Название: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 18:43:09
Установлена фря 7.2 р7 NoDeny 49.32.4,
вроде бы всё в норме,захожу в админку создаю клиента,
авторизуюсь а инета нет,пересмотрел все конфиги голова кипит не могу понять в чём причина помогите.
rc.conf
gateway_enable="YES"
hostname="kommunar.localdomain"
ifconfig_vr0="DHCP"
ifconfig_rl0="inet 172.16.1.199/24"
keymap="ru.koi8-r"
keyrate="normal"
mousechar_start="3"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
defaultrouter="192.168.0.2"
sendmail_enable="NO"
fsck_y_enable="YES"
background_fsck="NO"
mysql_enable="YES"
apache22_enable="YES"
firewall_enable="YES"
nodeny_enable="YES"
nol2auth_enable="YES"
noserver_enable="YES"
pf_enable="YES"
ipcad_enable="YES"
radiusd_enable="YES"
named_enable="YES"
rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
ifOut='vr0'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
в логах nodeny пишет
01.09.2010 14:53:55 kernel: ! ====== - СТАРТ ЯДРА NODENY - ======
01.09.2010 14:53:55 kernel: 2 записей в базе и 0 доступ в инет блокирован, 1 не нужна авторизация
01.09.2010 14:53:55 kernel: Для 1 записей включен режим детального сохранения трафика.
Название: Re: Помогите настроить nodeny
Отправлено: versus от 02 Сентября 2010, 19:57:39
ДХЦП на канале в инет ?? Конфиг ната дай, покажи что в 10 таблице файрвола.
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 20:25:24
ifconfig[root@kommunar ~]# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:30:84:25:7a:0a
inet 172.16.1.199 netmask 0xffffff00 broadcast 172.16.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:13:8f:34:18:f4
inet 192.168.0.102 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33204
[root@kommunar ~]#
[root@kommunar ~]# ipfw show
00050 4556 334542 allow tcp from any to me dst-port 22
00051 5530 4311924 allow tcp from me 22 to any
00110 170452 10578622 allow ip from any to any via lo0
00120 1593 772001 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 1477 225939 skipto 2000 ip from any to me
00200 833 122675 skipto 500 ip from any to any via vr0
00300 153 11934 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv vr0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 833 122675 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 475 30694 allow udp from any 53,7723 to any
01010 82 68631 allow tcp from any to any setup keep-state
01020 94 9718 allow udp from any to any keep-state
01100 1030 735712 allow ip from any to any
02000 0 0 check-state
02010 56 4200 allow icmp from any to any
02020 841 127156 allow tcp from any to any dst-port 80,443
02050 13 628 deny ip from any to any via vr0
02060 479 21201 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 48 3744 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 105 8190 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 105 8190 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 833 122675 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 836 123457 allow ip from any to any
[root@kommunar /usr/local/etc]# ipfw table 10 list
172.16.0.0/16 0
[root@kommunar /usr/local/etc]# ps ax|grep ipcad
1009 ?? I<s 0:04.56 /usr/local/bin/ipcad -rds -c /usr/local/etc/ipcad.conf
[root@kommunar /usr/local/etc]# ps ax|grep nodeny.pl
8439 ?? S< 1:55.76 perl nodeny.pl (perl5.8.9)
[root@kommunar /usr/local/etc]# ps ax|grep noserver.pl
1138 ?? S< 0:32.96 perl noserver.pl (perl5.8.9) [root@kommunar /usr/local/etc]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=56 time=50.987 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=57.776 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=64.445 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=61.190 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=56 time=61.414 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=56 time=57.629 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=56 time=69.891 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=56 time=65.305 ms
64 bytes from 8.8.8.8: icmp_seq=8 ttl=56 time=62.958 ms
[root@kommunar ~]# ping ya.ru
PING ya.ru (87.250.251.3): 56 data bytes
64 bytes from 87.250.251.3: icmp_seq=0 ttl=55 time=41.776 ms
64 bytes from 87.250.251.3: icmp_seq=1 ttl=55 time=39.968 ms
64 bytes from 87.250.251.3: icmp_seq=2 ttl=55 time=39.403 ms
64 bytes from 87.250.251.3: icmp_seq=3 ttl=55 time=41.598 ms
64 bytes from 87.250.251.3: icmp_seq=4 ttl=55 time=40.466 ms
