|
DenisNikolaich
|
 |
« Ответ #15 : 06 Июля 2018, 07:45:16 » |
|
Спасибо огромное многоуважаемый Cell, благодаря Вашим подсказкам я разобрался, теперь клиенский ПК работает через сателит под управлением NoDeny. Но остался еще один не решенный момент - перенаправление на заглушку.
|
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
 Offline
Сообщений: 1407
|
|
« Ответ #16 : 06 Июля 2018, 09:56:35 » |
|
Спасибо огромное многоуважаемый Cell, благодаря Вашим подсказкам я разобрался, теперь клиенский ПК работает через сателит под управлением NoDeny. Но остался еще один не решенный момент - перенаправление на заглушку.
Ну тут делать тоже самое что на основном серваке. |
|
|
|
|
Записан
|
|
|
|
|
DenisNikolaich
|
|
« Ответ #17 : 06 Июля 2018, 10:01:11 » |
|
Заглушку запускать на насе? И за unbound? Его на NAS надо настраивать, как по мануалу.
|
|
|
|
|
Записан
|
|
|
|
|
Pa4ka
|
|
« Ответ #18 : 06 Июля 2018, 10:50:50 » |
|
Заглушку запускать на насе? И за unbound? Его на NAS надо настраивать, как по мануалу.
unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних |
|
|
|
|
Записан
|
|
|
|
|
DenisNikolaich
|
|
« Ответ #19 : 06 Июля 2018, 11:37:04 » |
|
Огромное спасибо за помощь, вроде все удалось настроить и заглушку и доступ в инет под управлением нодени. Еще раз спасибо!!!
|
|
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #20 : 06 Июля 2018, 12:41:12 » |
|
unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних
кстати, почему так? разве не правильне держать отдельных 1-2 днс сервера |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #21 : 06 Июля 2018, 12:44:36 » |
|
unbound ставьте где вам удобнее, мы ставим по возможности на NAS, а ним форвардим на свой основной днс сервер и на несколько внешних
кстати, почему так? разве не правильне держать отдельных 1-2 днс сервера Через определенное количество лет ко мне пришло понимание что ДНС должны стоять отдельно и не быть связанны с NAS ))) объяснений существует великое множество, тут больше даже "мудрость предков" скорее важна ))) |
|
|
|
|
Записан
|
|
|
|
|
WideAreaNetwork
|
|
« Ответ #22 : 21 Марта 2021, 21:54:38 » |
|
Огромное спасибо за помощь, вроде все удалось настроить и заглушку и доступ в инет под управлением нодени. Еще раз спасибо!!!
если помните то напишите пожалуйста как решили вопрос с заглушкой |
|
|
|
|
Записан
|
|
|
|
|
WideAreaNetwork
|
|
« Ответ #23 : 27 Мая 2021, 07:32:27 » |
|
разделили все в одном на биллинг и нас, ОС на FreeBSD, с заглушкой не получается, точнее с правилом ipfw заглушка запущена на насе ps aux | grep cap | grep -v grep
root 7872 0.4 0.2 41632 25212 0 S 08:24 0:00.14 perl /usr/local/nodeny/nokernel.pl -m=cap -d если в ручную добавить правило на насе то работает, правда есть нюансы, о них потом ipfw add 18400 fwd 127.0.0.1,8080 tcp from any to any dst-port 80 добавляю его в rc.firewall cat /etc/rc.firewall | grep fwd
${f} add 18400 fwd 127.0.0.1,8080 tcp from any to any 80 и после ребута получаю отсутствие это правило в ipfw show, его там нету подскажите плиз как руки то выпрямить если в них дело? ЧЯДНТ ? или может кто поделится конфигами на насе для заглушки |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #24 : 28 Мая 2021, 00:41:47 » |
|
