Биллинговая система Nodeny
23 Ноября 2024, 07:12:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Nodeny сателлит, проблема с firewall  (Прочитано 10050 раз)
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« : 14 Октября 2012, 18:41:40 »

Проблема с сателлитом на freebsd.
Подключаются клиенты по pppoe - mpd5.
В 10 таблицу фаера - добавляются при подключении,
пайпы создаются.

ipfw
Код:

00048      0        0 allow udp from any to me dst-port 1812
00049      0        0 allow udp from me 1812 to any
00050     18      980 allow tcp from any to me dst-port 22
00051     22     2216 allow tcp from me 22 to any
00052      0        0 allow udp from any to me dst-port 544
00053      0        0 allow udp from me 544 to any
00110      0        0 allow ip from any to any via lo0
00120     35     3952 skipto 1000 ip from me to any
00130      0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160     44    28328 skipto 2000 ip from any to me
00200      8      415 skipto 500 ip from any to any via nfe0
00300     10      527 skipto 4500 ip from any to any in
00400      0        0 skipto 450 ip from any to any recv nfe0
00420      0        0 divert 1 ip from any to any
00450      0        0 divert 2 ip from any to any
00490      0        0 allow ip from any to any
00500      0        0 skipto 32500 ip from any to any in
00510      8      415 divert 1 ip from any to any
00540      0        0 allow ip from any to any
01000      0        0 allow udp from any 53,7723 to any
01010     59    30169 allow tcp from any to any setup keep-state
01020      0        0 allow udp from any to any keep-state
01100      8     1432 allow ip from any to any
02000      0        0 check-state
02010      0        0 allow icmp from any to any
02020      0        0 allow tcp from any to any dst-port 80,443
02050      0        0 deny ip from any to any via nfe0
02060      0        0 allow udp from any to any dst-port 53,7723
02100     12      679 deny ip from any to any
05000      0        0 deny ip from not table(0) to any
05001      0        0 skipto 5010 ip from table(127) to table(126)
05002      8      415 skipto 5030 ip from any to not table(2)
05003      0        0 deny ip from any to not table(1)
05004      0        0 pipe tablearg ip from table(21) to any
05005      0        0 deny ip from any to any
05010      0        0 pipe tablearg ip from table(127) to any
05030      0        0 deny tcp from table(15) to any dst-port 25
05400      8      415 pipe tablearg ip from table(11) to any
32000      0        0 deny ip from any to any
32490      2      112 deny ip from any to any
33000      0        0 pipe tablearg ip from table(126) to table(127)
33001      0        0 skipto 33010 ip from not table(2) to any
33002      0        0 pipe tablearg ip from any to table(20)
33003      0        0 deny ip from any to any
33400      0        0 pipe tablearg ip from any to table(10)
65535 133383 28912532 allow ip from any to any

noserver.pl, nofire.pl - стандартный без изменений
при очистке фаервола - в инет ходит,

уже не знаю что и проверять дальше...
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #1 : 14 Октября 2012, 18:51:55 »

что смущает?
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #2 : 14 Октября 2012, 20:24:40 »

allow from any to any в конце фаера разрешает траф всем
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #3 : 14 Октября 2012, 21:07:39 »

при rc.firewall и noserver из коробки должно все работать.
главное интерфейсы правильно поставь в rc.firewall
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #4 : 14 Октября 2012, 22:36:48 »

при rc.firewall и noserver из коробки должно все работать.
вот и я про это говорю, что вроде по дефолту nofire.pl должен дописывать deny. Значит правил файлы, но как обычно "ничего не трогал и не менял" Улыбающийся
Записан
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« Ответ #5 : 17 Октября 2012, 10:34:18 »

Установил всё с 0, проблема таже осталась. Клиент pppoe правильный ip получает, в таблицах 10,11 ip добавляется, сателит с сервером биллинга общается нормально, но фаервол так и в инет не пускает.

rl0 - в мир
em0 - к клиентам
nfe0 - связь с сервером биллинга

ifconfig
Код:
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:e0:1c:3c:d1:43
        inet 10.10.151.10 netmask 0xffffff00 broadcast 10.10.151.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:07:e9:0c:58:13
        inet 172.16.0.2 netmask 0xffffff00 broadcast 172.16.0.255
        inet 172.30.0.2 netmask 0xffffff00 broadcast 172.30.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8210b<RXCSUM,TXCSUM,VLAN_MTU,TSO4,WOL_MAGIC,LINKSTATE>
        ether 00:26:18:b5:00:36
        inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex,flowcontrol,rxpause,txpause>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1480
        inet 172.16.0.3 --> 192.168.19.22 netmask 0xffffffff

