помогите с rc.fierwall

[borgoff]

rc.fierwall отредактировал как написано в документации, далее вижу : "Если получаем сообщение об ошибке примерно такое:
ipfw: getsockopt(IP_FW_ADD): Invalid argument
- ядро не скомпилировано с опцией IPDIVERT, не страшно - подгрузим как модуль ядра"
действительно есть такое сообщение. но при попытке выполнить kldload ipdivert.ko получаю сообщение "ipfw2 initialized, divert loadable, nat loadable, rule-based forwarding disable, default to deny, loging disable"
после чего отрубаются все сетевые интерфейсы!!! что делать помогите!

[serojperoj]

покажи

Код:

ipfw list

Код:

pfctl -sa

[borgoff]

ipfw: getsockopt(IP_FW_GET): Protocol not available
pfctl: /dev/pf: No such file or directory
 

[serojperoj]

Код:

kldload ipfw

Код:

sysctl -a |grep net.inet.ip.fw.enable

и убедится что = 1

и сного

Код:

ipfw list

[borgoff]

та же фигня после "kldload ipfw" рубит все сетевые интерфейсы!

[serojperoj]

добавь

Код:

ee /boot/loader.conf

ipfw_load="YES"

Код:

ee /etc/rc.conf

firewall_enable="YES"

Код:

ee /etc/rc.local

ipfw add 1 allow ip from any to any

и ребут!

[borgoff]

спс, это вроде помогло! теперь если можно помогите разобраться дальше. Проблема в том что этот сервак сейчас работает роутером в рабочей сетке. Как настроить rc.fierwall чтоб он не банил нынешних абонентов и при этом проверить его работоспособность на ком-то одном? Нужно в часности протестить VPN сервак, смогут ли клиенты к нему конектится! вот мой rc.fierwall:

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='nfe0'

#${f} -f flush

#${f} add 50 allow tcp from any to me 22
#${f} add 51 allow tcp from me 22 to any

#${f} add 110 allow ip from any to any via lo0
#${f} add 120 skipto 1000 ip from me to any
#${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#${f} add 160 skipto 2000 ip from any to me

#${f} add 200 skipto 500 ip from any to any via ${ifOut}

#${f} add 300 skipto 4500 ip from any to any in

#${f} add 400 skipto 450 ip from any to any recv ${ifOut}
#${f} add 420 divert 1 ip from any to any
#${f} add 450 divert 2 ip from any to any
#${f} add 490 allow ip from any to any

#${f} add 500 skipto 32500 ip from any to any in
#${f} add 510 divert 1 ip from any to any
#${f} add 540 allow ip from any to any


#${f} add 1000 allow udp from any 53,7723 to any
#${f} add 1010 allow tcp from any to any setup keep-state
#${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

#${f} add 2000 check-state
#${f} add 32490 deny ip from any to any

${f} add 501 allow gre from any to any

что надо раскоментить что добавить что удалить
(в данный момент радиус и впн сервак поставлены и настроены как указано в документации, но коннект виснет на проверке логина и пароля)
заранее спасибо!
З.Ы. не злитесь за глупые вопросы я с freebsd работаю впервые в жизни

[serojperoj]

в доках нодени есть готовый пример для твоей задачи. просто скопируй в rc.firewall

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='em0'    

# Сети, в/из которых трафик блокируем
${f} table 120 flush
${f} table 120 add 224.0.0.0/4
${f} table 120 add 192.168.0.0/16
${f} table 120 add 172.16.0.0/12

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 100 deny tcp from any to any 445

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723


${f} add 2100 deny ip from any to any


${f} add 32490 deny ip from any to any

меняй ifOut='em0'  на интерфейс каторый смотрит в мир

и вместо

Код:

${f} add 501 allow gre from any to any

Код:

${f} add 2030 allow gre from any to any

но и не забиваем про pf nat

natd не запущен, предусматривается, что запущен pf nat. Настраивается довольно просто:

bash# ee /etc/pf.conf

nat pass on em0 from 10.0.0.0/8 to any -> em0

bash# pfctl -N -f /etc/pf.conf
pfctl: /dev/pf: No such file or directory

bash# kldload pf.ko
bash# pfctl -N -f /etc/pf.conf
bash# pfctl -e
bash# echo pf_load=\"YES\" >> /boot/loader.conf
bash# echo pf_enable=\"YES\" >> /etc/rc.conf

и ipdivert_load="YES" в /boot/loader.conf

Код:

nat pass on em0 from 10.0.0.0/8 to any -> em0

em0 тож не забудь поменять
если для VPN исползуешь другую сетку - соответственно

Код:

nat pass on em0 from 192.168.0.0/16 to any -> em0

P.S. в конце удали

Код:

ee /etc/rc.local

ipfw add 1 allow ip from any to any

и убедись что

Код:

sysctl -a | grep net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1

[borgoff]

ну вроде все просто, ночью буду пробовать, а то каждый раз как включаю фаервол ложится нынешняя сеть, и начальник как-то странно косится на мою зарплату...

