FreeBSD настройка шлюза

[john1981]

Ситуация такова: есть сеть (IP 192.168.0.xх), помимо пользовательских машин в ней есть DNS сервак и шлюзовая машина (2 сетевухи, одна смотрит внурь 192.168.0.х, другая в инет 195.хх.хх.хх). На отдельной машине была настроена фря с двумя сетевухами первая 192.168.1.х
и вторая, смотрящая в инет 195.хх.хх.хх. Хочу поставить фряху как шлюз для сети 192.168.1.хх. Короче говоря создать демилитаризованную зону.
В Kerio есть такая штука как DNS forwarding, куда прописывают адреса серверов DNS, кде и как такое прописывается в FreeBSD???
может еще кто нить может подскажет где можно посмотреть образцы
ipfw.conf, а то свим не очень доволен.

[KomatoZo]

Ээээ... DNS у тебя свой настраивается? Или где? Если да, то в named.conf. Если нет - то не совсем понял вопрос про ДНС, но в таком случае настоятельно рекомендую поднять на шлюзе хотя бы кеширующий ДНС.
ipfw... Ну боевой пример тебе вряд ли кто даст, а кусочки можно наверняка по разным сайтам а-ля opennet.ru повыцеплять.

[ftpd]

Цитата:

john1981:
В Kerio есть такая штука как DNS forwarding, куда прописывают адреса серверов DNS, кде и как такое прописывается такое в FreeBSD???
может еще кто нить может подскажет где можно посмотреть образцы

http://www.freebsd.org/doc/en_US.ISO...twork-dns.html
в файл /var/named/namedb/etc/named.conf
в секцию forwarders прописать IP серверов.
в /etc/resolv.conf
добавить строку
nameserver 127.0.0.1

в /etc/rc.conf
named_enable="YES"

ipfw примеры:
http://bsd.opennet.ru/cgi-bin/openne...om=topic&base=

[john1981]

Вот мой порядок действий по выше описаной проблеме:

# cd /usr/src/sys/i386/conf/
# cp GENERIC MYKERNEL

редактируем MYKERNEL
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=500
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT

собираем и компилим
# cd /usr/src/
# make buildkernel KERNCONF=MYKERNEL
# make installkernel KERNCONF=MYKERNEL
# shutdown -r now

правим /etc/rc.conf
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
firewall_logging="YES"
natd_enable="YES"
natd_program="/sbin/natd"
natd_flags="-f /etc/natd.conf"

# vi /etc/rc.ipfw

#!/bin/sh
# Manual script for ipfw
echo -n "Starting firewall..."
ipfw="/sbin/ipfw"
uports="1025-65535"

int_if="rl0"
ext_if="rl1"

int_ip="192.168.0.5"
ext_ip="195.x.x.0"

int_net="192.168.0.0"
ext_net="195.х.х.85"

for_lan="smtp,pop3,domain,http,https,ftp,ssh"
for_rout="smtp,pop3,domain,http,https,ftp,ssh"

Services="smtp,pop3,http,https,domain,ssh,ftp"
${ipfw} add allow all from any to any via lo0 -ЭТО ПРАВИЛЬНО????
${ipfw} add deny all from any to 127.0.0.0

${ipfw} add deny all from 127.0.0.0 to any in recv $ext_if
${ipfw} add deny all from 10.0.0.0 to any in recv $ext_if
${ipfw} add deny all from 172.16.0.0 to any in recv $ext_if
${ipfw} add deny all from 192.168.0.0 to any in recv $ext_if

${ipfw} add allow all from $int_net to any in recv $int_if
${ipfw} add allow all from any to $int_net out xmit $int_if

${ipfw} add divert natd all from $int_net to not $int_net out xmit $ext_if
${ipfw} add divert natd all from any to $ext_ip in recv $ext_if

${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established
${ipfw} add allow tcp from any $for_rout to $ext_ip $uports in recv $ext_if established
${ipfw} add allow udp from $ext_ip $uports to any domain out xmit $ext_if
${ipfw} add allow udp from any domain to $ext_ip $uports in recv $ext_if
${ipfw} add allow udp from any domain to $int_net $uports in recv $ext_if

${ipfw} add allow icmp from any to me icmptypes 0,3,4,11,12 in
${ipfw} add allow icmp from any to $int_net icmptypes 0,3,4,11,12 in recv $ext_if
${ipfw} add allow icmp from me to any icmptypes 3,8,12 out

${ipfw} add allow tcp from $ext_ip $uports to any $uports out xmit $ext_if
${ipfw} add allow tcp from any $uports to $ext_ip $uports in recv $ext_if established
${ipfw} add allow tcp from any $uports to $vip_net $uports in recv $ext_if established
${ipfw} add deny log logamount 700 tcp from any to $ext_ip in recv $ext_if setup
${ipfw} add deny all from any to any
echo "DONE"

/var/named/namedb/etc/named.conf :
forwarders 192.168.0.сервер .. ЗДЕСЬ КАКОЙ СЕРВАК ПИСАТЬ???
/etc/resolv.conf :
nameserver 127.0.0.1
/etc/rc.conf
named_enable="YES"


Все верно???

[KomatoZo]

Цитата:

john1981:
forwarders 192.168.0.сервер .. ЗДЕСЬ КАКОЙ СЕРВАК ПИСАТЬ???

Чужой =) То есть провайдерский =)
Разрешение всего через lo0 - правильно. Остальное читать времени нет, извини.

[john1981]

вроде сделал инет, но в правилах ипфв убрал все deny,
каждый сам пишет для себя боевой ipfw?