64 bytes from 87.250.251.3: icmp_seq=5 ttl=55 time=39.437 ms
64 bytes from 87.250.251.3: icmp_seq=6 ttl=55 time=39.677 ms [root@kommunar ~]# ping 172.16.1.199
PING 172.16.1.199 (172.16.1.199): 56 data bytes
64 bytes from 172.16.1.199: icmp_seq=0 ttl=64 time=0.137 ms
64 bytes from 172.16.1.199: icmp_seq=1 ttl=64 time=0.090 ms
64 bytes from 172.16.1.199: icmp_seq=2 ttl=64 time=0.087 ms
64 bytes from 172.16.1.199: icmp_seq=3 ttl=64 time=0.088 ms
64 bytes from 172.16.1.199: icmp_seq=4 ttl=64 time=0.074 ms
64 bytes from 172.16.1.199: icmp_seq=5 ttl=64 time=0.090 ms
[root@kommunar ~]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=56 time=42.110 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=48.130 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=48.978 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=39.863 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=56 time=39.451 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=56 time=38.774 ms
[root@kommunar ~]# ping ya.ru
PING ya.ru (87.250.250.3): 56 data bytes
64 bytes from 87.250.250.3: icmp_seq=0 ttl=55 time=39.939 ms
64 bytes from 87.250.250.3: icmp_seq=1 ttl=55 time=39.101 ms
64 bytes from 87.250.250.3: icmp_seq=2 ttl=55 time=38.977 ms
64 bytes from 87.250.250.3: icmp_seq=3 ttl=55 time=39.662 ms
64 bytes from 87.250.250.3: icmp_seq=4 ttl=55 time=38.867 ms
[root@kommunar ~]# pfctl -s nat
nat pass on vr0 inet from 172.16.0.0/16 to any -> 192.168.0.102
[root@kommunar ~]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
#nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on vr0 from 172.16.1.0/16 to any -> vr0 не подскажите почему pf.conf-172.16.1.0/16, а pfctl -s nat 172.16.0.0/16 cat /etc/rc.conf |grep pf[root@kommunar ~]# cat /etc/rc.conf |grep pf
pf_enable="YES"
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 20:26:49
ДХЦП инет
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 20:51:39
ipfw table 10 list[root@kommunar ~]# ipfw table 10 list
172.16.1.2/32 1008
Название: Re: Помогите настроить nodeny
Отправлено: smallcms от 02 Сентября 2010, 21:27:38
а я не понял зачем серверу dhcp. ???
его владелец разве тупой как юзеры, чтобы работать от dhcp? :(
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 21:34:46
лучше что нибудь умное подсказал :'(
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 21:39:49
в pf.conf
set limit states 128000
set optimization aggressive
#nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on vr0 from 172.16.1.0/16 to any -> vr0
почему тогда
[root@kommunar ~]# pfctl -sn
nat pass on vr0 inet from 172.16.0.0/16 to any -> 192.168.0.102
где я ошибся
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 02 Сентября 2010, 21:46:12
pfctl -sa[root@kommunar ~]# pfctl -sa
TRANSLATION RULES:
nat pass on vr0 inet from 172.16.0.0/16 to any -> 192.168.0.102
FILTER RULES:
No queue in use
INFO:
Status: Enabled for 0 days 01:16:41 Debug: Urgent
State Table Total Rate
current entries 0
searches 11908 2.6/s
inserts 0 0.0/s
removals 0 0.0/s
Counters
match 11908 2.6/s
bad-offset 0 0.0/s
fragment 0 0.0/s
short 0 0.0/s
normalize 0 0.0/s
memory 0 0.0/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 37 0.0/s
proto-cksum 0 0.0/s
state-mismatch 0 0.0/s
state-insert 0 0.0/s
state-limit 0 0.0/s
src-limit 0 0.0/s
synproxy 0 0.0/s
TIMEOUTS:
tcp.first 30s
tcp.opening 5s
tcp.established 18000s
tcp.closing 60s
tcp.finwait 30s
tcp.closed 30s
tcp.tsdiff 10s
udp.first 60s
udp.single 30s
udp.multiple 60s
icmp.first 20s
icmp.error 10s
other.first 60s
other.single 30s
other.multiple 60s
frag 30s
interval 10s
adaptive.start 76800 states
adaptive.end 153600 states
src.track 0s
LIMITS:
states hard limit 128000
src-nodes hard limit 10000
frags hard limit 5000
tables hard limit 1000
table-entries hard limit 200000
OS FINGERPRINTS:
696 fingerprints loaded
[root@kommunar ~]#
Название: Re: Помогите настроить nodeny
Отправлено: Cell от 03 Сентября 2010, 06:17:04
Ты ошибся в том что 16 маску выдал на маскарад, что-то мне подсказывает, что она тебе понадобится лет через 100. поставь маску 24 и ты заметишь разницу )
Название: Re: Помогите настроить nodeny
Отправлено: versus от 03 Сентября 2010, 09:39:02
меня конечно смущает дхцп на аплинке, но еще больше смущает что трафикана дивертах нет
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
Модуль ipdivert запущен в ядре ?? или ты нам файрвол показал до авторизации пользователя и проб получить с него инет ?
