 2010, 11:18:57
tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная
а откуда на внешнем интерфейсе внутренним сетям взяться? после ната

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 11:22:19
Цитата: elite от 11 Июня 2010, 11:20:45
Цитата: stimels от 11 Июня 2010, 11:18:57
tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная
а откуда на внешнем интерфейсе внутренним сетям взяться? после ната
это я и имел ввиду

если делаю add allow all from any to any via ng0 то трафик бегает
но не шейпится и не блочится если удалится из таблиц
т.к. вылетает из файрвола видимо уже

net.inet.ip.fw.one_pass: 1

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 11 Июня 2010, 11:42:48
покаж
ipfw show

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 12:08:16
Код:
00050  47  3336 allow tcp from any to me dst-port 22
00051  42 10440 allow tcp from me 22 to any
00110   0     0 allow ip from any to any via lo0
00120 161 11052 skipto 1000 ip from me to any
00160 204 15198 skipto 2000 ip from any to me
00200   1    97 skipto 500 ip from any to any via fxp0
00300  43  2136 skipto 4500 ip from any to any in
00400   0     0 skipto 450 ip from any to any recv fxp0
00420   0     0 divert 1 ip from any to any
00450   0     0 divert 2 ip from any to any
00490   0     0 allow ip from any to any
00500   1    97 skipto 32500 ip from any to any in
00510   0     0 divert 1 ip from any to any
00540   0     0 allow ip from any to any
01000   0     0 allow udp from any 53,7723 to any
01010   0     0 allow tcp from any to any setup keep-state
01020   0     0 allow udp from any to any keep-state
01100 161 11052 allow ip from any to any
02000   0     0 check-state
02010  72  4508 allow icmp from any to any
02020   0     0 allow tcp from any to any dst-port 80,443
02030   4   244 allow tcp from any to any dst-port 1723
02040 111  8342 allow gre from any to any
02050  17  2104 deny ip from any to any via fxp0
02060   0     0 allow udp from any to any dst-port 53,7723
02100   0     0 deny ip from any to any
32490  43  2136 deny ip from any to any
65535  42  4074 allow ip from any to any

Название: Re: ipfw nodeny mpd pf
Отправлено: elite от 11 Июня 2010, 12:17:50
гыгы )

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 12:39:12
Цитата: elite от 11 Июня 2010, 12:17:50
гыгы )
неужели так все плохо?  :D

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 11 Июня 2010, 13:00:11
шутка да?!

где правила создаваемые билингом?

походу носервер не запущен - смотри логи.
или прав на нофире не хватет.

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 13:05:58
Код:
[root@ ~]# ps -aux | grep nos
root   1428  0.9  0.7  8468  7052  ??  S<    2:04PM   0:01.01 perl noserver.pl (perl5.10.1)
root   1376  0.0  0.1  3492  1400 con- I     2:04PM   0:00.01 sh go.sh noserver

но pipe создаются

Код:
01508: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01457: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01440:   2.000 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01405: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01388: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01337: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01320:   4.096 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01268: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01253: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01200: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01185: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01148: 256.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01133: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01080:   4.096 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01065: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail


куда копать - понял!
спасибо, не строятся правила,
гг. думал они раком-боком както во фре заворачиваются через таблицы )

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 11 Июня 2010, 13:09:39
ты часом не делал
/etc/rc.firewall

тоетсь не дергал фаер ?
если да то прибил правмла
 перезапусти носервер

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 13:16:14
Цитата: ser970 от 11 Июня 2010, 13:09:39
ты часом не делал
/etc/rc.firewall

тоетсь не дергал фаер ?
если да то прибил правмла
 перезапусти носервер
я фаер уже просто изнасиловал.
он иногда хаотично работает

бутну тазик - все нормализуется согласно логике.
freebsd 7.3

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 13:20:27
снова пересобрал ядро без "разрешить все по умолчанию"

Код:
00050   42   4620 allow tcp from any to me dst-port 22
00051   31   6252 allow tcp from me 22 to any
00110    0      0 allow ip from any to any via lo0
00120 1152  86623 skipto 1000 ip from me to any
00130    0      0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 1377 530798 skipto 2000 ip from any to me
00200  217  10481 skipto 500 ip from any to any via fxp0
00300  226  11327 skipto 4500 ip from any to any in
00400    0      0 skipto 450 ip from any to any recv fxp0
00420    0      0 divert 1 ip from any to any
00450    0      0 divert 2 ip from any to any
00490    0      0 allow ip from any to any
00500    3    291 skipto 32500 ip from any to any in
00510  214  10190 divert 1 ip from any to any
00540    0      0 allow ip from any to any
01000    0      0 allow udp from any 53,7723 to any
01010  816 498136 allow tcp from any to any setup keep-state
01020   25   3264 allow udp from any to any keep-state
01100  758  49410 allow ip from any to any
02000    0      0 check-state
02010  363  22520 allow icmp from any to any
02012  544  42143 allow gre from any to any
02020   23   1948 allow tcp from any to any dst-port 80,443,1723
02050    0      0 deny ip from any to any via fxp0
02060    0      0 allow udp from any to any dst-port 53,7723
02100    0      0 deny ip from any to any
05000   12   1137 deny ip from not table(0) to any
05001    0      0 skipto 5010 ip from table(127) to table(126)
05002  214  10190 skipto 5030 ip from any to not table(2)
05003    0      0 deny ip from any to not table(1)
05004    0      0 pipe tablearg ip from table(21) to any
05005    0      0 deny ip from any to any
05010    0      0 pipe tablearg ip from table(127) to any
05030    0      0 deny tcp from table(15) to any dst-port 25
05400  214  10190 pipe tablearg ip from table(11) to any
32000    0      0 deny ip from any to any
32490    0      0 deny ip from any to any
33000    0      0 pipe tablearg ip from table(126) to table(127)
33001    3    291 skipto 33010 ip from not table(2) to any
33002    0      0 pipe tablearg ip from any to table(20)
33003    0      0 deny ip from any to any
33400    0      0 pipe tablearg ip from any to table(10)
65535    3    291 deny ip from any to any

