Nodeny Не пускает авторизованных пользователей в глобальную сеть!

[dark]

nat  pass on sis0 from 10.1.2.0/16 to any -> sis0

Почему маска 16?  у тебя что натится вся подсеть 10.1.255.255 ?

надо

nat  pass on sis0 from 10.1.2.0/24 to any -> sis0

а так-же в фаерволе у тебя em0...  документацию читал хоть??

[boomer666]

вылаживаю все кофги кроме ipcap я думаю он не причем он ток считает

Я думаю ты заблуждаешься насчет того что ipcad  не причем, он как раз очень непосредственно участвует в работе файрвола. Например правила под номером 420 450 510

B ipcap нече неминял поставил всё как написано в мануале!
в конфиг
capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;

[boomer666]

доброе время суток!
в ipcap трафик попадает

но в авторизованных пользователей в инет не пускает
это или неправильно pf nat  настроен или firewall блокирует.

как проверить?

и еще

у меня айпишники локалка 10,1,2,1
                          внешка  10,1,1,3
ip rotera 10.1.1.1

клиент у меня настроен верно?
10,1,2,4
255,255,255,0
10,1,2,1
dns10,1,1,1

[goletsa]

Маску в фраерволе уберите до /24
По поводу ipcad'ов и всего что рядом с ними - в фаерволе первое правило allow from any to any так что с билингом и  ипкадом пока рано разбираться. Надо сначала с nat'ом закончить.
А вот натить с одной подсети 1.1.1.2 на другую 1.1.2.2 с маской /16 както глупо выглядит.
И кстати по поводу  -> sis0 - както удобнее мне кажется указывать адрес а не интерфейс.
Если повесить на внешний интерфейс несколько ипов то можно статически задать разным внутреним сетям разные внешние адреса.

[boomer666]

а надо в ядро в ключать для pf ?

device pf
device pflog
device pfsync


test# ipfw table 0 list
10.1.2.4/32 0
test# ipfw table 10 list
тут нечего

[Efendy]

пока у тебя первым правилом allow ip from any to any, можешь не смотреть на содержимое таблиц. Сейчас, уже говорили, надо просто настроить над, для этого:

pfctl -N -f /etc/pf.conf
что пишет?
cat /etc/pf.conf
что показывает?

[boomer666]

вот
test# pfctl -N -f /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled

test# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on sis0 from 10.1.2.0/24 to any -> sis0
nat pass on sis0 from 192.168.1.0/16 to any -> sis0

[dark]

boomer666, ты прикалываешся? я ж тебе написал где у тебя ошибки!

нат у тебя на интерфейсе sis0

nat pass on sis0 from 10.1.2.0/24 to any -> sis0

а пакеты у тебя идут на em0 в 3 посте!

skipto 500 ip from any to any via em0

а в 5 посте ты подредактировал:

fOut='sis0' и

измения не вносил не какие даже все конфини с мануала
ipcap запущен

« Последнее редактирование: 20 Декабрь 2009, 19:45:14 от boomer666 »

выложи сюда полный вывод ipfw show, pfctl -e, ipfw table 10 list , у тебя авторизация через авторизатор?

[Efendy]

и еще:

Код:

192.168.1.0/16

что-то тут не так, правда?

[Hashinger]

Хочется поднять тему.
Есть два интерфейса один смотрит наружу(192.168.0.115 - адрес private network но в режиме теста думаю не обязательно сразц цеплять внешний)
второй смотрит в сторону клиентов 10.1.0.1
NoDeny заработал без проблем болячки вроде бы все излечил.
Проходит успешная авторизация через L2 и Web.

Дальше про проблему.
авторизуемся по L2 сеть видна, пингуем все внешние и все внутренние IP адреса. Но оказывается, что клиент не может преобразовать имя в адрес. Если же клиенту указать любой другой DNS отличный от 10.1.0.1 и прописать к примеру 192.168.0.1 или google - 8.8.8.8 то преобразование работает.

пинги с самого nodeny
PING www.ru (194.87.0.50): 56 data bytes
64 bytes from 194.87.0.50: icmp_seq=0 ttl=57 time=24.599 ms

в чем может быть проблема? нужно ли стартовать службу named ?
Задайте правильное направление куда копать!

[Aivanzipper]

конечно надо днс-сервер поднимать

[Hashinger]

конечно надо днс-сервер поднимать

Спасибо поднял, заработало.

