|
FreeBSD настройка шлюза
Ситуация такова: есть сеть (IP 192.168.0.xх), помимо пользовательских машин в ней есть DNS сервак и шлюзовая машина (2 сетевухи, одна смотрит внурь 192.168.0.х, другая в инет 195.хх.хх.хх). На отдельной машине была настроена фря с двумя сетевухами первая 192.168.1.х
и вторая, смотрящая в инет 195.хх.хх.хх. Хочу поставить фряху как шлюз для сети 192.168.1.хх. Короче говоря создать демилитаризованную зону. В Kerio есть такая штука как DNS forwarding, куда прописывают адреса серверов DNS, кде и как такое прописывается в FreeBSD??? может еще кто нить может подскажет где можно посмотреть образцы ipfw.conf, а то свим не очень доволен. |
Ээээ... DNS у тебя свой настраивается? Или где? Если да, то в named.conf. Если нет - то не совсем понял вопрос про ДНС, но в таком случае настоятельно рекомендую поднять на шлюзе хотя бы кеширующий ДНС.
ipfw... Ну боевой пример тебе вряд ли кто даст, а кусочки можно наверняка по разным сайтам а-ля opennet.ru повыцеплять. |
Цитата:
в файл /var/named/namedb/etc/named.conf в секцию forwarders прописать IP серверов. в /etc/resolv.conf добавить строку nameserver 127.0.0.1 в /etc/rc.conf named_enable="YES" ipfw примеры: http://bsd.opennet.ru/cgi-bin/openne...om=topic&base= |
Вот мой порядок действий по выше описаной проблеме:
# cd /usr/src/sys/i386/conf/ # cp GENERIC MYKERNEL редактируем MYKERNEL options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=500 options IPFIREWALL_FORWARD options IPFIREWALL_DEFAULT_TO_ACCEPT собираем и компилим # cd /usr/src/ # make buildkernel KERNCONF=MYKERNEL # make installkernel KERNCONF=MYKERNEL # shutdown -r now правим /etc/rc.conf gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/rc.ipfw" firewall_logging="YES" natd_enable="YES" natd_program="/sbin/natd" natd_flags="-f /etc/natd.conf" # vi /etc/rc.ipfw #!/bin/sh # Manual script for ipfw echo -n "Starting firewall..." ipfw="/sbin/ipfw" uports="1025-65535" int_if="rl0" ext_if="rl1" int_ip="192.168.0.5" ext_ip="195.x.x.0" int_net="192.168.0.0" ext_net="195.х.х.85" for_lan="smtp,pop3,domain,http,https,ftp,ssh" for_rout="smtp,pop3,domain,http,https,ftp,ssh" Services="smtp,pop3,http,https,domain,ssh,ftp" ${ipfw} add allow all from any to any via lo0 -ЭТО ПРАВИЛЬНО???? ${ipfw} add deny all from any to 127.0.0.0 ${ipfw} add deny all from 127.0.0.0 to any in recv $ext_if ${ipfw} add deny all from 10.0.0.0 to any in recv $ext_if ${ipfw} add deny all from 172.16.0.0 to any in recv $ext_if ${ipfw} add deny all from 192.168.0.0 to any in recv $ext_if ${ipfw} add allow all from $int_net to any in recv $int_if ${ipfw} add allow all from any to $int_net out xmit $int_if ${ipfw} add divert natd all from $int_net to not $int_net out xmit $ext_if ${ipfw} add divert natd all from any to $ext_ip in recv $ext_if ${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if ${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established ${ipfw} add allow tcp from any $for_rout to $ext_ip $uports in recv $ext_if established ${ipfw} add allow udp from $ext_ip $uports to any domain out xmit $ext_if ${ipfw} add allow udp from any domain to $ext_ip $uports in recv $ext_if ${ipfw} add allow udp from any domain to $int_net $uports in recv $ext_if ${ipfw} add allow icmp from any to me icmptypes 0,3,4,11,12 in ${ipfw} add allow icmp from any to $int_net icmptypes 0,3,4,11,12 in recv $ext_if ${ipfw} add allow icmp from me to any icmptypes 3,8,12 out ${ipfw} add allow tcp from $ext_ip $uports to any $uports out xmit $ext_if ${ipfw} add allow tcp from any $uports to $ext_ip $uports in recv $ext_if established ${ipfw} add allow tcp from any $uports to $vip_net $uports in recv $ext_if established ${ipfw} add deny log logamount 700 tcp from any to $ext_ip in recv $ext_if setup ${ipfw} add deny all from any to any echo "DONE" /var/named/namedb/etc/named.conf : forwarders 192.168.0.сервер .. ЗДЕСЬ КАКОЙ СЕРВАК ПИСАТЬ??? /etc/resolv.conf : nameserver 127.0.0.1 /etc/rc.conf named_enable="YES" Все верно??? |
Цитата:
Разрешение всего через lo0 - правильно. Остальное читать времени нет, извини. |
вроде сделал инет, но в правилах ипфв убрал все deny, :молись:
каждый сам пишет для себя боевой ipfw? тока медленно странички открывает, может надо сквид сделать??? я так понял что это проксЯ это повысит скорость инета (из-за этого скорость маленькая)? |
Ээээ... То что каждый пишет для себя - однозначно =) Сети и цели у всех разные.