nofire.pm удаляет правила попадающие в диапазон $cfg::ipfw_num_out_start .. $cfg::ipfw_num_out_end и $cfg::ipfw_num_in_start .. $cfg::ipfw_num_in_end. По дефолту в конфиге: $ipfw_num_out_start = 5000; # начиная с этого номера будут идти правила фильтрации пакетов, идущих от клиентов
$ipfw_num_out_end = 32000;
$ipfw_num_in_start = 33000; # начиная с этого номера будут идти правила фильтрации пакетов, идущих к клиентам
$ipfw_num_in_end = 60000; попробуй в другое место поставить правило. Если не получится логически, то можно будет в nofire.pm запретить удалять правило именно с этим номером: if( ($num >= $cfg::ipfw_num_out_start && $num <= $cfg::ipfw_num_out_end) ||
($num >= $cfg::ipfw_num_in_start && $num <= $cfg::ipfw_num_in_end) ) на if( (($num >= $cfg::ipfw_num_out_start && $num <= $cfg::ipfw_num_out_end) ||
($num >= $cfg::ipfw_num_in_start && $num <= $cfg::ipfw_num_in_end)) && $num !=18400 ) но тут надо понимать, что 18400 это тупо где-то посредине окна, в котором динамически прописываются правила. Лучше куда-то под конец его вставить. Можно даже в коде где-то около: $M->{fw}{rules} .= 'add '.$M->{fw}{cursor_out2}++." deny ip from any to any\n";
$M->{fw}{rules} .= 'add '.$M->{fw}{cursor_in2}++." deny ip from any to any\n";
$M->{fw}{rules} .= 'add '.$cfg::ipfw_num_in_end." deny ip from any to any\n";
$M->{fw}{rules} .= 'add '.$cfg::ipfw_num_out_end." deny ip from any to any\n"Вообще, этот код писал кучу лет назад, может где-то ошибаюсь |
|
|
|
|
Записан
|
|
|
|
|
WideAreaNetwork
|
|
« Ответ #25 : 02 Июня 2021, 08:53:35 » |
|
спасибо, но но тогда интересно откуда правило для заглушки бралось когда было все в одном, вот сейчас на нем # ipfw show
00100 0 0 deny ip from table(102) to any
00110 50547 6155136 allow ip from any to any via lo0
00120 9158313 13203163485 skipto 1000 ip from me to any
00130 763 27468 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 4101528 256871745 skipto 2000 ip from any to me
00200 29091 8179412 skipto 500 ip from any to any { via vlan19 or via vlan34 }
00300 492749 157788856 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any { recv vlan19 or recv vlan34 }
00420 0 0 tee 1 ip from any to any
00450 0 0 tee 2 ip from any to any
00490 0 0 allow ip from any to any
00500 29091 8179412 skipto 32500 ip from any to any in
00510 0 0 tee 1 ip from any to any
00540 0 0 allow ip from any to any
01000 0 0 allow udp from any 53,7723 to any
01010 12425840 13151443991 allow tcp from any to any setup keep-state :default
01020 11784 1225146 allow udp from any to any keep-state :default
01100 373291 270637777 allow ip from any to any
02000 0 0 check-state :default
02010 103185 5819921 allow icmp from any to any
02020 196177 23083816 allow tcp from any to any 22,80,443,5006
02030 0 0 allow tcp from table(101) to any 3306
02050 115748 5517015 deny ip from any to any { via vlan19 or via vlan34 }
02060 0 0 allow udp from any to any 53,7723
02100 33816 2307564 deny ip from any to any
04500 0 0 allow ip from any to table(100)
05000 0 0 skipto 18502 ip from table(24) to table(14)
05001 0 0 allow ip from table(44) to table(14)
05002 0 0 skipto 18503 ip from table(21) to table(11)
05003 0 0 allow ip from table(41) to table(11)
18500 0 0 fwd 127.0.0.1,8080 tcp from any to any 80
18501 492723 157780517 deny ip from any to any
18502 0 0 pipe tablearg ip from table(24) to any
18503 0 0 pipe tablearg ip from table(21) to any
32000 0 0 deny ip from any to any
32490 26 8339 deny ip from any to any