[HIT]

Та же проблема FreeBSD 8.0

/etc/rc.firewall

#!/bin/sh -
f='/sbin/ipfw'

ifOut='bge0'

# Сети, в/из которых трафик блокируем
${f} table 120 flush
${f} table 120 add 224.0.0.0/4
#${f} table 120 add 192.168.0.0/16
#${f} table 120 add 172.16.0.0/12

${f} -f flush

#${f} add 40 accept ip from any to "table(10)"
#${f} add 41 accept ip from "table(10)" to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 100 deny tcp from any to any 445

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}

${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2030 allow gre from any to any
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any


${f} add 32490 deny ip from any to any

#${f} add 40 accept ip from any to "table(10)"
#${f} add 41 accept ip from "table(10)" to any
при раскоментировании инет начинает работать, только не шейпится.

ipfw table 10 list

172.16.1.77/32 1008
172.16.1.90/32 1004

ipfw table 1 list

172.16.1.77/32 0
172.16.1.90/32 0

ipfw table 2 list

172.16.1.77/32 0
172.16.1.79/32 0
172.16.1.90/32 0

конфиг ядра

#
# GENERIC -- Generic kernel configuration file for FreeBSD/i386
#
# For more information on this file, please read the config(5) manual page,
# and/or the handbook section on Kernel Configuration Files:
#
#    http://www.FreeBSD.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-config.html
#
# The handbook is also available locally in /usr/share/doc/handbook
# if you've installed the doc distribution, otherwise always see the
# FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the
# latest information.
#
# An exhaustive list of options and more detailed explanations of the
# device lines is also present in the ../../conf/NOTES and NOTES files.
# If you are in doubt as to the purpose or necessity of a line, check first
# in NOTES.
#
# $FreeBSD: src/sys/i386/conf/GENERIC,v 1.519.2.4.2.2 2009/11/09 23:48:01 kensmith Exp $

#cpu            I486_CPU
#cpu            I586_CPU
cpu             I686_CPU
ident           HITlan4

# To statically compile in device wiring instead of /boot/device.hints
#hints          "GENERIC.hints"         # Default places to look for devices.

# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env           "GENERIC.env"

#makeoptions    DEBUG=-g                # Build kernel with gdb(1) debug symbols

options         SCHED_ULE               # ULE scheduler
options         PREEMPTION              # Enable kernel thread preemption
options         INET                    # InterNETworking
options        INET6                   # IPv6 communications protocols
options         SCTP                    # Stream Control Transmission Protocol
options         FFS                     # Berkeley Fast Filesystem
options         SOFTUPDATES             # Enable FFS soft updates support
options         UFS_ACL                 # Support for access control lists
options         UFS_DIRHASH             # Improve performance on big directories
options         UFS_GJOURNAL            # Enable gjournal-based UFS journaling
options         MD_ROOT                 # MD is a potential root device
options         NFSCLIENT               # Network Filesystem Client
options         NFSSERVER               # Network Filesystem Server
options         NFSLOCKD                # Network Lock Manager
options         NFS_ROOT                # NFS usable as /, requires NFSCLIENT
options        MSDOSFS                 # MSDOS Filesystem
options         CD9660                  # ISO 9660 Filesystem
options         PROCFS                  # Process filesystem (requires PSEUDOFS)
options         PSEUDOFS                # Pseudo-filesystem framework
options         GEOM_PART_GPT           # GUID Partition Tables.
options         GEOM_LABEL              # Provides labelization
options         COMPAT_43TTY            # BSD 4.3 TTY compat (sgtty)
options         COMPAT_FREEBSD4         # Compatible with FreeBSD4
options         COMPAT_FREEBSD5         # Compatible with FreeBSD5
options         COMPAT_FREEBSD6         # Compatible with FreeBSD6
options         COMPAT_FREEBSD7         # Compatible with FreeBSD7
options         SCSI_DELAY=5000         # Delay (in ms) before probing SCSI
options         KTRACE                  # ktrace(1) support
options         STACK                   # stack(9) support
options         SYSVSHM                 # SYSV-style shared memory
options         SYSVMSG                 # SYSV-style message queues
options         SYSVSEM                 # SYSV-style semaphores
options         P1003_1B_SEMAPHORES     # POSIX-style semaphores
options         _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options         PRINTF_BUFR_SIZE=128    # Prevent printf output being interspersed.
options         KBD_INSTALL_CDEV        # install a CDEV entry in /dev
options         HWPMC_HOOKS             # Necessary kernel hooks for hwpmc(4)
options         AUDIT                   # Security event auditing
options         MAC                     # TrustedBSD MAC Framework
options         FLOWTABLE               # per-cpu routing cache
#options        KDTRACE_HOOKS           # Kernel DTrace hooks

options         IPFIREWALL
options         IPDIVERT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD
options         DUMMYNET
options         IPFILTER_LOG
options         ALTQ
options         ALTQ_CBQ
options         ALTQ_RED
options         ALTQ_RIO
options         ALTQ_HFSC
options         ALTQ_PRIQ
options         ALTQ_NOPCC
# To make an SMP kernel, the next two lines are needed
options         SMP                     # Symmetric MultiProcessor Kernel
device          apic                    # I/O APIC

device          pf
...