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 13 Сентября 2010, 17:18:57
Прошу помощи не могу никак разобраться, переустановил фрю и биллинг,а инета на машине клиента так и нет. вылаживаю ещё раз все конфиги [elhan@kommunar ~]$ ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:30:84:25:7a:0a
inet 10.0.0.1 netmask 0xffffe100 broadcast 10.0.30.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ste0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2008<VLAN_MTU,WOL_MAGIC>
ether 00:26:18:ec:1c:31
media: Ethernet autoselect
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:13:8f:34:18:f4
inet 192.168.0.102 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
pflog0: flags=0<> metric 0 mtu 33204
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> metric 0 mtu 1460
syncpeer: 224.0.0.240 maxupd: 128
[elhan@kommunar ~]$ cat /etc/rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
ifOut='vr0'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
[root@kommunar /home/elhan]# ipfw show
00050 1428 111862 allow tcp from any to me dst-port 22
00051 1924 246716 allow tcp from me 22 to any
00110 67500 4190138 allow ip from any to any via lo0
00120 486 31642 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 490 25418 skipto 2000 ip from any to me
00200 30 8355 skipto 500 ip from any to any via vr0
00300 24 1872 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv vr0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 30 8355 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 444 28819 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 84 8382 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02050 0 0 deny ip from any to any via vr0
02060 448 19859 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
05000 0 0 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 24 1872 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 24 1872 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 30 8355 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 30 8355 deny ip from any to any
[root@kommunar /home/elhan]# ipfw table 10 list
10.0.0.4/32 1004
[root@kommunar /home/elhan]# ps ax|grep ipcad
1222 ?? I<s 0:00.68 /usr/local/bin/ipcad -rds -c /usr/local/etc/ipcad.con
[root@kommunar /home/elhan]# ps ax|grep nodeny.pl
1318 ?? S< 1:07.23 perl nodeny.pl (perl5.10.1)
[root@kommunar /home/elhan]# ps ax|grep noserver.pl
1317 ?? S< 0:12.28 perl noserver.pl (perl5.10.1)
[root@kommunar /home/elhan]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=56 time=42.168 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=39.208 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=39.685 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=40.163 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=56 time=38.773 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=56 time=38.844 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=56 time=39.363 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=56 time=39.359 ms
64 bytes from 8.8.8.8: icmp_seq=8 ttl=56 time=38.655 ms
[root@kommunar /home/elhan]# ping ya.ru
PING ya.ru (87.250.250.3): 56 data bytes
64 bytes from 87.250.250.3: icmp_seq=0 ttl=55 time=46.676 ms
64 bytes from 87.250.250.3: icmp_seq=1 ttl=55 time=46.326 ms
64 bytes from 87.250.250.3: icmp_seq=2 ttl=55 time=47.591 ms
64 bytes from 87.250.250.3: icmp_seq=3 ttl=55 time=46.650 ms
64 bytes from 87.250.250.3: icmp_seq=4 ttl=55 time=38.116 ms
64 bytes from 87.250.250.3: icmp_seq=5 ttl=55 time=38.304 ms
[root@kommunar /home/elhan]# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=0.113 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.091 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.085 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.088 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.089 ms
64 bytes from 10.0.0.1: icmp_seq=5 ttl=64 time=0.091 ms
[root@kommunar /home/elhan]# pfctl -s nat
No ALTQ support in kernel
ALTQ related functions disabled
nat pass on vr0 inet from 10.0.0.0/24 to any -> (vr0) round-robin
[root@kommunar /home/elhan]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
scrub out all random-id max-mss 1440
nat pass on vr0 from 10.0.0.0/24 to any -> (vr0)
[root@kommunar /home/elhan]# cat /etc/rc.conf |grep pf
pf_enable="YES"
[root@kommunar /home/elhan]# cat /boot/loader.conf
pf_load="YES"
ipfw_load="YES"
ipdivert_load="YES"
dummynet_load="YES"
Название: Re: Помогите настроить nodeny
Отправлено: stix от 13 Сентября 2010, 18:24:17
ipcad поставил?
