|
sedo26
|
 |
« : 14 Октября 2012, 18:41:40 » |
|
Проблема с сателлитом на freebsd. Подключаются клиенты по pppoe - mpd5. В 10 таблицу фаера - добавляются при подключении, пайпы создаются. ipfw
00048 0 0 allow udp from any to me dst-port 1812
00049 0 0 allow udp from me 1812 to any
00050 18 980 allow tcp from any to me dst-port 22
00051 22 2216 allow tcp from me 22 to any
00052 0 0 allow udp from any to me dst-port 544
00053 0 0 allow udp from me 544 to any
00110 0 0 allow ip from any to any via lo0
00120 35 3952 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 44 28328 skipto 2000 ip from any to me
00200 8 415 skipto 500 ip from any to any via nfe0
00300 10 527 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv nfe0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 0 0 skipto 32500 ip from any to any in
00510 8 415 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 59 30169 allow tcp from any to any setup keep-state
01020 0 0 allow udp from any to any keep-state
01100 8 1432 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02050 0 0 deny ip from any to any via nfe0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 12 679 deny ip from any to any
05000 0 0 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 8 415 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 0 0 deny tcp from table(15) to any dst-port 25
05400 8 415 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 2 112 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 0 0 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 133383 28912532 allow ip from any to any
noserver.pl, nofire.pl - стандартный без изменений при очистке фаервола - в инет ходит, уже не знаю что и проверять дальше... |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
 Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #1 : 14 Октября 2012, 18:51:55 » |
|
что смущает?
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #2 : 14 Октября 2012, 20:24:40 » |
|
allow from any to any в конце фаера разрешает траф всем
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #3 : 14 Октября 2012, 21:07:39 » |
|
при rc.firewall и noserver из коробки должно все работать.
главное интерфейсы правильно поставь в rc.firewall
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #4 : 14 Октября 2012, 22:36:48 » |
|
при rc.firewall и noserver из коробки должно все работать.
вот и я про это говорю, что вроде по дефолту nofire.pl должен дописывать deny. Значит правил файлы, но как обычно "ничего не трогал и не менял"  |
|
|
|
|
Записан
|
|
|
|
|
sedo26
|
|
« Ответ #5 : 17 Октября 2012, 10:34:18 » |
|
Установил всё с 0, проблема таже осталась. Клиент pppoe правильный ip получает, в таблицах 10,11 ip добавляется, сателит с сервером биллинга общается нормально, но фаервол так и в инет не пускает. rl0 - в мир em0 - к клиентам nfe0 - связь с сервером биллинга ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:e0:1c:3c:d1:43
inet 10.10.151.10 netmask 0xffffff00 broadcast 10.10.151.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
ether 00:07:e9:0c:58:13
inet 172.16.0.2 netmask 0xffffff00 broadcast 172.16.0.255
inet 172.30.0.2 netmask 0xffffff00 broadcast 172.30.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8210b<RXCSUM,TXCSUM,VLAN_MTU,TSO4,WOL_MAGIC,LINKSTATE>
ether 00:26:18:b5:00:36
inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,txpause>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480
inet 172.16.0.3 --> 192.168.19.22 netmask 0xffffffff
ipfw www2# ipfw show
00050 112 11812 allow tcp from any to me dst-port 22
00051 86 13032 allow tcp from me 22 to any
00110 0 0 allow ip from any to any via lo0
00120 113 11234 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 177 84553 skipto 2000 ip from any to me
00200 160 15689 skipto 500 ip from any to any via em0
00300 160 11596 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv em0
00420 79 4688 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 160 15689 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 193 87626 allow tcp from any to any setup keep-state
01020 34 4185 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 1 56 allow icmp from any to any
02020 6 304 allow tcp from any to any dst-port 80,443
02050 0 0 deny ip from any to any via em0
02060 40 2524 allow udp from any to any dst-port 53,7723
02100 16 1092 deny ip from any to any
05000 0 0 deny ip from not table(0) to any out xmit nfe0
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 160 11596 skipto 5030 ip from any to not table(2)
05003 0 0 deny log ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any in recv ng*
05010 0 0 pipe tablearg ip from table(127) to any in recv ng*
05030 0 0 deny log tcp from table(15) to any dst-port 25
05400 140 8196 pipe tablearg ip from table(11) to any in recv ng*
32490 20 3400 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 142 13569 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20) out xmit ng*
33400 0 0 pipe tablearg ip from any to table(10) out xmit ng*
65535 160 15689 allow ip from any to any
ipfw table 10 list 192.168.19.22/32 1004
192.168.19.24/32 1008 |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #6 : 17 Октября 2012, 10:45:32 » |
|
но фаервол так и в инет не пускает. а нат проверял? |
|
|
|
|
Записан
|
|
|
|
|
sedo26
|
|
« Ответ #7 : 17 Октября 2012, 10:52:09 » |
|
Нат есть, если выгружаю фаервол -всё нормально работает, но соответственно без нодени правил pfctl -s nat
nat pass on nfe0 inet from 192.168.19.0/24 to any -> 192.168.1.10
|
|
|
|
« Последнее редактирование: 17 Октября 2012, 10:53:45 от sedo26 »
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #8 : 17 Октября 2012, 10:57:39 » |
|
ipcad установлен?
|
|
|
|
|
Записан
|
|
|
|
|
sedo26
|
|
« Ответ #9 : 17 Октября 2012, 11:00:13 » |
|
ipcad стоит, но статистику пока не сливает, не настроил ещё. Может из-за этого разве не пускать в мир?  |
|
|
|
|
Записан
|
|
|
|
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
Карма: 116
Offline
Сообщений: 1059
|
|
« Ответ #10 : 17 Октября 2012, 11:00:53 » |
|
мой внутренний телепат говорит, что нужно divert заменить на tee
и посмотреть sysctl -a net.inet.ip.fw.one_pass
должно быть 1
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #11 : 17 Октября 2012, 11:00:58 » |
|
дело в том, что у тебя divert стоит, он трафик туда отправляет убери его UPD: опередил ) без ipcad например работать не будет я вообще убрал и tee и divert [root@ar2 ~]# cat /usr/local/etc/ipcad.conf
capture-ports disable;
interface vlan500;
interface vlan501;
interface vlan502;
interface vlan503;
interface vlan504;
interface vlan505;
interface vlan506;
...... |
|
|
|
« Последнее редактирование: 17 Октября 2012, 11:04:42 от stimels »
|
Записан
|
|
|
|
|
sedo26
|
|
« Ответ #12 : 17 Октября 2012, 12:35:07 » |
|
ipcad - уже работает статистику сливает на сервер, но трафик в мир так и не побежал(или не вернулся с мира), и divert и tee и вообще правила удалял, не помогло, .... capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
interface em0;
rsh enable at 127.0.0.1;
rsh enable at 10.10.151.10;
rsh root@10.10.7.55 admin;
rsh root@127.0.0.1 admin;
rsh ttl = 254;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #13 : 17 Октября 2012, 12:44:10 » |
|
может в интерфейсах накосячил?
в алиасах скрипта
|
|
|
|
|
Записан
|
|
|
|
|
sedo26
|
|
« Ответ #14 : 17 Октября 2012, 12:47:46 » |
|
Без фаервола всё работает, алиасов пока нет. Уже не знаю где дальше искать проблему... Нашел, видать когда искал, всё под ряд менял, проблема была в #!/bin/sh -
f='/sbin/ipfw'
ifOut='nfe0'
было ifOut='em0' |
|
|
|
« Последнее редактирование: 17 Октября 2012, 12:52:21 от sedo26 »
|
Записан
|
|
|
|
|