ps -x | grep perl

  990  ??  S<     0:03.18 perl nol2auth.pl (perl5.10.1)
  991  ??  S<     0:00.89 perl noserver.pl (perl5.10.1)
 1380  ??  S<     0:02.74 perl nodeny.pl (perl5.10.1)
 2980   1  S+     0:00.00 grep perl

sysctl -a | grep net.inet.ip.fw

net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 33
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 100
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1

ipfw pipe list

01005: 512.000 Kbit/s    0 ms   50 sl. 1 queues (1 buckets) droptail
         burst: 0 Byte
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 icmp     172.16.1.90/0       193.109.164.1/0      171    10206  0    0   0
01004: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
         burst: 0 Byte
00001: unlimited    0 ms   50 sl. 0 queues (1 buckets) droptail
         burst: 0 Byte
01008:   8.192 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
         burst: 0 Byte

ifconfig

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:13:21:f2:74:c5
        inet 192.168.33.80 netmask 0xffffff00 broadcast 192.168.33.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:13:21:f2:74:c4
        inet 172.16.1.1 netmask 0xffff0000 broadcast 172.16.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

конфиг ipcadа

capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;

в нетстате порты 1,2 слушаются

/etc/pf.conf

set limit states 128000
set optimization aggressive
nat pass on bge0 from 172.16.0.0/16 to any -> bge0

ипкад запущен

rsh 127.0.0.1 show ip accounting

   Source           Destination    Packets        Bytes  SrcPt DstPt Proto   IF
 78.84.185.196    172.16.1.90            2           92  37598 48897     6    2
 92.113.26.119    172.16.1.90            3          120  52566 48868     6    2
 79.126.28.156    172.16.1.90            5          268  20805 49138     6    2
 91.124.134.38    172.16.1.90            9          514  18553 48863     6    2

Accounting data age is     0
Accounting data age exact 30
Accounting data saved 1266951554
Interface 2: received ??, 5 m average 2 bytes/sec, 0 pkts/sec, dropped ??
Interface 1: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
Flow entries made: 4
Memory usage: 0% (448 from 52428800)
Free slots for rsh clients: 9
IPCAD uptime is  1:28
core-gw uptime is  1:28

прозьба помочь!

[Efendy]

вместо /etc/rc.firewall лучше приведи

Код:

ipfw show

по нему будут видны актуальные правила в данной ситуации, поскольку noserver.pl добавляет свои, может фишка в том, что они как раз и не добавлены.

А так, конечно, инфу привел полную - всем брать пример

[HIT]

ipfw show

00040      0       0 allow ip from any to table(10)
00041 127196 7825658 allow ip from table(10) to any
00050     58    6052 allow tcp from any to me dst-port 22
00051     49    6848 allow tcp from me 22 to any
00100      3     144 deny tcp from any to any dst-port 445
00110    320   29982 allow ip from any to any via lo0
00120     80    4602 skipto 1000 ip from me to any
00130      0       0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140    478   13384 deny ip from any to table(120)
00150      0       0 deny ip from table(120) to any
00160    136   11084 skipto 2000 ip from any to me
00200   7423  698055 skipto 500 ip from any to any via bge0
00300   7435  698715 skipto 4500 ip from any to any in
00400      0       0 skipto 450 ip from any to any recv bge0
00420      0       0 divert 1 ip from any to any
00450      0       0 divert 2 ip from any to any
00490      0       0 allow ip from any to any
00500   7423  698055 skipto 32500 ip from any to any in
00510      0       0 divert 1 ip from any to any
00540      0       0 allow ip from any to any
01000      0       0 allow udp from any 53,7723 to any
01010      0       0 allow tcp from any to any setup keep-state
01020     40    3950 allow udp from any to any keep-state
01100     60    3384 allow ip from any to any
02000      0       0 check-state
02010      5     304 allow icmp from any to any
02020      0       0 allow tcp from any to any dst-port 80,443
02030      0       0 allow gre from any to any
02050     17    4643 deny ip from any to any via bge0
02060     55    1975 allow udp from any to any dst-port 53,7723
02100     39    1430 deny ip from any to any
05000   7428  698331 deny ip from not table(0) to any
05001      0       0 skipto 5010 ip from table(127) to table(126)
05002      0       0 skipto 5030 ip from any to not table(2)
05003      0       0 deny ip from any to not table(1)
05004      0       0 pipe tablearg ip from table(21) to any
05005      0       0 deny ip from any to any
05010      0       0 pipe tablearg ip from table(127) to any
05030      0       0 deny tcp from table(15) to any dst-port 25
05400      0       0 pipe tablearg ip from table(11) to any
32000      0       0 deny ip from any to any
32490      7     384 deny ip from any to any
33000      0       0 pipe tablearg ip from table(126) to table(127)
33001   7423  698055 skipto 33010 ip from not table(2) to any
33002      0       0 pipe tablearg ip from any to table(20)
33003      0       0 deny ip from any to any
33400      0       0 pipe tablearg ip from any to table(10)
65535   7423  698055 allow ip from any to any

вот так он выглядит!