URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 51122
[ Назад ]
Исходное сообщение
"не могу настроить  firewall для VPN-соединения"
Отправлено vlad11 , 01-Дек-04 14:23 
В тех-поддержке провайдера советует такие правила:

add allow fwd 10.0.7.1 all from any to 10.128.4.1 # point on the router
add allow all from any to any


Но! между ними нельзя вставлять свое правило, ибо pptp соединения не подымается :-((

Вписываю дополнительные три правила

add allow fwd 10.0.7.1 all from any to 10.128.4.1

add allow gre from 10.128.4.1 to 10.0.7.75
add allow tcp from 10.128.4.1 to 10.0.7.75 1723
add allow tcp from 10.0.7.75 1723 to 10.128.4.1

add allow all from any to any

Но основная часть пакетов разруливает последнее правило :-(((


система FreeBSD 4.9  собрана со всеми опциями firewall'a и форвардинга...

Содержание
Сообщения в этом обсуждении
"не могу настроить  firewall для VPN-соединения"
Отправлено alk , 01-Дек-04 15:04 

add allow log all from any to any

потом лезем в лог и смотрим откуда куда и как пакеты лезут


"не могу настроить  firewall для VPN-соединения"
Отправлено Grayich , 01-Дек-04 15:07 
и еще
>add allow gre from 10.128.4.1 to 10.0.7.75

надо так писать, так как автоматом gre в №47 не преобразуется...
add allow 47 from 10.128.4.1 to 10.0.7.75

"не могу настроить  firewall для VPN-соединения"
Отправлено alk , 01-Дек-04 15:17 
>и еще
>>add allow gre from 10.128.4.1 to 10.0.7.75
>
>надо так писать, так как автоматом gre в №47 не преобразуется...
>add allow 47 from 10.128.4.1 to 10.0.7.75
>

не факт
у меня написано именно gre и правило
в ipfw так и выглядит allow gre from any to any

"не могу настроить  firewall для VPN-соединения"
Отправлено Grayich , 01-Дек-04 15:24 
>не факт
>у меня написано именно gre и правило
>в ipfw так и выглядит allow gre from any to any

странно, у меня gre прописывалось, и при ipfw show  так и выдавало gre и при этом неработало :)  пока не воспользовался /etc/protocols  и непоменял на числовое значение.

"не могу настроить  firewall для VPN-соединения"
Отправлено alk , 01-Дек-04 15:31 

>странно, у меня gre прописывалось, и при ipfw show  так и
>выдавало gre и при этом неработало :)  пока не воспользовался
>/etc/protocols  и непоменял на числовое значение.

В этом и суть
если в /etc/protocols  нет числового соответствия
то нас ожидает легкий облом

"не могу настроить  firewall для VPN-соединения"
Отправлено Grayich , 01-Дек-04 15:35 
>В этом и суть
>если в /etc/protocols  нет числового соответствия
>то нас ожидает легкий облом

в том то и прикол что соответствие было, а облом всеравно произошел :)

"не могу настроить  firewall для VPN-соединения"
Отправлено kir , 01-Дек-04 17:04 
что попало...

можно еще раз и по сути?
что есть - что нужно сделать - и что не получаеться

"не могу настроить  firewall для VPN-соединения"
Отправлено vlad11 , 01-Дек-04 17:34 
ПРи таких правилах работает:

add allow fwd 10.0.7.1 all from any to 10.128.4.1
add allow all from any to any

При таких правилах НЕ работает:

add allow fwd 10.0.7.1 all from any to 10.128.4.1

#add allow gre from 10.128.4.1 to 10.0.7.75
add allow 47 from 10.128.4.1 to 10.0.7.75
add allow tcp from 10.128.4.1 to 10.0.7.75 1723
add allow tcp from 10.0.7.75 1723 to 10.128.4.1

add allow all from any to any


"не могу настроить  firewall для VPN-соединения"
Отправлено vlad11 , 02-Дек-04 00:25 
>что попало...
>
> можно еще раз и по сути?
> что есть - что нужно сделать - и что не получаеться
>

