 Просмотр сообщений
|
|
Страниц: [1]
|
|
1
|
Главная категория / Nodeny 49 / Re: Сбор трафика
|
: 28 Ноября 2012, 09:54:56
|
Добавил рестартанул в ipfw show появилось 00099 98688 35918854 divert 1 ip from any to any
00100 104625347 55378393725 allow ip from any to any
Но статистику не ведет... |
|
|
|
|
2
|
Главная категория / Nodeny 49 / Сбор трафика
|
: 27 Ноября 2012, 12:00:01
|
Подскажите пожалуйста. Для сбора трафика использую ipcad. Имею стандартный конфиг фаервола #!/bin/sh -
f='/sbin/ipfw'
ifOut='em0'
${f} -f flush
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any via ${ifOut}
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 32490 deny ip from any to any
Но мне нужно просто разрешить все и собирать трафик.... Тоесть чтобы было #!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
но чтобы собирало трафик... |
|
|
|
|
5
|
Главная категория / Nodeny 49 / Re: Pf nat или firewall
|
: 25 Октября 2012, 16:16:42
|
по дефолту не рвет сессию.
#ClientAliveInterval 0
#ClientAliveCountMax 3
Да сам сервер не "рвет" сессию, а вот через него соединяюсь (он в роле шлюза) с другими серверами по ssh - начинает через некоторое время разрывать, если оставляешь неактивное окно putty. |
|
|
|
|
6
|
Главная категория / Nodeny 49 / Pf nat или firewall
|
: 25 Октября 2012, 16:00:45
|
|
Есть проблема. Не могу разобраться... Стандартный конфиг pf nat и firewall (как в документации к установке)
Происходит следующее. Соединяюсь с другими серверами по ssh и если ssh оставляю неактивным (занимаюсь другими делами), то он начинает просто "разрывать" сессию. Может быть какой-нибудь таймаут поставить?
|
|
|
|
|
7
|
Главная категория / Nodeny 49 / Re: Nodeny для сбора трафика.
|
: 11 Октября 2012, 11:07:33
|
Все поставил..... Просто на фирме я редко и если надо будет, что-то открыть (добавить порт в ipfw) то это будет проблематично, поэтому я везде все сделал allow #!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
Но нужно контролировать трафик.... |
|
|
|
|
8
|
Главная категория / Nodeny 49 / Nodeny для сбора трафика.
|
: 11 Октября 2012, 10:57:07
|
Добрый день. Ситуация такая. Хочу использовать Nodeny в качестве просмотра трафика от клиентов. от ipfw хочу отказаться -> #!/bin/sh -
f='/sbin/ipfw'
${f} add 100 allow ip from any to any
добавил такое правило. Добавил пользователя с ip 192.168.1.100 в биллинг, но детализации трафика нет. Подскажите, какие строки добавить в rc.firewall, чтобы биллинг детализировал трафик. Если в rc.firewall добавляю то что предлагает биллинг - rc.firewall все работает, но хотелось бы отказаться от ipfw. |
|
|
|
|
10
|
Главная категория / Nodeny 49 / Re: pfctl и внешний пинг
|
: 08 Октября 2012, 09:41:39
|
Отвечаю, какая ситуация. Есть старый роутер (FreeBSD - 10.25.1.1. Выключить я его не могу - работают люди). Цель - заменить его на более новый. Я беру новую "машину" (FreeBSD), присваиваю ей адрес - nf0 10.25.1.2 (255.255.255.0) и включаю ее в сеть, настраиваю. Далее, чтобы проверить работу биллинга (делаю свою подсеть) я вставляю новую сетевую карточку - rl0 и даю ip - 192.168.1.1 (255.255.255.0). У меня ноутбук, который подключен к роутеру (10.25.1.1) по вайфаю. Так вот с таким конфигом как - set limit states 128000
set optimization aggressive
nat pass on nfe0 from 10.25.1.0/8 to any -> nfe0
nat pass on nfe0 from 192.168.1.0/16 to any -> nfe0
Я с ноута не могу зайти на новую машину. А вот если подключусь на прямую к серверу, через сетевой кабель используя rl0 и дав ip 192.168.1.2, то все работает. Мне нужно чтобы я мог попадать на новую машину с обычной сети (там где у меня ip 10.25.1.161). Надеюсь я правильно выразился. |
|
|
|
|
11
|
Главная категория / Nodeny 49 / Re: pfctl и внешний пинг
|
: 08 Октября 2012, 09:25:26
|
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:02:2a:e3:04:e2
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (none)
status: no carrier
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
ether 00:1e:8c:1e:4d:d8
inet 10.25.1.2 netmask 0xffffff00 broadcast 10.25.1.255
media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,t xpause>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
|
|
|
|
|
13
|
Главная категория / Nodeny 49 / Re: pfctl и внешний пинг
|
: 08 Октября 2012, 09:09:55
|
Если быть точный, то на данный момент у меня две сетевые, одна - rl0 - 192.168.1.1, а вторая nfe0 - 10.25.1.2 (потому что сейчас сервер находится в локальной сети - настраиваю, в будущем он заменит основной (10.25.1.1)). set limit states 128000
set optimization aggressive
nat pass on nfe0 from 10.25.1.0/8 to any -> nfe0
nat pass on nfe0 from 192.168.1.0/16 to any -> nfe0
Подключаю ноутбук (192.168.1.2) через внутренюю сеть сервера (напрямую через кабель) пингует 192.168.1.1 (ssh и все другое работает). А вот если с "внешнего" ip (10.25.2.161 - ip ноутбука), то ни пинга ни ссш на 10.25.1.2 не идет, пока не сделаю pfctl -d, но это не выход  |
|
|
|
|
14
|
Главная категория / Nodeny 49 / pfctl и внешний пинг
|
: 08 Октября 2012, 09:02:44
|
Добрый день. Есть стандартное правило set limit states 128000
set optimization aggressive
nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on em0 from 192.168.0.0/16 to any -> em0
Из локальной сети все нормально пингуется, а вот с внешней нет. Подскажите что добавить? |
|
|
|
|