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 13 Сентября 2010, 20:40:54
Поставил [root@kommunar /home/elhan]# ps ax|grep ipcad
1222 ?? I<s 0:00.68 /usr/local/bin/ipcad -rds -c /usr/local/etc/ipcad.con
[root@kommunar /home/elhan]# cat /usr/local/etc/ipcad.conf
capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;
Название: Re: Помогите настроить nodeny
Отправлено: stix от 13 Сентября 2010, 20:52:43
на счетчиках диверта должны быть пакеты, чето не доставил
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 13 Сентября 2010, 21:30:32
как можно проверить,где смотреть
Название: Re: Помогите настроить nodeny
Отправлено: VitalVas от 14 Сентября 2010, 07:38:39
в ядро добавил диверт?
Название: Re: Помогите настроить nodeny
Отправлено: stix от 14 Сентября 2010, 08:11:07
можно просто убрать с начальных правил файрвола правила диверта. если анлим тарифы, то считать ничего не нужно в ядро добавляются следующие строки options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET файрвол, перенаправляемые сокеты, форвардинг, шейпинг
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 14 Сентября 2010, 10:33:50
Когда ядро компелировал добавил
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
device pf
Если перекомпелировать ядро,весь биллинг ставить нужно заново?
Название: Re: Помогите настроить nodeny
Отправлено: versus от 14 Сентября 2010, 10:44:13
нет не надо, стукни ко мне в скайп versus.ua попробуем вылечить оперативным вмешательством
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 14 Сентября 2010, 10:55:34
Если пробую подгрузить командой модуль ipdivert.ko
[root@kommunar /home/elhan]# kldload ipdivert
kldload: can't load ipdivert: File exists
судя по всему он запущен.
Может причина в маршрутизаторе который стоит до биллинга,
стоит dir100 на котором поднят инет от прова по протоколу L2TP,а с него уже на биллинг.
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 14 Сентября 2010, 13:03:38
kernel configuration NODENY #
# GENERIC -- Generic kernel configuration file for FreeBSD/i386
#
# For more information on this file, please read the handbook section on
# Kernel Configuration Files:
#
# http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/i386/conf/GENERIC,v 1.474.2.22.2.1 2010/02/10 00:26:20 kensmith Exp $
cpu I686_CPU
ident NODENY
# To statically compile in device wiring instead of /boot/device.hints
#hints "GENERIC.hints" # Default places to look for devices.
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options SCHED_ULE # ULE scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
#options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
options MD_ROOT # MD is a potential root device
options NFSCLIENT # Network Filesystem Client
options NFSSERVER # Network Filesystem Server
options NFSLOCKD # Network Lock Manager
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
#options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat [KEEP THIS!]