тока медленно странички открывает, может надо сквид сделать???
я так понял что это проксЯ
это повысит скорость инета (из-за этого скорость маленькая)?

[KomatoZo]

Ээээ... То что каждый пишет для себя - однозначно =) Сети и цели у всех разные.
Страничка медленно открывается - это любопытный диагноз =) Все странички или только избранные??? Насколько медленно? Какой при этом у тебя канал в интернет? =)
Проксик поможет быстрее открывать статические странички, на которых ты уже бывал. Или кто то из твоей сети бывал. Если ходишь на одни и теже сайты - ставь сквид - немного поможет да и трафик сэкономит чуток.

[john1981]

Неизвестные до этого страницы открываются чуть быстрее, но потом внутри сайта все тормозит. Открытие длится более минуты.
Линия ADSL 256.

Дело в том, что пока идет эксперимент в такой конфигурации:
Все в той же сети DHCP сервак раздает IP адреса клиентам, убрал из нее шлюз, который был до этого и воткнул фряху со статическим ИПшником который был на шлюзе в эту сеть. Но с любой машины и с фряхи инет тормозит выше изложеным способом.

Убираю фряшную машину и ставлю старый шлюз - инет гораздо бодрее!!!

[KomatoZo]

то есть 256К. Открываются все сайты медленно? может все-таки линия не дает полных 256К? Проксик в общем случае даст прирост производительности но небольшой скорее всего.

Цитата:

john1981:
убрал все deny

Только что заметил... Совсем убрал??? И в ядре стоит allow по-умолчанию??? =)

[john1981]

Дело в том, что пока идет эксперимент в такой конфигурации:
Все в той же сети DHCP сервак раздает IP адреса клиентам, убрал из нее шлюз, который был до этого и воткнул фряху со статическим ИПшником который был на шлюзе в эту сеть. Но с любой машины и с фряхи инет тормозит выше изложеным способом.

Убираю фряшную машину и ставлю старый шлюз - инет гораздо бодрее!!!


Вот тут по подробнее!!!!
про какой аллоу ты говоришь???
(если что то ядро вверху, точнее все что я делал)

[ftpd]

Цитата:

KomatoZo:
вроде сделал инет, но в правилах ипфв убрал все deny

Да, для начала это нормально.А вообще правильная политика файервола - это все что не разрешено - запрещено.
т.е.
options IPFIREWALL_DEFAULT_TO_BLOCK
и при
ipfw show | grep 65535
должно быть deny ip from any to any

[john1981]

65535 deny all from any to any

с таким вариантом фряшная машина не пингуется из сети, следовательно нет доступа в инет с клиентской машины
Чем отличается 65535 deny ip from any to any???

[KomatoZo]

Уф... уработался ... Значит так... the best practice - политика по-умолчанию - запретить все и потом открывать потихоньку. Поэтому лучше ты ядро перекомпили так чтобы системная политика была deny или верни последний deny в конфиге обратно. В чем может быть замедление о котором ты наконец-то подробно рассказал - не подскажу. Слишком давно с фрей не заморачивался =(
Когда заморачивался поменял виндовый шлюз на фревый - все летать стало =)

[john1981]

options IPFIREWALL_DDEFAULT_TO_ACCEPT -это значит что разрешено, так?

и по поводу тормозов, может быть рпоблема в том что фрю включил со статич. IP, но в домен её не включал?

[ftpd]

тормоза - это субъективное понятие.
давай объективные цифры.
Т.е. скорость канала в инет, и скачивание чего-то с сервера прова или с объективно быстрых серверов из мира, если у провайдера с внешними каналами проблем нету.
Пока открывается страница:
iostat -c 5 -w 4
и еще покажи
swapinfo
netstat -m

Цитата:

john1981:
options IPFIREWALL_DDEFAULT_TO_ACCEPT -это значит что разрешено, так?

Да. По-умолчанию разрешать все.

Цитата:

john1981:
Чем отличается 65535 deny ip from any to any???

моя опечатка. имел ввиду именно 65535 deny all from any to any

[john1981]

Забыл обозначить FreeBSD 6.0
Вопрос: собрал свое ядро - работает, открыв его, решил убрать не нужное оборудование, ДОСТАТОЧНО ЛИ ПРОСТО ПЕРЕЗАГРУЗИТЬ СИСТЕМУ ИЛИ НАДО КОМПИЛИТЬ ЕГО ЕЩЕ РАЗ?

[KomatoZo]

В смысле - убрать оборудование? Из ядра или железки повыкидывать? =)
Если первое, то перекомпилить однозначно , если второе, то необязательно =)

[john1981]

из файла! понял!

И еще кое-что.
Что то я с настройкой шлюза перехимичил. Есть такая штука, как откат системы в начальное состояние?? если нет, то как востановить первоначальное сотояние не переставляя фрюю

[KomatoZo]

Отката, насколько я понимаю, нет.
Можно загрузить стратовое ядро (GENERIC)
Можно в некоторых отдеинсталлить софт.
Смотря что нужно.
Впрочем, я опять говорю, основываясь на своем опыте трехлетней давности, может спецы что предложат.

[ftpd]

Цитата:

john1981:
Есть такая штука, как откат системы в начальное состояние??

только если есть бекапы.
man dump
man restore

Можно самому просто бекапить выборочные каталоги :
/usr/bin/tar -jcf `date -v-1d "+cfg_backup.%Y-%m-%d.tar.bz2"` /etc /usr/local/etc /еще/каталог /и/еще/каталог