ipfw nodeny mpd pf

[stix]

это был совет по отладке pfnat. Ты же кипешевал, что ничего не натится! Теперь оказалось, что дело именно в фаерволе. Может не нужно было  делать allow from any to any и дальше искать пальцем в небо?

я же сказал, при таких правилах подключается, но не натится.

потому я и пошел другим путем, сделав так, как описал раннее на основе - резрешить все
только с Pipe не получилось все как хотелось

[stix]

mpd5.conf

Код:

startup:
        set user admin password
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open
default:
        load pptp_server
        load pppoe_server
pptp_server:
        set ippool add pool1 192.168.1.50 192.168.1.99
        create bundle template B
#<----->set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp yes vjcomp
        set ipcp ranges 192.168.0.1/32 ippool pool1
        set ipcp dns 195.5.130.200
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e128
        set mppc yes stateless
        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        load radius
        set link keep-alive 10 60
        set link mtu 1460
        set pptp self 195.5.130.205
        set link enable incoming

pf.conf

Код:

ext_if="fxp0"
set limit states 128000
set optimization aggressive
#nat on $ext_if inet from any to any -> ($ext_if)
nat pass on fxp0 from 192.168.66.0/24 to any -> fxp0
pass in all
pass out all

ifconfig

Код:

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1456
        inet 192.168.0.1 --> 192.168.66.7 netmask 0xffffffff

Код:

[root@ ~]# pfctl -s nat
nat pass on fxp0 inet from 192.168.66.0/24 to any -> 195.5.130.205

[ser970]

указывай интерфейс для правил.

для теста разреши все на внешнем канале.
 

[stix]

если делаю
allow all from any to any via fxp0
то ничего не меняется

tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная

[elite]

tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная

а откуда на внешнем интерфейсе внутренним сетям взяться? после ната

[stix]

tcpdump -vvn -i fxp0 | grep 192.168.
тишина полная

а откуда на внешнем интерфейсе внутренним сетям взяться? после ната

это я и имел ввиду

если делаю add allow all from any to any via ng0 то трафик бегает
но не шейпится и не блочится если удалится из таблиц
т.к. вылетает из файрвола видимо уже

net.inet.ip.fw.one_pass: 1

[ser970]

покаж
ipfw show

[stix]

Код:

00050  47  3336 allow tcp from any to me dst-port 22
00051  42 10440 allow tcp from me 22 to any
00110   0     0 allow ip from any to any via lo0
00120 161 11052 skipto 1000 ip from me to any
00160 204 15198 skipto 2000 ip from any to me
00200   1    97 skipto 500 ip from any to any via fxp0
00300  43  2136 skipto 4500 ip from any to any in
00400   0     0 skipto 450 ip from any to any recv fxp0
00420   0     0 divert 1 ip from any to any
00450   0     0 divert 2 ip from any to any
00490   0     0 allow ip from any to any
00500   1    97 skipto 32500 ip from any to any in
00510   0     0 divert 1 ip from any to any
00540   0     0 allow ip from any to any
01000   0     0 allow udp from any 53,7723 to any
01010   0     0 allow tcp from any to any setup keep-state
01020   0     0 allow udp from any to any keep-state
01100 161 11052 allow ip from any to any
02000   0     0 check-state
02010  72  4508 allow icmp from any to any
02020   0     0 allow tcp from any to any dst-port 80,443
02030   4   244 allow tcp from any to any dst-port 1723
02040 111  8342 allow gre from any to any
02050  17  2104 deny ip from any to any via fxp0
02060   0     0 allow udp from any to any dst-port 53,7723
02100   0     0 deny ip from any to any
32490  43  2136 deny ip from any to any
65535  42  4074 allow ip from any to any

[elite]

гыгы )

[stix]

гыгы )

неужели так все плохо? 

[ser970]

шутка да?!

где правила создаваемые билингом?

походу носервер не запущен - смотри логи.
или прав на нофире не хватет.

[stix]

Код:

[root@ ~]# ps -aux | grep nos
root   1428  0.9  0.7  8468  7052  ??  S<    2:04PM   0:01.01 perl noserver.pl (perl5.10.1)
root   1376  0.0  0.1  3492  1400 con- I     2:04PM   0:00.01 sh go.sh noserver

но pipe создаются

Код:

01508: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01457: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01440:   2.000 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01405: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01388: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01337: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01320:   4.096 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01268: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01253: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01200: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01185: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01148: 256.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01133: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01080:   4.096 Mbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail
01065: 512.000 Kbit/s    0 ms   50 sl. 0 queues (1 buckets) droptail

куда копать - понял!
спасибо, не строятся правила,
гг. думал они раком-боком както во фре заворачиваются через таблицы )

[ser970]

ты часом не делал
/etc/rc.firewall

тоетсь не дергал фаер ?
если да то прибил правмла
 перезапусти носервер

[stix]

ты часом не делал
/etc/rc.firewall

тоетсь не дергал фаер ?
если да то прибил правмла
 перезапусти носервер

я фаер уже просто изнасиловал.
он иногда хаотично работает

бутну тазик - все нормализуется согласно логике.
freebsd 7.3

[stix]

снова пересобрал ядро без "разрешить все по умолчанию"

Код:

00050   42   4620 allow tcp from any to me dst-port 22
00051   31   6252 allow tcp from me 22 to any
00110    0      0 allow ip from any to any via lo0
00120 1152  86623 skipto 1000 ip from me to any
00130    0      0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 1377 530798 skipto 2000 ip from any to me
00200  217  10481 skipto 500 ip from any to any via fxp0
00300  226  11327 skipto 4500 ip from any to any in
00400    0      0 skipto 450 ip from any to any recv fxp0
00420    0      0 divert 1 ip from any to any
00450    0      0 divert 2 ip from any to any
00490    0      0 allow ip from any to any
00500    3    291 skipto 32500 ip from any to any in
00510  214  10190 divert 1 ip from any to any
00540    0      0 allow ip from any to any
01000    0      0 allow udp from any 53,7723 to any
01010  816 498136 allow tcp from any to any setup keep-state
01020   25   3264 allow udp from any to any keep-state
01100  758  49410 allow ip from any to any
02000    0      0 check-state
02010  363  22520 allow icmp from any to any
02012  544  42143 allow gre from any to any
02020   23   1948 allow tcp from any to any dst-port 80,443,1723
02050    0      0 deny ip from any to any via fxp0
02060    0      0 allow udp from any to any dst-port 53,7723
02100    0      0 deny ip from any to any
05000   12   1137 deny ip from not table(0) to any
05001    0      0 skipto 5010 ip from table(127) to table(126)
05002  214  10190 skipto 5030 ip from any to not table(2)
05003    0      0 deny ip from any to not table(1)
05004    0      0 pipe tablearg ip from table(21) to any
05005    0      0 deny ip from any to any
05010    0      0 pipe tablearg ip from table(127) to any
05030    0      0 deny tcp from table(15) to any dst-port 25
05400  214  10190 pipe tablearg ip from table(11) to any
32000    0      0 deny ip from any to any
32490    0      0 deny ip from any to any
33000    0      0 pipe tablearg ip from table(126) to table(127)
33001    3    291 skipto 33010 ip from not table(2) to any
33002    0      0 pipe tablearg ip from any to table(20)
33003    0      0 deny ip from any to any
33400    0      0 pipe tablearg ip from any to table(10)
65535    3    291 deny ip from any to any

лог noserver все ок. никаких ошибок и ворнов