URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10079
[ Назад ]

Исходное сообщение
"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 13:04

Дано:
машина с FreeBSD, rl0 - внутренний интерфейс, rl1 - внешний интерфейс. При подключении создается тунель tun0 (inet ип_адрес_rl1 --> ип_адрес_провайдера).
Вопрос:
1. какой из интерфейсов (rl1 или tun0) указывать в правилах, обрабатывающих запросы наружу и внутрь? к примеру, что правильно:
- allow tcp from any to any 443 via rl1 setup
- allow tcp from any to any 443 via tun0 setup
2. при рестарте сетевых подключений (/etc/netstart), каждый раз создается новый тунель (tunN), причем неактивный. почему?

Содержание

Настройка ipfw через PPPOE,shu1976, 13:22 , 16-Мрт-06
- Настройка ipfw через PPPOE,alchie, 13:33 , 16-Мрт-06
  - Настройка ipfw через PPPOE,cad2206, 13:43 , 16-Мрт-06
    - Настройка ipfw через PPPOE,alchie, 13:55 , 16-Мрт-06
      - Настройка ipfw через PPPOE,cad2206, 14:17 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 14:36 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 14:45 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 15:04 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 15:14 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 15:22 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 15:32 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 15:39 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 15:54 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 15:58 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 16:08 , 16-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 16:28 , 20-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 16:36 , 20-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 16:39 , 20-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 17:17 , 20-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 08:39 , 21-Мрт-06
        
        Настройка ipfw через PPPOE,alchie, 10:09 , 21-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 11:04 , 21-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 13:58 , 21-Мрт-06
        Настройка ipfw через PPPOE,alchie, 14:25 , 21-Мрт-06
        
        Настройка ipfw через PPPOE,cad2206, 16:39 , 21-Мрт-06

Сообщения в этом обсуждении

"Настройка ipfw через PPPOE"
Отправлено shu1976 , 16-Мрт-06 13:22

>
>1. какой из интерфейсов (rl1 или tun0) указывать в правилах, обрабатывающих запросы
>наружу и внутрь? к примеру, что правильно:
у тебя tun0 через rl1 проходит? значит писать надо на rl1. потом отдельно для tun0 пропускаемые правила напишешь при желании
2. какая версии фри?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 13:33

>>
>>1. какой из интерфейсов (rl1 или tun0) указывать в правилах, обрабатывающих запросы
>>наружу и внутрь? к примеру, что правильно:
>
>у тебя tun0 через rl1 проходит? значит писать надо на rl1. потом
>отдельно для tun0 пропускаемые правила напишешь при желании
>
>2. какая версии фри?
если трафик через tun0 бегает, на нем и писать. он с точки зрения айпи нормальный интерфейс

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 13:43

"у тебя tun0 через rl1 проходит? значит писать надо на rl1. потом отдельно для tun0 пропускаемые правила напишешь при желании" - в том и дело, что если прописывать через rl1, ниче не проходит.... что очень непонятно.....
версия: 5.2

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 13:55

>"у тебя tun0 через rl1 проходит? значит писать надо на rl1. потом
>отдельно для tun0 пропускаемые правила напишешь при желании" - в том
>и дело, что если прописывать через rl1, ниче не проходит.... что
>очень непонятно.....
>
>версия: 5.2
потому что через rl идут инкапсулированные пакеты. tcpdump'ом посмотри. сравни tun и rl

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 14:17

alchie: объясни непутевому, что значит инкапсулированные пакеты?
и что значит для tun0 отдельно прописать пропускаемые правила?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 14:36

>alchie: объясни непутевому, что значит инкапсулированные пакеты?
на морковках? пожалуйста.
у тебя есть груз - молоко (какие-либо данные). ты его разливаешь по тетрапакам (разбиваешь на пакеты). тетрапаки легко доставляются до ближайшей точки выхода с молокозавода (до шлюза), дальше они инкапсулируются в грузовик (в кадр PPPoE) и едут по дороге (туннелю) до магазина (шлюза на другой стороне туннеля). там выгребаются из грузовика (декапсулируются) ну и т.д.
>и что значит для tun0 отдельно прописать пропускаемые правила?
это когда ты правила "не пропускать воду до дома №1" и "до дома №5 пропускать воду только определенного качества" прибиваешь к водопроводной трубе, а не к земле, в которой она лежит.

