Nodeny Не пускает авторизованных пользователей в глобальную сеть!

[boomer666]

Доброе время суток!
Настраивал Nodeny всё по мануалу! Скачивал готовый образ настойной системы как на писано всё работает  !

Не пускает авторизованных пользователей в глобальную сеть!

Помогите разобраться… :

[Efendy]

Доброе время суток!
Настраивал Nodeny всё по мануалу! Скачивал готовый образ настойной системы как на писано всё работает  !

Не пускает авторизованных пользователей в глобальную сеть!

Помогите разобраться… :

ifconfig
ipfw show
ipfw tabel 10 list
какой ip авторизован в данный момент? ключик в админке есть?
ps ax | grep pl

[boomer666]

в админки ключик горит зелёным ip 10.1.2.4
ifconfig
sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:14:2a:1d:7a:cb
        inet 10.1.1.3 netmask 0xffffff00 broadcast 10.1.1.255
        media: Ethernet autoselect (none)
        status: no carrier
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:a1:b0:11:ad:c4
        inet 10.1.2.1 netmask 0xffffff00 broadcast 10.1.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

ipfw show
00001 33398 2365849 allow ip from any to any
00050     0       0 allow tcp from any to me dst-port 22
00051     0       0 allow tcp from me 22 to any
00110     0       0 allow ip from any to any via lo0
00120     0       0 skipto 1000 ip from me to any
00130     0       0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160     0       0 skipto 2000 ip from any to me
00200     0       0 skipto 500 ip from any to any via em0
00300     0       0 skipto 4500 ip from any to any in
00400     0       0 skipto 450 ip from any to any recv em0
00420     0       0 divert 1 ip from any to any
00450     0       0 divert 2 ip from any to any
00490     0       0 allow ip from any to any
00500     0       0 skipto 32500 ip from any to any in
00510     0       0 divert 1 ip from any to any
00540     0       0 allow ip from any to any
01000     0       0 allow udp from any 53,7723 to any
01010     0       0 allow tcp from any to any setup keep-state
01020     0       0 allow udp from any to any keep-state
01100     0       0 allow ip from any to any
02000     0       0 check-state
02010     0       0 allow icmp from any to any
02020     0       0 allow tcp from any to any dst-port 80,443
02050     0       0 deny ip from any to any via em0
02060     0       0 allow udp from any to any dst-port 53,7723
02100     0       0 deny ip from any to any
05000     0       0 deny ip from not table(0) to any
05001     0       0 skipto 5010 ip from table(127) to table(126)
05002     0       0 skipto 5030 ip from any to not table(2)
05003     0       0 deny ip from any to not table(1)
05004     0       0 pipe tablearg ip from table(21) to any
05005     0       0 deny ip from any to any
05010     0       0 pipe tablearg ip from table(127) to any
05030     0       0 deny tcp from table(15) to any dst-port 25
05400     0       0 pipe tablearg ip from table(11) to any
32000     0       0 deny ip from any to any
32490     0       0 deny ip from any to any
33000     0       0 pipe tablearg ip from table(126) to table(127)
33001     0       0 skipto 33010 ip from not table(2) to any
33002     0       0 pipe tablearg ip from any to table(20)
33003     0       0 deny ip from any to any
33400     0       0 pipe tablearg ip from any to table(10)
65535     0       0 deny ip from any to any

ipfw table 10 list
ipfw table 10 list
10.1.2.4/32 1004

ps ax | grep pl
ps ax | grep pl
  882  ??  S<     0:25.70 perl nodeny.pl (perl5.8.
  892  ??  S<     0:05.46 perl noserver.pl -nowait (perl5.8.
 1031  ??  S<     0:16.45 perl nol2auth.pl -nowait (perl5.8.

[versus]

во перых как покалеченный ывод файрвола нам поможет ?
Во вторых ipcad запущен ?
В третих какие еще "незначительные" изменения кроме файрвольного правила внесены по ходу установки ?

[boomer666]

rc.firewall


#!/bin/sh -
f='/sbin/ipfw'

ifOut='sis0'

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 32490 deny ip from any to any

измения не вносил не какие даже все конфини с мануала
ipcap запущен

[Efendy]

Какую-то кашу ты показал. Интерфейс sis0 вообще никуда не подключен - status: no carrier, по ipfw show светится не sis0, а em0, первым правилом стоит почему-то allow from any to any.

pf nat настроил?

[Fredik]

я в таком случае всегда проверяю есть ли на самом сервере интернет а потом уже разбераюсь.