otrada# ipfw show
00100    0       0 divert 8668 ip from any to 10.0.0.0/24 via vr0
00200   15     756 allow icmp from 10.0.0.0/24 to any
00300    0       0 allow ip from 62.16.0.zzz to any via vr0
00400    0       0 allow ip from any to 62.16.0.zzz via vr0
00500 1762  266929 fwd 10.0.7.1 ip from any to 10.128.4.1 via vr0
00600 1459  659416 allow gre from 10.128.4.1 to 10.0.7.75
00700    0       0 allow tcp from 10.128.4.1 to 10.0.7.75 1723
00800   20    1252 allow tcp from 10.128.4.1 1723 to 10.0.7.75
00900    0       0 allow tcp from any to any 22,23 via vr0
01000    0       0 allow tcp from any 22,23 to any via vr0
01100    0       0 allow tcp from any to any 20,21 via vr0
01200    0       0 allow tcp from any 20,21 to any via vr0
01300    0       0 allow tcp from any to any 25 via vr0
01400    0       0 allow tcp from any 25 to any via vr0
01500   44    2874 allow udp from any to any 53 via vr0
01600   21    2659 allow udp from any 53 to any via vr0
01700    3     132 allow tcp from any to any 80 via vr0
01800    0       0 allow tcp from any 80 to any via vr0
01900    0       0 allow tcp from any to any 110 via vr0
02000    0       0 allow tcp from any 110 to any via vr0
02100    0       0 allow tcp from any to any 119 via vr0
02200    0       0 allow tcp from any 119 to any via vr0
02300    0       0 allow tcp from any to any 2082,2086,2095 via vr0
02400    0       0 allow tcp from any 2082,2086,2095 to any via vr0
02500    0       0 allow tcp from any to any 5190 via vr0
02600    0       0 allow tcp from any 5190 to any via vr0
02700    0       0 allow tcp from any to any 5500,5501 via vr0
02800    0       0 allow tcp from any 5500,5501 to any via vr0
02900  304   33198 allow ip from any to any via lo0
03000 4368 1101443 allow ip from any to any via rl0
03100    0       0 allow ip from 62.16.0.zzz to any via vr0
03200    0       0 allow ip from any to 62.16.0.zzz via vr0
65535 3080  802520 allow ip from any to any


Почему правила 1800-2800 не срабатывают?

"не могу настроить  firewall для VPN-соединения"
Отправлено Grayich , 02-Дек-04 12:24 
распиши подробнее что куда и зачем
ip сервера
ip провайдера
кто по впн ходит и т.д.
"не могу настроить  firewall для VPN-соединения"
Отправлено vlad11 , 02-Дек-04 14:51 
>распиши подробнее что куда и зачем
>ip сервера
>ip провайдера
>кто по впн ходит и т.д.

Стоит сервер FreeBSD 4.10 воткнуты две сетевухи -
vr0 - 10.0.7.75(хотя провайдер раздает адреса через dhcp, но IP один и тот же) - внешняя карточка
rl0 - 10.0.0.10/24 - карточка смотрит во внутренюю сетку

Модем ZYXEL Omni ADSL Lan воткнут в внешнюю карточку (vr0) и настроен в режим бриджа.

Пользователи внутри локальной сетки сидят в диапозоне 10.0.0.0/24

Путь до провайдерского VPN-сервера (10.129.4.1) прописан в rc.conf

# Route

static_routes="Matrix_FTP"
route_Matrix_FTP="10.129.1.2/32 10.0.7.1"
route_Matrix_VPN="10.129.4.1/32 10.0.7.1"

коннекчусь pptpclient'ом
в правилах ipfw.conf разрешаю:

add fwd 10.0.7.1 all from any to 10.128.4.1 via vr0
add allow all from any to any

(Полный список правил, я указал выше)

вот с такими правилами pptpclient соединяется, но машина при этом полностью открыта!!!!!!!!!


"не могу настроить  firewall для VPN-соединения"
Отправлено Grayich , 02-Дек-04 16:26 

>Путь до провайдерского VPN-сервера (10.129.4.1) прописан в rc.conf
>
>При таких правилах НЕ работает:
>
>add allow fwd 10.0.7.1 all from any to 10.128.4.1
>#add allow gre from 10.128.4.1 to 10.0.7.75
>add allow 47 from 10.128.4.1 to 10.0.7.75
>add allow tcp from 10.128.4.1 to 10.0.7.75 1723
>add allow tcp from 10.0.7.75 1723 to 10.128.4.1
>add allow all from any to any

если VPN прова 10.129.4.1
то почему в правилах использеутся 10.128.4.1  ?

"не могу настроить  firewall для VPN-соединения"
Отправлено vlad11 , 02-Дек-04 19:25 

>если VPN прова 10.129.4.1
>то почему в правилах использеутся 10.128.4.1  ?

Ок, одна ошибка есть. Исправил.
Но все по-прежнему, да и эта ошибка не влияла на работу firewall'a.

Может быть, все из-за того, что при запуске pptpclient'a у него в опциях стоит запуск NAT?

"Вопрос решен"
Отправлено vlad11 , 03-Дек-04 01:32 
ADSL modem создавал соединение tun0, через которое шел весь траффик.

Прошу прощения за беспокойство.