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
options KTRACE # ktrace(1) support
options STACK # stack(9) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options P1003_1B_SEMAPHORES # POSIX-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options ADAPTIVE_GIANT # Giant mutex is adaptive.
options STOP_NMI # Stop CPUS using NMI instead of IPI
options AUDIT # Security event auditing
#options KDTRACE_HOOKS # Kernel DTrace hooks
options INCLUDE_CONFIG_FILE # Include this file in kernel
# To make an SMP kernel, the next two lines are needed
options SMP # Symmetric MultiProcessor Kernel
device apic # I/O APIC
# CPU frequency control
device cpufreq
# Bus support.
device eisa
device pci
# Floppy drives
#device fdc
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives
device atapifd # ATAPI floppy drives
device atapist # ATAPI tape drives
options ATA_STATIC_ID # Static device numbering
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device kbdmux # keyboard multiplexer
device vga # VGA video card driver
device splash # Splash screen and screen saver support
# syscons is the default console driver, resembling an SCO console
device sc
device agp # support several AGP chipsets
# Power management support (see NOTES for more options)
#device apm
# Add suspend/resume support for the i8254.
device pmtimer
# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
device cbb # cardbus (yenta) bridge
device pccard # PC Card (16-bit) bus
device cardbus # CardBus (32-bit) bus
# Serial (COM) ports
device sio # 8250, 16[45]50 based serial ports
device uart # Generic UART driver
# Parallel port
device ppc
device ppbus # Parallel port bus (required)
device lpt # Printer
device plip # TCP/IP over parallel
device ppi # Parallel port interface device
#device vpo # Requires scbus and da
# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to sio, uart and/or ppc drivers):
#device puc
# PCI Ethernet NICs.
device de # DEC/Intel DC21x4x (``Tulip'')
device em # Intel PRO/1000 Gigabit Ethernet Family
device igb # Intel PRO/1000 PCIE Server Gigabit Family
device ixgb # Intel PRO/10GbE Ethernet Card
device le # AMD Am7900 LANCE and Am79C9xx PCnet
device txp # 3Com 3cR990 (``Typhoon'')
device vx # 3Com 3c590, 3c595 (``Vortex'')
# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device miibus # MII bus support
device age # Attansic/Atheros L1 Gigabit Ethernet
device alc # Atheros AR8131/AR8132 Ethernet
device ale # Atheros AR8121/AR8113/AR8114 Ethernet
device bce # Broadcom BCM5706/BCM5708 Gigabit Ethernet
device bfe # Broadcom BCM440x 10/100 Ethernet
device bge # Broadcom BCM570xx Gigabit Ethernet
device dc # DEC/Intel 21143 and various workalikes
device et # Agere ET1310 10/100/Gigabit Ethernet
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device jme # JMicron JMC250 Gigabit/JMC260 Fast Ethernet
device lge # Level 1 LXT1001 gigabit Ethernet
device msk # Marvell/SysKonnect Yukon II Gigabit Ethernet
device nfe # nVidia nForce MCP on-board Ethernet
device nge # NatSemi DP83820 gigabit Ethernet
#device nve # nVidia nForce MCP on-board Ethernet Networking
device pcn # AMD Am79C97x PCI 10/100 (precedence over 'le')
device re # RealTek 8139C+/8169/8169S/8110S
device rl # RealTek 8129/8139
device sf # Adaptec AIC-6915 (``Starfire'')
device sis # Silicon Integrated Systems SiS 900/SiS 7016
device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet
device ste # Sundance ST201 (D-Link DFE-550TX)
device stge # Sundance/Tamarack TC9021 gigabit Ethernet
device ti # Alteon Networks Tigon I/II gigabit Ethernet
device tl # Texas Instruments ThunderLAN
device tx # SMC EtherPower II (83c170 ``EPIC'')
device vge # VIA VT612x gigabit Ethernet
device vr # VIA Rhine, Rhine II
device wb # Winbond W89C840F
device xl # 3Com 3c90x (``Boomerang'', ``Cyclone'')
# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
device vlan # 802.1Q VLAN support
device sl # Kernel SLIP
device ppp # Kernel PPP
device tun # Packet tunnel.