32500 0 0 allow ip from table(100) to any
33000 0 0 skipto 46501 ip from table(14) to table(34)
33001 0 0 allow ip from table(14) to table(44)
33002 0 0 skipto 46502 ip from table(11) to table(31)
33003 0 0 allow ip from table(11) to table(41)
46500 29068 8172056 deny ip from any to any
46501 0 0 pipe tablearg ip from any to table(34)
46502 0 0 pipe tablearg ip from any to table(31)
60000 0 0 deny ip from any to any
65535 90 20433 deny ip from any to any 18500 0 0 fwd 127.0.0.1,8080 tcp from any to any 80 и его в rc.firewall нету # cat /etc/rc.firewall
#!/bin/sh -
f='/sbin/ipfw'
ifOut='vlan19 vlan34'
use_ipcad_divert=YES
ifVia=''
ifRecv=''
tmp_or=''
for i in $ifOut
do
ifVia="${ifVia}${tmp_or}via $i"
ifRecv="${ifRecv}${tmp_or}recv $i"
tmp_or=' or '
done
${f} -f flush
# dns
${f} table 100 add 8.8.8.8
#TurboSMS
${f} add 52 allow ip from 94.249.146.189 3306 to me via vlan19
${f} add 53 allow ip from me to 94.249.146.189 3306 via vlan19
${f} add 100 deny ip from "table(102)" to any
${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any { $ifVia }
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any { $ifRecv }
if [ $use_ipcad_divert ]; then
${f} add 420 tee 1 ip from any to any
${f} add 450 tee 2 ip from any to any
fi
${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in
if [ $use_ipcad_divert ]; then
${f} add 510 tee 1 ip from any to any
fi
${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any
${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 22,80,443,5006
${f} add 2030 allow tcp from "table(101)" to any 3306
${f} add 2050 deny ip from any to any { $ifVia }
${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 4500 allow ip from any to "table(100)"
${f} add 32490 deny ip from any to any
${f} add 32500 allow ip from "table(100)" to any |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #26 : 02 Июня 2021, 18:40:35 » |
|
А вот я нашел в конфиге: $forward_enabled = 0; # включить форвард неавторизованных клиентов на заглушку. Требует перекомпиляции ядра системы
$forward_port = 8080; # на какой порт форвардить |
|
|
|
|
Записан
|
|
|
|
|
WideAreaNetwork
|
|
« Ответ #27 : 15 Января 2022, 11:35:05 » |
|
хотел уточнить у тех кто реализовывал у себя заглушки на насе с ОС FreeBSD, сейчас есть биллинг 1.1.1.1 и нас 2.2.2.2 при разделении на биллинг и нас нужно ли тушить правило fwd на биллинге? сейчас получается правило форвардинга и на биллинге и на насе включено $forward_enabled = 1; # включить форвард неавторизованных клиентов на заглушку. Требует перекомпиляции ядра системы а спрашиваю, так как @Cell писал что делать надо локально, абонента на насе при перекидывании на заглушку кидает по адресу 1.1.1.1/cgi-bin/cap.pl?url=msftconnecttest.com/redirect разве не должно было быть как ниже? 2.2.2.2/cgi-bin/cap.pl?url=msftconnecttest.com/redirect сам модуль заглушки запущен на насе если добавлять второй нас то модуль заглушки нужно будет и на нем запускать? |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #28 : 15 Января 2022, 11:47:42 » |
|
фряха не умеет редиректить на другой хост, только на самого себя поэтому сколько брасов столько и заглушек нужно настраивать
|
|
|
|
|
Записан
|
|
|
|
|
WideAreaNetwork
|
|
« Ответ #29 : 15 Января 2022, 19:35:27 » |
|
спасибо
значит правило форварда включаем на насах, также на каждом запускаем заглушку cap.pl
|
|
|
|
|
Записан
|
|
|
|
|