[borgoff]

Строили строили и наконец... все равно не пашет При попытке подключения VPN по PPTP с клиентской машины, говорит что такие логин и пароль не допустимы в данном домене Подскажите что делать?

P.S. в данный момент радиус и впн сервак поставлены и настроены как указано в документации, логин и пароль существуют в базе!

[goletsa]

radtest'ом проверяли радиус сервер?
В настройах впн(мпд5?) сервера параметры связи верно указаны?

[borgoff]

радтестом проверял, vpn(mpd5!) все как в документации. вот лог радиуса, мне кажется я где-то напартачил с sql.

Код:

rad_recv: Access-Request packet from host 127.0.0.1:57865, id=143, length=258
        NAS-Identifier = "www.ua"
        NAS-IP-Address = 127.0.0.1
        Message-Authenticator = 0x226bccec9cd44fa316c6364370e5d178
        Acct-Session-Id = "6016526-L-1"
        NAS-Port = 1
        NAS-Port-Type = Virtual
        Service-Type = Framed-User
        Framed-Protocol = PPP
        Calling-Station-Id = ""
        Called-Station-Id = ""
        Vendor-12341-Attr-12 = 0x4c2d31
        Tunnel-Type:0 = PPTP
        Tunnel-Medium-Type:0 = IPv4
        Tunnel-Server-Endpoint:0 = "192.168.0.100"
        Tunnel-Client-Endpoint:0 = "192.168.3.16"
        Tunnel-Server-Auth-Id:0 = "www.ua"
        User-Name = "borgoff"
        MS-CHAP-Challenge = 0xbb1e689a20d457d7bc83fc57c45ea752
        MS-CHAP2-Response = 0x0100808497fcc3899d2dbe1612cd8d183dd40000000000000000432f2986dba9ef93e57e74395bac5a163f2bee0d63420a17
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 2
  modcall[authorize]: module "preprocess" returns ok for request 2
  modcall[authorize]: module "chap" returns noop for request 2
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
  modcall[authorize]: module "mschap" returns ok for request 2
    rlm_realm: No '@' in User-Name = "borgoff", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "suffix" returns noop for request 2
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 2
    users: Matched entry DEFAULT at line 172
    users: Matched entry DEFAULT at line 184
  modcall[authorize]: module "files" returns ok for request 2
radius_xlat:  'borgoff'
rlm_sql (sql): sql_set_user escaped user --> 'borgoff'
radius_xlat:  'call radcheck('')'
rlm_sql (sql): Reserving sql socket id: 2
rlm_sql_mysql: MYSQL check_error: 1305 received
rlm_sql_getvpdata: database query error
rlm_sql (sql): SQL query error; rejecting user
rlm_sql (sql): Released sql socket id: 2
  modcall[authorize]: module "sql" returns fail for request 2
modcall: leaving group authorize (returns fail) for request 2
Finished request 2
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 2 ID 143 with timestamp 4add4a8e
Nothing to do.  Sleeping until we see a request.

подскажите где тут собака зарыта?

[Efendy]

Из этого топика выяснил:

- с freebsd работает впервые в жизни
- получает за это зарплату
- использует бесплатную версию nodeny
- не пользуется поиском, только задает вопросы

Вот молодежь пошла)

[borgoff]

я конечно дико извиняюсь, но надо же как-то учиться, а зараплату я получаю за другую работу(протяжка, сварка оптики и т.п.), это у меня так сказать перспективное хобби 

[elite]

Из этого топика выяснил:

- с freebsd работает впервые в жизни
- получает за это зарплату
- использует бесплатную версию nodeny
- не пользуется поиском, только задает вопросы

Вот молодежь пошла)

ВоТ, Стас, к чему приводит бесплатная версия nodeny! Помню времена 44-45 версии, когда еще был старый форум, так там таких топиков и близко не было!