device pty # Pseudo-ttys (telnet etc)
device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling
device faith # IPv6-to-IPv4 relaying (translation)
device firmware # firmware assist module
# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
device pf
device pflog
device pfsync
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
Название: Re: Помогите настроить nodeny
Отправлено: sl от 21 Сентября 2010, 11:03:30
попробуй в rc.conf добавить pf_rules="/etc/pf.conf" (и проверь путь)
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 21 Сентября 2010, 18:39:26
вот мой конфиг ifconfig_vr0="inet 192.168.0.102 netmask 255.255.255.0"
hostname="kommunar.local"
#local network
ifconfig_rl0="inet 10.0.0.1 netmask 255.255.255.0"
defaultrouter="192.168.0.2"
firewall_enable="YES"
fsck_y_enable="YES"
background_fsck="NO"
gateway_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
ipcad_enable="YES"
webmin_enable="YES"
nodeny_enable="YES"
nol2auth_enable="YES"
noserver_enable="YES"
dhcpd_enable="YES" # dhcpd enabled?
dhcpd_flags="-q" # command option(s)
#dhcpd_conf="/usr/local/nodeny/dhcpd.conf" # configuration file
dhcpd_ifaces="rl0" # ethernet interface(s)
named_enable="YES"
nomake_enable="YES"
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 21 Сентября 2010, 19:04:19
[root@kommunar /home/elhan]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on vr0 from 10.0.0.0/24 to any -> vr0
Название: Re: Помогите настроить nodeny
Отправлено: ser970 от 22 Сентября 2010, 20:24:47
[root@kommunar /home/elhan]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on vr0 from 10.0.0.0/24 to any -> vr0 какой днс на клиенте прописан? несколько человек тоторые ко мне обращались пытались получить инет прописывая на клиента днс апи сервера притом что там не настроен намед.
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 23 Сентября 2010, 21:59:14
Так на клиенте
днс 10.0.0.1
(http://)
Название: Re: Помогите настроить nodeny
Отправлено: ser970 от 24 Сентября 2010, 07:10:41
Так на клиенте
днс 10.0.0.1
(http://)
и шлюз 10,0,0,1 - это сервер на котором стоит билинг правильно? named поднят? думаю что нет. пробуй так ping 8.8.8.8 ответ должен быть а так ping mail.ru нет.
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 25 Сентября 2010, 15:23:09
Пинг от клиента есть [root@kommunar /home/elhan]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=56 time=38.529 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=38.424 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=38.653 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=38.620 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=56 time=38.456 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=56 time=38.616 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=56 time=38.537 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=56 time=39.479 ms
64 bytes from 8.8.8.8: icmp_seq=8 ttl=56 time=53.330 ms
^C
--- 8.8.8.8 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 38.424/40.294/53.330/4.619 ms
[root@kommunar /home/elhan]# ^C
[root@kommunar /home/elhan]# ping mail.ru
PING mail.ru (94.100.191.202): 56 data bytes
64 bytes from 94.100.191.202: icmp_seq=0 ttl=55 time=80.315 ms
64 bytes from 94.100.191.202: icmp_seq=1 ttl=55 time=78.655 ms
64 bytes from 94.100.191.202: icmp_seq=2 ttl=55 time=80.619 ms
64 bytes from 94.100.191.202: icmp_seq=3 ttl=55 time=80.629 ms
64 bytes from 94.100.191.202: icmp_seq=4 ttl=55 time=80.206 ms
64 bytes from 94.100.191.202: icmp_seq=5 ttl=55 time=80.384 ms
64 bytes from 94.100.191.202: icmp_seq=6 ttl=55 time=80.040 ms
^C
--- mail.ru ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 78.655/80.121/80.629/0.630 ms
Название: Re: Помогите настроить nodeny
Отправлено: ser970 от 25 Сентября 2010, 17:21:36
Пинг от клиента есть [root@kommunar /home/elhan]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=56 time=38.529 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=38.424 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=38.653 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=38.620 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=56 time=38.456 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=56 time=38.616 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=56 time=38.537 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=56 time=39.479 ms
64 bytes from 8.8.8.8: icmp_seq=8 ttl=56 time=53.330 ms
^C
--- 8.8.8.8 ping statistics ---
9 packets transmitted, 9 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 38.424/40.294/53.330/4.619 ms
[root@kommunar /home/elhan]# ^C
[root@kommunar /home/elhan]# ping mail.ru
PING mail.ru (94.100.191.202): 56 data bytes
64 bytes from 94.100.191.202: icmp_seq=0 ttl=55 time=80.315 ms
64 bytes from 94.100.191.202: icmp_seq=1 ttl=55 time=78.655 ms
64 bytes from 94.100.191.202: icmp_seq=2 ttl=55 time=80.619 ms
64 bytes from 94.100.191.202: icmp_seq=3 ttl=55 time=80.629 ms
64 bytes from 94.100.191.202: icmp_seq=4 ttl=55 time=80.206 ms
64 bytes from 94.100.191.202: icmp_seq=5 ttl=55 time=80.384 ms
64 bytes from 94.100.191.202: icmp_seq=6 ttl=55 time=80.040 ms
^C
--- mail.ru ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 78.655/80.121/80.629/0.630 ms
от какого клиента? я походу ослеп. єто клиент 8.8.8.8 или єто mail.ru? что ты называешь клиентом? ето я так понял сервак root@kommunar ? а где пинг с виндовса с виндовса в режиме авторизации (ключик или впн или что там у тебя ) запусти ping 193.193.193.100 и ping mail.ru стукни в аську
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 26 Сентября 2010, 05:04:09
ser970
Огромное спасибо,помог разобраться.