лог noserver все ок. никаких ошибок и ворнов

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 11 Июня 2010, 14:14:03
ты чуть не понял что я хотел сказать

смотри

33400    0      0 pipe tablearg ip from any to table(10)

строка есть но если перезапустить фаер

а там стоит
-f flush
тоесть очистить все - тогда правило продет.

надо перезапстить билл





Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 11 Июня 2010, 14:16:58
дада, я понимаю, потому рестартую perl noserver.pl -v и смотрю что все создается
но для надежности сейчас бутаю сервак
нихт арбайтен

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 14 Июня 2010, 19:32:11
да, кстати забыл отписаться.
нашел траблу.
она была в ipcad
т.к. в правилах стоял divert то трафик заворачивался туда, а ipcad тупил.
собрал с исходников и трафик полетел ))

осталось решить траблы с прохождением GRE пакетов от клиента.
Суть в том, что когда PPTP Client подключается из NAT, возникают проблемы с заголовками LCP.
Причем  когда первый раз подключаешься - все ок, дальше - нет синхронизации.
это на mpd5

на pptpd такого не наблюдалось, клиенты из под ната нормально подключались, ну то такое...

на этом знакомство с фрей можно закончить и переходить в более интимные отношения ;)

Название: Re: ipfw nodeny mpd pf
Отправлено: smallcms от 14 Июня 2010, 21:40:24
Попробуйте вот такой пптп сервер:
Код:
pptp_server:
        create bundle template P
        set ippool add pool1 192.168.1.50 192.168.1.99
        set ipcp yes vjcomp
        set ipcp ranges 172.16.100.1/32 ippool pool1
        set ipcp dns 1.1.1.1
        set bundle enable compression
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        set ecp disable dese-bis dese-old
        create link template L pptp
        set link enable multilink
        set link yes acfcomp protocomp
        set link action bundle P
        set link disable chap pap eap
        set link enable chap-msv2 chap
        set link keep-alive 10 60
        load radius
        set link enable incoming

Я заполнил значения уже вашими ip. Не обязательно, что сработает просто интересно заработает ли.  :)

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 15 Июня 2010, 08:50:37
не, то же самое.

Код:
[L-4] LCP: SendConfigReq #4
[L-4]   ACFCOMP
[L-4]   PROTOCOMP
[L-4]   MRU 1500
[L-4]   MAGICNUM 0ba89d15
[L-4]   AUTHPROTO CHAP MSOFTv2
[L-4]   MP MRRU 2048
[L-4]   MP SHORTSEQ
[L-4]   ENDPOINTDISC [802.1] 00 02 55 64 ff ce
[L-4] LCP: SendConfigReq #5
[L-4]   ACFCOMP
[L-4]   PROTOCOMP
[L-4]   MRU 1500
[L-4]   MAGICNUM 0ba89d15
[L-4]   AUTHPROTO CHAP MSOFTv2
[L-4]   MP MRRU 2048
[L-4]   MP SHORTSEQ
[L-4]   ENDPOINTDISC [802.1] 00 02 55 64 ff ce
[L-4] LCP: SendConfigReq #6
[L-4]   ACFCOMP
[L-4]   PROTOCOMP
[L-4]   MRU 1500
[L-4]   MAGICNUM 0ba89d15
[L-4]   AUTHPROTO CHAP MSOFTv2
[L-4]   MP MRRU 2048
[L-4]   MP SHORTSEQ
[L-4]   ENDPOINTDISC [802.1] 00 02 55 64 ff ce

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 15 Июня 2010, 10:39:13
попробуй уменьшить кадр окна (mtu mru)
nat это +24b к пакету.

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 15 Июня 2010, 11:03:01
пробовал и через радиус и через set link
единственное чем меняется это через ifconfig mtu

на win7 выдает мне 1396 mtu
прочитал что могут быть траблы с gre over gre
но опять же, на pptpd у меня все прекрасно работает.
там вообще mtu 1400
mru 1460

Название: Re: ipfw nodeny mpd pf
Отправлено: ser970 от 15 Июня 2010, 12:07:16
покаж полный лог одной сессии

Название: Re: ipfw nodeny mpd pf
Отправлено: smallcms от 15 Июня 2010, 15:33:12
Есть ещё такой момент в pf nat как нормализация трафика. У меня для ADSL выставлено
Код:
[root@gateway /etc]# cat pf.conf | grep scrub
scrub in all no-df fragment reassemble
scrub out all random-id max-mss 1400

Название: Re: ipfw nodeny mpd pf
Отправлено: stix от 16 Июня 2010, 12:51:08
обалдеть, все настоящие проблемы с трафиком решились путем

sysctl net.inet.ip.dummynet.io_fast=1

я в шоке...


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines