|
xboctehko
Гость
|
 |
« : 28 Августа 2017, 20:31:17 » |
|
Добрый вечер.
Настроил новый nas сервер.
к бд подключается .фаервол , нат - ок . проблема с заглушкой -редиректит все время на Доступ в интернет открыт .В адресной строке введите нужный вам сайт .
ps ax | grep nodeny | grep pl | grep -v grep
2625 v0- S 10:26.41 /usr/bin/perl /usr/local/nodeny/noserver.pl -d
2626 v0- R 53:19.05 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap -d
2627 v0- S 0:08.65 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=collectors -d
perl nokernel.pl -L
Start. Flag -h for help
loading /usr/local/nodeny/sat.cfg
MODULE AUTORUN?
balance YES
cap YES
auth -
system_check YES
make_config -
authtraf -
websession YES
dhcp YES
system_clean YES
tmppays YES
services YES
authserver -
collectors YES
прошу напомнить что и где не сделала. спасибо
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #1 : 29 Августа 2017, 10:23:45 » |
|
1) У тебя раздвоение пола "настроил" и "сделала"?
2) Новый нас - это дополнительный сервер к основному или вообще новая сеть с одним сервером?
Если это дополнительный сервер:
3) ядро не нужно запускать вообще, только noserver
4) В этот момент абону должен был открыт или закрыт доступ в инет?
5) Покажи ipfw show
|
|
|
|
|
Записан
|
|
|
|
|
xboctehko
Гость
|
|
« Ответ #2 : 29 Августа 2017, 13:16:37 » |
|
1.с телефона т9 помог)
2.дополнительный сервер к основному
3.Так ядро и не запущено только
2625 v0- S 10:26.41 /usr/bin/perl /usr/local/nodeny/noserver.pl -d
и заглушка
4.новое подключение - кидает на получить доступ в интернет , после ввода логина пароль пускает в лк ( получаю приветствие что зарегистрирован в системе ) .Дальше при открытии любой страницы попадаю на Доступ в интернет открыт .В адресной строке введите нужный вам сайт .
5.
ipfw show
00042 0 0 allow udp from any to me dst-port 161
00043 0 0 allow udp from me 161 to any
00044 0 0 allow tcp from me 161 to any
00045 0 0 allow tcp from any to me dst-port 161
00050 100 8788 allow tcp from any to me dst-port 22
00051 65 10986 allow tcp from me 22 to any
00110 40 4240 allow ip from any to any via lo0
00120 2795 157008 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 5181 7396268 skipto 2000 ip from any to me
00200 0 0 skipto 500 ip from any to any via igb0
00300 0 0 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv igb0
00420 0 0 divert 1 ip from any to any
00450 0 0 divert 2 ip from any to any
00490 0 0 allow ip from any to any
00500 0 0 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 7516 7382044 allow tcp from any to any setup keep-state
01020 440 165312 allow udp from any to any keep-state
01100 0 0 allow ip from any to any
02000 0 0 check-state
02010 0 0 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 22,80,443,5006,8000-9999
02030 0 0 allow ip from table(101) to any
02030 0 0 allow ip from table(101) to any
02030 0 0 allow tcp from table(101) to any dst-port 3306
02050 20 5920 deny ip from any to any via igb0
02060 0 0 allow udp from any to any dst-port 53,7723
02100 0 0 deny ip from any to any
04500 0 0 allow ip from any to table(100)
18500 0 0 fwd 127.0.0.1,8080 tcp from any to any dst-port 80
18501 0 0 deny ip from any to any
32000 0 0 deny ip from any to any
32490 0 0 deny ip from any to any
32500 0 0 allow ip from table(100) to any
46500 0 0 deny ip from any to any
60000 0 0 deny ip from any to any
65535 1 52 deny ip from any to any
|
|
|
|
|
Записан
|
|
|
|
|
cojiict
|
|
« Ответ #3 : 29 Августа 2017, 14:16:25 » |
|
ipfw table 21 list |grep ір_клієнта |
|
|
|
|
Записан
|
|
|
|
|
xboctehko
Гость
|
|
« Ответ #4 : 29 Августа 2017, 15:03:57 » |
|
ipfw table 21 list |grep 10.0.29.5
10.0.29.5/32 21021
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #5 : 29 Августа 2017, 15:30:32 » |
|
У тебя в фаерволе нет правил с таблицей 21 - их должен создавать noserver -> nofire. Скорее всего не создает из-за того, что у тебя в настройках в разделе "сети" не создана запись "0.0.0.0/0 интернет"
|
|
|
|
|
Записан
|
|
|
|
|
xboctehko
Гость
|
|
« Ответ #6 : 29 Августа 2017, 20:41:00 » |
|
да спасибо так и есть. хоть и не крутил его , теперь буду знать и о 21 таблице и о связанности .благодарен всем за ответ
|
|
|
|
|
Записан
|
|
|
|
Bars
Пользователь
Карма: 0
 Offline
Сообщений: 68
|
|
« Ответ #7 : 23 Ноября 2017, 17:30:39 » |
|
Все перерыл...