Теперь не могу понять,почему при входящем канале 10/10 мне через биллинг выдаёт 4/0.3,
в чём может быть причина.
Название: Re: Помогите настроить nodeny
Отправлено: stix от 26 Сентября 2010, 07:24:45
ser970
Огромное спасибо,помог разобраться.
Теперь не могу понять,почему при входящем канале 10/10 мне через биллинг выдаёт 4/0.3,
в чём может быть причина.
причем тут биллинг?
Название: Re: Помогите настроить nodeny
Отправлено: ser970 от 26 Сентября 2010, 10:33:55
ser970
Огромное спасибо,помог разобраться.
Теперь не могу понять,почему при входящем канале 10/10 мне через биллинг выдаёт 4/0.3,
в чём может быть причина.
причем тут биллинг? как меряешь?
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 26 Сентября 2010, 11:14:13
меряю через speedtest
если подключаюсь к серверу как клиент скорость одна,
напрямую втыкаю другая.
(http://)
(http://)
Название: Re: Помогите настроить nodeny
Отправлено: ser970 от 26 Сентября 2010, 12:52:17
меряю через speedtest
если подключаюсь к серверу как клиент скорость одна,
напрямую втыкаю другая.
tracert speedtest.net в виндовса. покаж тарифы покаж пайпы для клиента с которого проверяешь
Название: Re: Помогите настроить nodeny
Отправлено: elite от 26 Сентября 2010, 13:43:45
сделай себе тариф, в котором укажи в явном виде скорость 10 мбит - и будет тебе счастье ;)
а вообще доку читать надо
Название: Re: Помогите настроить nodeny
Отправлено: stix от 26 Сентября 2010, 13:51:51
сделай себе тариф, в котором укажи в явном виде скорость 10 мбит - и будет тебе счастье ;)
а вообще доку читать надо
каждый раз читая, нахожу какую то новую мелочь
Название: Re: Помогите настроить nodeny
Отправлено: VitalVas от 26 Сентября 2010, 18:28:23
каждый раз читая, нахожу какую то новую мелочь
так все и задумано.... ;D ;D ;D
Название: Re: Помогите настроить nodeny
Отправлено: elite от 26 Сентября 2010, 19:28:45
каждый раз читая, нахожу какую то новую мелочь
вот видишь, как полезно читать ;)
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 26 Сентября 2010, 20:24:23
Создал тариф ADMIN установил галочку на (для данного тарифа не осуществлять пропорциональное преобразование данных для новых клиентов, т.е. день начала потребления услуг будет установлен в ноль для таких клиентов) предоплаченный трафик, Мб !стоимость превышения, грн./Мб 1это всё что я отметил в этом тарифе. я понял так если в графе (Скорость, на которой будет предоставляться доступ в интернет. 0 либо пустое значение не ограничивает скорость.)тогда зачем мне тут прописывать скорость,если 0-не ограничивает скорость пайпы для клиента [root@kommunar /home/elhan]# ps -aux | grep nos
root 1459 0.0 0.4 9204 7176 ?? S< 9:15AM 0:07.32 perl noserver.pl
root 1321 0.0 0.1 3492 1400 con- I 9:15AM 0:00.00 sh go.sh noserver
[root@kommunar /home/elhan]# ipfw table 10 list | grep 10.0.0.4
10.0.0.4/32 1004
[root@kommunar /home/elhan]# ipfw pipe 1004 show
01004: 4.096 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 194.88.218.134/80 10.0.0.4/3769 2531 1959524 0 0 0
[root@kommunar /home/elhan]# ipfw pipe list
01005: 512.000 Kbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 10.0.0.4/3802 87.250.250.63/80 2306 377261 0 0 0
01004: 4.096 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 194.88.218.134/80 10.0.0.4/3769 2538 1959808 0 0 0
00001: unlimited 0 ms 50 sl. 0 queues (1 buckets) droptail
[root@kommunar /home/elhan]# ipfw pipe 1004 show
01004: 4.096 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 194.88.218.134/80 10.0.0.4/3769 2541 1959932 0 0 0
Название: Re: Помогите настроить nodeny
Отправлено: stix от 26 Сентября 2010, 20:26:16
стоимость превышения, грн./Мб 1 ??? я понял так если в графе (Скорость, на которой будет предоставляться доступ в интернет. 0 либо пустое значение не ограничивает скорость.)тогда зачем мне тут прописывать скорость,если 0-не ограничивает скорость чтобы увидеть это в пайпах. че ж ты такой ...
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 26 Сентября 2010, 20:37:51
stimels вы второй раз пишите,без пользы,лучше бы подсказали.
Читая форум я видел что и у вас возникало много вопросов.
Название: Re: Помогите настроить nodeny
Отправлено: Elisium от 26 Сентября 2010, 20:44:17
тогда зачем мне тут прописывать скорость,если 0-не ограничивает скорость Там есть нюанс, если скорость ЯВНО не прописана. п.с. читаем комменты к nofire.pl сделай себе тариф, в котором укажи в явном виде скорость 10 мбит - и будет тебе счастье ;)
а вообще доку читать надо
Название: Re: Помогите настроить nodeny
Отправлено: uchenik от 26 Сентября 2010, 20:51:27
Спасибо всё зделал ipfw pipe list
01005: 10.000 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 10.0.0.4/4646 72.21.81.133/80 10589 872517 0 0 0
01004: 10.000 Mbit/s 0 ms 50 sl. 1 queues (1 buckets) droptail
mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
0 tcp 72.21.81.133/80 10.0.0.4/4646 18386 26348270 0 0 0
00001: unlimited 0 ms 50 sl. 0 queues (1 buckets) droptail
Название: Re: Помогите настроить nodeny
Отправлено: kuhar от 02 Октября 2010, 10:23:36
У меня аналогичная сложность с доступом в инет для авторизированого пользователя. Когда вношу параметры в фаервол: #!/bin/sh -
f='/sbin/ipfw'
ifOut='rl0'
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 100 allow ip from any to any via lo0
${f} add 150 allow ip from me to any keep-state
${f} add 160 skipto 500 ip from any to me
${f} add 200 divert natd ip from any to any via ${ifOut}
${f} add 210 allow ip from any to any out
${f} add 300 allow ip from "table(0)" to any
${f} add 390 deny ip from any to any
${f} add 500 check-state
${f} add 510 skipto 700 ip from any to any via ${ifOut}
${f} add 520 allow icmp from any to any
${f} add 530 allow udp from any to any 53,7723
${f} add 540 allow tcp from any to any 80,443
${f} add 590 deny ip from any to any
${f} add 700 divert natd ip from any to any
${f} add 710 allow icmp from any to me
${f} add 720 deny ip from any to me
${f} add 730 allow ip from any to "table(0)"
${f} add 790 deny ip from any to any
Доступ блокируется, когда его вырубаеш то доступ есть. Что это может быть, какие неправильные параметры я вношу в фаервол?
Название: Re: Помогите настроить nodeny
Отправлено: kuhar от 02 Октября 2010, 13:34:31
Огромное спасибо ser970. Он помог разобраться с фаерволом)
|