Страничка медленно открывается - это любопытный диагноз =) Все странички или только избранные??? Насколько медленно? Какой при этом у тебя канал в интернет? =) Проксик поможет быстрее открывать статические странички, на которых ты уже бывал. Или кто то из твоей сети бывал. Если ходишь на одни и теже сайты - ставь сквид - немного поможет да и трафик сэкономит чуток. |
Неизвестные до этого страницы открываются чуть быстрее, но потом внутри сайта все тормозит. Открытие длится более минуты.
Линия ADSL 256. Дело в том, что пока идет эксперимент в такой конфигурации: Все в той же сети DHCP сервак раздает IP адреса клиентам, убрал из нее шлюз, который был до этого и воткнул фряху со статическим ИПшником который был на шлюзе в эту сеть. Но с любой машины и с фряхи инет тормозит выше изложеным способом. Убираю фряшную машину и ставлю старый шлюз - инет гораздо бодрее!!! :idontnow: |
то есть 256К. Открываются все сайты медленно? может все-таки линия не дает полных 256К? Проксик в общем случае даст прирост производительности но небольшой скорее всего.
Цитата:
|
Дело в том, что пока идет эксперимент в такой конфигурации:
Все в той же сети DHCP сервак раздает IP адреса клиентам, убрал из нее шлюз, который был до этого и воткнул фряху со статическим ИПшником который был на шлюзе в эту сеть. Но с любой машины и с фряхи инет тормозит выше изложеным способом. Убираю фряшную машину и ставлю старый шлюз - инет гораздо бодрее!!! Вот тут по подробнее!!!! про какой аллоу ты говоришь??? (если что то ядро вверху, точнее все что я делал) |
Цитата:
т.е. options IPFIREWALL_DEFAULT_TO_BLOCK и при ipfw show | grep 65535 должно быть deny ip from any to any |
65535 deny all from any to any
с таким вариантом фряшная машина не пингуется из сети, следовательно нет доступа в инет с клиентской машины Чем отличается 65535 deny ip from any to any??? |
Уф... уработался ... Значит так... the best practice - политика по-умолчанию - запретить все и потом открывать потихоньку. Поэтому лучше ты ядро перекомпили так чтобы системная политика была deny или верни последний deny в конфиге обратно. В чем может быть замедление о котором ты наконец-то подробно рассказал - не подскажу. Слишком давно с фрей не заморачивался =(
Когда заморачивался поменял виндовый шлюз на фревый - все летать стало =) |
options IPFIREWALL_DDEFAULT_TO_ACCEPT -это значит что разрешено, так?
и по поводу тормозов, может быть рпоблема в том что фрю включил со статич. IP, но в домен её не включал? |
тормоза - это субъективное понятие.