подскажите где мануал по настройке NAS?
|
|
|
|
|
Записан
|
|
|
|
|
|
Bars
Пользователь
Карма: 0
Offline
Сообщений: 68
|
|
« Ответ #9 : 27 Ноября 2017, 14:11:52 » |
|
настроено на NASе:
1.Установлена FreeBSD sat 11.1-RELEASE FreeBSD 11.1-RELEASE #0 r321309
2. настроено соединение sat - DB NoDeny привилегия SELECT
3. настроен NAT, локальный dns
4. установлен apache24
5. на standalone добавлен пул 10.20.30.0/24 с тегом sat
@sat /usr/local/nodeny]# ipfw list
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via em0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv em0
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state :default
01020 allow udp from any to any keep-state :default
01100 allow ip from any to any
02000 check-state :default
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 22,80,443,5006
02030 allow tcp from table(101) to any dst-port 3306
02050 deny ip from any to any via em0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
04500 allow ip from any to table(100)
32490 deny ip from any to any
32500 allow ip from table(100) to any
32600 fwd 1.1.1.1,8080 tcp from any to any dst-port 80
65535 deny ip from any to any
На НАСе запущено
/usr/local/nodeny/noserver.pl -d
/usr/local/nodeny/nokernel.pl -m=cap -d
В настройках в разделе "сети" запись "0.0.0.0/0 интернет" присутствует
Клиент прописан статикой
ipfw table 21 list |grep 10.20.30.40
10.20.30.40/32 49291
при попытке выйти в инет перенаправляет на заглушку.
при открытом доступе - "Доступ в инет разрешен введите адрес"
при закрытом по задолженности - " На счету -ХХ оплатите или бла бла бла.
Подскажите куда копать.
|
|
|
|
|
Записан
|
|
|
|
|
Gosha
|
|
« Ответ #10 : 28 Ноября 2017, 12:00:13 » |
|
"Если учетная запись находится в состоянии «на подключении», то при заходе на клиентскую статистику, будут запрошены следующие данные (указать имена полей в БД). В конце имени поля поставьте восклицательный знак, если необходимо, чтобы поле было обязательно к заполнению"
Может это блокирует? "при открытом доступе - "Доступ в инет разрешен введите адрес""
|
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #11 : 28 Ноября 2017, 12:08:32 » |
|
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via em0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv em0
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state :default
01020 allow udp from any to any keep-state :default
01100 allow ip from any to any
02000 check-state :default
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 22,80,443,5006
02030 allow tcp from table(101) to any dst-port 3306
02050 deny ip from any to any via em0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
04500 allow ip from any to table(100)
32490 deny ip from any to any
32500 allow ip from table(100) to any
32600 fwd 1.1.1.1,8080 tcp from any to any dst-port 80
65535 deny ip from any to any
нету правил NAS то что есть айпи в таблице безтолку, если в фаере нету правил для этой таблици скорее всего фаер был перечитан после запуска noservera. или запустить noserver с ключем v |
|
|
|
|
Записан
|
|
|
|
Bars
Пользователь
Карма: 0
Offline
Сообщений: 68
|
|
« Ответ #12 : 29 Ноября 2017, 10:16:09 » |
|
Добавлены правила для NAS
04501 allow ip from table(21) to any
32501 allow ip from any to table(31)
noserver.pl -v
Fw On uid: 19888, ip: 10.20.30.40, вх.скор: 1000 КБит/с
delete 18500
delete 18501
delete 32000
delete 46500
delete 60000
add 18500 fwd 127.0.0.1, 8080 tcp from any to any 80
add 18501 deny ip from any to any
add 46500 deny ip from any to any
add 60000 deny ip from any to any
add 32000 deny ip from any to any
pipe 1006 config bw 1000000bit/s
pipe 1001 config bw 500000bit/s
table 31 add 10.20.30.40 1006
table 21 add 10.20.30.40 1001
Доступ в инет работает.
скорость согласно условиям тарифа НЕ режет
kldstat -v | grep -E "(dive|dumm)"
251 dummy
4 1 0xffffffff81a35000 8590 ipdivert.ko (/boot/kernel/ipdivert.ko)
3 ipdivert
5 1 0xffffffff81a3e000 19aa0 dummynet.ko (/boot/kernel/dummynet.ko)
4 dummynet
|
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #13 : 29 Ноября 2017, 10:42:38 » |
|
Добавлены правила для NAS
04501 allow ip from table(21) to any
32501 allow ip from any to table(31)
то есть вы разрешили этими правилами без ограничения, что и получили тогда это к чему ? pipe 1006 config bw 1000000bit/s
pipe 1001 config bw 500000bit/s
то что етсь пайпы в системе , не означает что они будут работать = нет правил для них З.Ы. noserver при старте сам добавляет правила |
|
|
|
|
Записан
|
|
|
|
|