ipfw
Код:
www2# ipfw show
00050 112 11812 allow tcp from any to me dst-port 22
00051  86 13032 allow tcp from me 22 to any
00110   0     0 allow ip from any to any via lo0
00120 113 11234 skipto 1000 ip from me to any
00130   0     0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 177 84553 skipto 2000 ip from any to me
00200 160 15689 skipto 500 ip from any to any via em0
00300 160 11596 skipto 4500 ip from any to any in
00400   0     0 skipto 450 ip from any to any recv em0
00420  79  4688 divert 1 ip from any to any
00450   0     0 divert 2 ip from any to any
00490   0     0 allow ip from any to any
00500 160 15689 skipto 32500 ip from any to any in
00510   0     0 divert 1 ip from any to any
00540   0     0 allow ip from any to any
01000   0     0 allow udp from any 53,7723 to any
01010 193 87626 allow tcp from any to any setup keep-state
01020  34  4185 allow udp from any to any keep-state
01100   0     0 allow ip from any to any
02000   0     0 check-state
02010   1    56 allow icmp from any to any
02020   6   304 allow tcp from any to any dst-port 80,443
02050   0     0 deny ip from any to any via em0
02060  40  2524 allow udp from any to any dst-port 53,7723
02100  16  1092 deny ip from any to any
05000   0     0 deny ip from not table(0) to any out xmit nfe0
05001   0     0 skipto 5010 ip from table(127) to table(126)
05002 160 11596 skipto 5030 ip from any to not table(2)
05003   0     0 deny log ip from any to not table(1)
05004   0     0 pipe tablearg ip from table(21) to any in recv ng*
05010   0     0 pipe tablearg ip from table(127) to any in recv ng*
05030   0     0 deny log tcp from table(15) to any dst-port 25
05400 140  8196 pipe tablearg ip from table(11) to any in recv ng*
32490  20  3400 deny ip from any to any
33000   0     0 pipe tablearg ip from table(126) to table(127)
33001 142 13569 skipto 33010 ip from not table(2) to any
33002   0     0 pipe tablearg ip from any to table(20) out xmit ng*
33400   0     0 pipe tablearg ip from any to table(10) out xmit ng*
65535 160 15689 allow ip from any to any

ipfw table 10 list
Код:
192.168.19.22/32 1004
192.168.19.24/32 1008

Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #6 : 17 Октября 2012, 10:45:32 »

Цитировать
но фаервол так и в инет не пускает.
а нат проверял?
Записан
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« Ответ #7 : 17 Октября 2012, 10:52:09 »

Нат есть, если выгружаю фаервол -всё нормально работает, но соответственно без нодени правил

Код:
 pfctl -s nat
nat pass on nfe0 inet from 192.168.19.0/24 to any -> 192.168.1.10
« Последнее редактирование: 17 Октября 2012, 10:53:45 от sedo26 » Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #8 : 17 Октября 2012, 10:57:39 »

ipcad установлен?
Записан
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« Ответ #9 : 17 Октября 2012, 11:00:13 »

ipcad стоит, но статистику пока не сливает, не настроил ещё. Может из-за этого разве не пускать   в мир?Непонимающий
Записан
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
*

Карма: 116
Offline Offline

Сообщений: 1059



Просмотр профиля
« Ответ #10 : 17 Октября 2012, 11:00:53 »

мой внутренний телепат говорит, что нужно divert заменить на tee
и посмотреть sysctl -a net.inet.ip.fw.one_pass
должно быть 1
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #11 : 17 Октября 2012, 11:00:58 »

дело в том, что у тебя divert стоит, он трафик туда отправляет
убери его

UPD: опередил )
без ipcad например работать не будет

я вообще убрал и tee и divert

Код:
[root@ar2 ~]# cat /usr/local/etc/ipcad.conf

capture-ports disable;
interface vlan500;
interface vlan501;
interface vlan502;
interface vlan503;
interface vlan504;
interface vlan505;
interface vlan506;
......
« Последнее редактирование: 17 Октября 2012, 11:04:42 от stimels » Записан
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« Ответ #12 : 17 Октября 2012, 12:35:07 »

ipcad - уже работает статистику сливает на сервер, но трафик в мир так и не побежал(или не вернулся с мира), и divert и tee и вообще правила удалял, не помогло, ....

Код:
capture-ports disable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
interface em0;
rsh enable at 127.0.0.1;
rsh enable at 10.10.151.10;
rsh root@10.10.7.55 admin;
rsh root@127.0.0.1 admin;
rsh ttl = 254;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #13 : 17 Октября 2012, 12:44:10 »

может в интерфейсах накосячил?
в алиасах скрипта
Записан
sedo26
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 100


Просмотр профиля Email
« Ответ #14 : 17 Октября 2012, 12:47:46 »

Без фаервола всё работает, алиасов пока нет. Уже не знаю где дальше искать проблему...


Нашел, видать когда искал, всё под ряд менял, проблема была в
Код:
#!/bin/sh -
f='/sbin/ipfw'

ifOut='nfe0'

было ifOut='em0'
« Последнее редактирование: 17 Октября 2012, 12:52:21 от sedo26 » Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!