а по поводу того что там линка нет, я думаю он просто кабель себе в комп втыкнул(тот который с инетом) и показал что к чему

[boomer666]

pf настроил
вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает

Pf..conf
set limit states 128000
set optimization aggressive
nat  pass on sis0 from 10.1.2.0/16 to any -> sis0
nat pass on sis0 from 192.168.0.0/16 to any -> sis0

ifconfig
billing# ifconfig
sis0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:14:2a:1d:7a:cb
        inet 10.1.1.3 netmask 0xffffff00 broadcast 10.1.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:a1:b0:11:ad:c4
        inet 10.1.2.1 netmask 0xffffff00 broadcast 10.1.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
if.conf

defaultrouter="10.1.1.1"
hostname="billing.lan"
ifconfig_sis0="inet 10.1.1.3  netmask 255.255.255.0"
ifconfig_rl0="inet 10.1.2.1 netmask     255.255.255.0"
keymap="ua.koi8-u"
sshd_enable="YES"

gateway_enable="YES"
firewall_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
natd_enable="YES"
natd_interface="sis0"
pf_enable="YES"
pf_riles="/etc/pf.conf"
ipcad_enable="YES"

ipfw show
00001 309376 22767173 allow ip from any to any
00050      0        0 allow tcp from any to me dst-port 22
00051      0        0 allow tcp from me 22 to any
00110      0        0 allow ip from any to any via lo0
00120      0        0 skipto 1000 ip from me to any
00130      0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160      1       37 skipto 2000 ip from any to me
00200      0        0 skipto 500 ip from any to any via sis0
00300      0        0 skipto 4500 ip from any to any in
00400      0        0 skipto 450 ip from any to any recv sis0
00420      0        0 divert 1 ip from any to any
00450      0        0 divert 2 ip from any to any
00490      0        0 allow ip from any to any
00500      0        0 skipto 32500 ip from any to any in
00510      0        0 divert 1 ip from any to any
00540      0        0 allow ip from any to any
01000      0        0 allow udp from any 53,7723 to any
01010      0        0 allow tcp from any to any setup keep-state
01020      0        0 allow udp from any to any keep-state
01100      0        0 allow ip from any to any
02000      0        0 check-state
02010      0        0 allow icmp from any to any
02020      0        0 allow tcp from any to any dst-port 80,443
02050      0        0 deny ip from any to any via sis0
02060      0        0 allow udp from any to any dst-port 53,7723
02100      0        0 deny ip from any to any
05000      0        0 deny ip from not table(0) to any
05001      0        0 skipto 5010 ip from table(127) to table(126)
05002      0        0 skipto 5030 ip from any to not table(2)
05003      0        0 deny ip from any to not table(1)
05004      0        0 pipe tablearg ip from table(21) to any
05005      0        0 deny ip from any to any
05010      0        0 pipe tablearg ip from table(127) to any
05030      0        0 deny tcp from table(15) to any dst-port 25
05400      0        0 pipe tablearg ip from table(11) to any
32000      0        0 deny ip from any to any
32000      0        0 deny ip from any to any
32490      0        0 deny ip from any to any
33000      0        0 pipe tablearg ip from table(126) to table(127)
33001      0        0 skipto 33010 ip from not table(2) to any
33002      0        0 pipe tablearg ip from any to table(20)
33003      0        0 deny ip from any to any
33400      0        0 pipe tablearg ip from any to table(10)
65535      1       37 deny ip from any to any

[boomer666]

я думаю он просто кабель себе в комп втыкнул(тот который с инетом) и показал что к чему

кабель включен))в сети инета нет!приходится втыкать на прямую обход через сервер

[boomer666]

ipfw show
00001 309376 22767173 allow ip from any to any

правела есть
firewall  включен
иза чего Это может быть?

[Fredik]

на сервере интернет есть?

[dark]

pf nat включен?
шлюз на клиентском компе прописан на роутер?

[boomer666]

на сервере интернет есть?

да есть

[boomer666]

pf nat включен?
шлюз на клиентском компе прописан на роутер?

вродебы включен))pfctl -e
sis0 = 10.1.1.3 смотрит dsl router= 10.1.1.1
rl0 = 10.1.2.1 внутрения сеть

шлюз прописан 10.1.1.1 верно?
хотя пробывал так и так

[versus]

вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает

Я думаю ты заблуждаешься насчет того что ipcad  не причем, он как раз очень непосредственно участвует в работе файрвола. Например правила под номером 420 450 510