давай объективные цифры. Т.е. скорость канала в инет, и скачивание чего-то с сервера прова или с объективно быстрых серверов из мира, если у провайдера с внешними каналами проблем нету. Пока открывается страница: iostat -c 5 -w 4 и еще покажи swapinfo netstat -m Цитата:
Цитата:
|
Забыл обозначить FreeBSD 6.0
Вопрос: собрал свое ядро - работает, открыв его, решил убрать не нужное оборудование, ДОСТАТОЧНО ЛИ ПРОСТО ПЕРЕЗАГРУЗИТЬ СИСТЕМУ ИЛИ НАДО КОМПИЛИТЬ ЕГО ЕЩЕ РАЗ? |
В смысле - убрать оборудование? Из ядра или железки повыкидывать? =)
Если первое, то перекомпилить однозначно , если второе, то необязательно =) |
из файла! понял!
И еще кое-что. Что то я с настройкой шлюза перехимичил. Есть такая штука, как откат системы в начальное состояние?? если нет, то как востановить первоначальное сотояние не переставляя фрюю |
Отката, насколько я понимаю, нет.
Можно загрузить стратовое ядро (GENERIC) Можно в некоторых отдеинсталлить софт. Смотря что нужно. Впрочем, я опять говорю, основываясь на своем опыте трехлетней давности, может спецы что предложат. |
Цитата:
man dump man restore Можно самому просто бекапить выборочные каталоги : /usr/bin/tar -jcf `date -v-1d "+cfg_backup.%Y-%m-%d.tar.bz2"` /etc /usr/local/etc /еще/каталог /и/еще/каталог |
freeBSD начало чето не работает
товарищи вот такая проблема, с начала опишу проблему, я настраивал freeBSD с 0, 1й раз, сделать нужно было фаервол, но почему то инета нет, хотя вроде все работает, у меня 2а интерфейса, внутренная сетка 192.168.55.*, интерфейс rl1- 192.168.55.1, внешная 192.168.24.* rl0 - 192.168.24.152
пингуется интерфейс с 192.168.55.* сетки 192.168.24.152. мой ip 192.168.55.3 route get выдал результат почему то гетвей не паказывает может в этом проблема route get 192.168.55.3 route to: 192.168.55.3 destination: 192.168.55.3 interface: rl1 flags: <UP,HOST,DONE,LLINFO,WASCLONED> recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire 0 0 0 0 0 0 1500 899 что я сделал в rc.conf defaultrouter="192.168.24.254" font8x14="cp866-8x14" font8x16="cp866b-8x16" font8x8="cp866-8x8" gateway_enable="YES" hostname="router.karofilm" ifconfig_rl0="inet 192.168.24.152 netmask 255.255.255.0" ifconfig_rl1="inet 192.168.55.1 netmask 255.255.255.0" inetd_enable="YES" keymap="ru.koi8-r" keyrate="normal" linux_enable="YES" mousechar_start="3" nfs_client_enable="YES" nfs_server_enable="YES" rpcbind_enable="YES" scrnmap="koi8-r2cp866" sshd_enable="YES" usbd_enable="YES" в hosts.allow sshd: 192.168.0.0/255.255.0.0 перепрашил ядро cd /usr/src/sys/i386/conf cp GENERIG new_generic ident new_generic options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=1000 config new_generic cd ../compile/GATEWAY make depend all install запутил даже несколько правел и глянул работуют ли они router# ipfw -a list 00100 5163 269074 fwd 192.168.55.3,80 tcp from any to any dst-port 80 00200 78727 24856993 fwd 192.168.55.3 ip from any to any 00300 0 0 allow icmp from any to any 65535 1673 160722 allow ip from any to any работают! но инета все равно нет что еще сделать? |
приведите плиз вывод
netstat -rn к тому-же если в сети 192.168.24.* нет рута в сеть 192.168.55.* то пакеты будут уходить из 55.* , но не приходить , если нет возможности настроить рутинг в сети 192.168.24 , то настройте NAT на FBSD . |
всем доброго времени суток!Извиняюсь что вторгаюсь в тему, у меня АНАЛогичная проблема.Не могу через прокси по фтп ходить.Рядом стоит машина с нее все норм.
прописывал ехпорт ftp_proxy=ftp://10.1.2.1:8021. на проксю по 8021 порту телнетится, дальше уже нет.В чем может быть проблема?Всем заранее спасибо! |
ftp active/passive ?
|
| Часовой пояс GMT +4, время: 20:08. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.