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 14:45

alchie: мда, в воображении тебе не занимать) классно объяснил. в общем смысл то я понял.... мнеб еще примерчик простенький бы. к примеру как правильно тогда дать доступ изнутри на HPPT?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 15:04

>alchie: мда, в воображении тебе не занимать) классно объяснил. в общем смысл
>то я понял.... мнеб еще примерчик простенький бы. к примеру как
>правильно тогда дать доступ изнутри на HPPT?
wtf HPPT?
примерчик дать не могу - нету ни одной фрюшки под рукой. если умеешь строить файрволл - то ничего сложного нету. для тебя rl и tun разные интерфейсы. на rl ваще ничего вешать не надо. там у тебя ip как таковой не бегает
если кроме этого PPPoE у тебя никаких туннелей больше нет:
ipfw add allow all from any to any via tun\*

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 15:14

если я все ставлю через tun0, то при выполнении /etc/netstart, появляется новый тунель (tun1), и все пытается валить через него...... ну а в правилах естественно указан tun0, и все стопорится....

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 15:22

или в твоем сообщении via tun\* - символы \* зарезервированы и означают через любой активный тунель?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 15:32

>или в твоем сообщении via tun\* - символы \* зарезервированы и означают
>через любой активный тунель?
это означает "правило применимо к любому tun интерфейсу". несколько иной смысл, по сравнению с твоим

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 15:39

ага. вобщем я так понял, у меня в rc.ipfw должен быть указан везде в качестве интерфейса наружу tun/*?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 15:54

>ага. вобщем я так понял, у меня в rc.ipfw должен быть указан
>везде в качестве интерфейса наружу tun/*?
правильнее было бы разобраться с причиной такого поведения фрюшки, но если лень - можно и так (с tun\*)

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 16-Мрт-06 15:58

" разобраться с причиной такого поведения фрюшки" - ты имеешь в виду появление нового тунеля командой /etc/netstart?

"Настройка ipfw через PPPOE"
Отправлено alchie , 16-Мрт-06 16:08

>" разобраться с причиной такого поведения фрюшки" - ты имеешь в виду
>появление нового тунеля командой /etc/netstart?
да.
вощем забудь. когда квалификации будет хватать - пороешься и поймешь причину эффекта

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 20-Мрт-06 16:28

Ребяты, ну подскажите хоть в какую сторону копать?!
Вот мое предположение: тунель подымается в момент соединения с провайдером. Но при перезагрузке сетевых параметров (/etc/netstart) он не падает, но подымается еще один..... почему? где копать?

"Настройка ipfw через PPPOE"
Отправлено alchie , 20-Мрт-06 16:36

>Ребяты, ну подскажите хоть в какую сторону копать?!
>Вот мое предположение: тунель подымается в момент соединения с провайдером. Но при
>перезагрузке сетевых параметров (/etc/netstart) он не падает, но подымается еще один.....
>почему? где копать?
в имени скрипта netSTART. ну нету скрипта netSTOP.
что ты такого меняешь в настройках, чего нельзя поменять из командной строки?

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 20-Мрт-06 16:39

Т.е. я сначала должен руками убить тунель, а потом /netstart?

"Настройка ipfw через PPPOE"
Отправлено alchie , 20-Мрт-06 17:17

>Т.е. я сначала должен руками убить тунель, а потом /netstart?
я перестану отвечать на твои мессаги, если ты будешь продолжать игнорировать мои вопросы

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 21-Мрт-06 08:39

alchie: "что ты такого меняешь в настройках, чего нельзя поменять из командной строки?" - я не понял смысл вопроса...

"Настройка ipfw через PPPOE"
Отправлено alchie , 21-Мрт-06 10:09

>alchie: "что ты такого меняешь в настройках, чего нельзя поменять из командной
>строки?" - я не понял смысл вопроса...
спрошу иначе: для чего ты перезапускаешь /etc/netstart?

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 21-Мрт-06 11:04

спрошу иначе: для чего ты перезапускаешь /etc/netstart? -
1. после правки rc.conf
2. после правки rc.ipfw (правил)
...

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 21-Мрт-06 13:58

alchie: ну куда ты пропал?
помогни начинающему - утопающему...

"Настройка ipfw через PPPOE"
Отправлено alchie , 21-Мрт-06 14:25

>спрошу иначе: для чего ты перезапускаешь /etc/netstart? -
>1. после правки rc.conf
>2. после правки rc.ipfw (правил)
>...
все твои правки применяются не по мановению волшебной палочки.
если поискать изменяемый rc.conf'овский параметр в /etc/netstart, то можно увидеть, что, например, ip адрес на эзернете выставляется с помощью ifconfig, а изменения в rc.ipfw можно применить с помощью скармливания этого скрипта либо шеллу (/bin/sh), либо самому ipfw, в зависимости от того, как этот самый rc.ipfw написан
резюме: rc.netstart лучше не дергать попусту. найди в нем нужные тебе команды и пользуйся ими

"Настройка ipfw через PPPOE"
Отправлено cad2206 , 21-Мрт-06 16:39

alchie: понял, спасибо, буду дальше копать