Обсуждение статьи тематического каталога: FreeBSD Настройка ADSL интернета для корпаративных сетей (adsl freebsd modem nat ipfw)Ссылка на текст статьи: http://www.opennet.me/base/net/adsl_freebsd.txt.html
Тут есть неверное правило для ipfw..
---
1400 341 95477 divert 8668 ip from any to via rl0 (см. подробнее о настройке ipfw)
Номер правила 1400. Правило гласит перенаправлять все пакеты
---
#ipfw add divert 8668 ip from any to via rl0
ipfw: unrecognised option [-1] rl0правильно будет ipfw add divert 8668 ip from any to any via rl0
Это не для корпоративных сетей - это для домашних
Только тут можно рекомендовать полную открытость файервола (options IPFIREWALL_DEFAULT_TO_ACCEPT) да и то с некоторой оглядкой.
В любом случае ЛУЧШЕ запретить по умолчанию весь трафик (IPFIREWALL_DEFAULT_TO_ACCEPT исключаем)
а в rc.conf указываем firewall_type="OPEN" и получаем нужную нам полную свободу.
А если есть время и желание действительно настроить фильтрацию, на основе секции SIMPLE создаем свою собственную и начинаем играться с правилами.
> (IPFIREWALL_DEFAULT_TO_ACCEPT исключаем)
Хотел бы я на тебя поглядеть, когда ты правила захочешь перезагрузить, либо очистить :D
И поскачешь за тридевять земель к своему ты пациенту, IPFIREWALL_DEFAULT_TO_ACCEPT нужен! Перед последним и после всех разрешающих правил можно поставить deny all from any to any и все будет пушисто!
Зачем, достаточно нужные правила в set 31 поставить, или скриптом пользоваться.
Стоило ли сервак поднимать если, насколько я понял, ADSL модем находится в режиме router, а не bridge.
Так как здесь ни слова про подключение PPPoE.
А в таком режиме и nat можно на нем включить.
Да и шлюз для корпоративной сети без фаервола - вещь страшная
Natd поднимать стоило. Объясею почему. А куда повашему пойдеит пакет направленный из вне, обратно в локальную сеть. Когда вокруг миллионы компъютеров с адресами 192.168.0.х. Natd необходим там где предпологаются серые ip адреса, эта его одна из одних основопологающих задач. Файрволл нужен обязательно именно его поддержку мы и включили в ядро. Согласен с критокой по поводу его настройки. Эта конфигурация не претендует на звание максимальнооптимизированного и безопаснонстроенного. Тема ipfw заслуживает отдельной книги нето что статьи. Я лишь привел пример роботоспособной конфигурации. В любом случае спасибо за ваши отзывы. Согласен в статье присутствуют неточности и ошибки. Обещаю в последующих изложениях по данной теме учесть ваши замечания.
С уважением Заикин Максим Викторович
То что NAT нужен это ясно, но только ради этого ставить сервер нужды нет. Многие модели ADSL-модемов, особенно которые работают в режиме роутера, умеют делать nat. Они сами цепляются к провайдеру и получают на себя внешний IP адрес. Если и поднимать сервер с подключением по ADSL, то модем нужно переводить в режим моста, и на средствами ОС организовывать PPPoE подключение (тогда сервер получает внешний адрес).
Статья по сути дела бесмысленная, про начала настроки FreeBSD в качестве маршрутизатора говорится чуть ли ни в каждом материале. Про подключение ADSL - тоже ни слова, ipfw - другая статья
Хм, господа. А вы найдмте путевую статью где также подробно описывается чего и куда тыкать для новичков? Это же настройка ШЛЮЗА. Надо фаерволл? другая статья. Надо прокси? тоже есть статья про SQUID. Если вы профи, так напишите статью или книгу как и что настроить от и до. Я считаю, что название выбрано правильно, хоть и с ошибкой грамматической, но сути не меняет. Эта статья фундамент для построения ШЛЮЗА.
Статья хорошая.
Например, для меня было открытием, что natd работает как сетевой сервис на порту 8668 (я думал, что он на системном уровне перекидывает пакеты с интерфейса на интерфейс). А без понимания этого правило "divert 8668 ip from any to any via rl0" выглядит как минимум бессмысленно (за что и удаляется).
> Согласен в статье присутствуют неточности и ошибки. Обещаю в последующих изложениях по данной теме учесть ваши замечания.а слабо было через спелчекер прогнать перед публикацией? - корпАративных в заголовке глаз режет
http://DmitryKarpov.nm.ru/networks/intranet.htm
http://DmitryKarpov.nm.ru/freebsd/natd.htm
Вот у меня есть ворос по самому началу нет конфиг какая команда чтобы в него заити???
У нас небольшое предприятие и есть безлимитный интернет через ADSL
modem, который настроен в режиме роутера (внешний ИП ему назначается
провайдером автоматически). Есть локальный домен на АД которому
нужно обеспечить доступ в инет через файрвол (FreeBSD, ipfw). Проблема в следующем.
Начиналось все с KerioWinroute и так как нормальной работы от него
никто не дождался пришлось ставить Microsoft ISA Server 2006. Но увы,
машина на которую его поставили - не шибко шустрая и тут возник
вопрос, - "А почему бы и не FreeBSD?". Навыков хватило чтоб
установить систему, поставить "мс" и перекопилить ядро... Далее
уверенности в действиях нету совсем никакой...Если вас не затруднит, помогите в настройке. Вот наши характеристики:
Сеть на базе 100mb/s. В сеть входят 1 локальный домен, два сервака,
ADSL modem (Calisto 821+) и
комп-шлюз-файрвол с FreeBSD(ipfw)Comp_domen (подразумевается любой комп локалки).
Intel Pentium IV 2000 mhz, hdd 80gb, ram 256, D-link 100mb/s
Os - Windows XP ProNet Config
ip 192.168.1.144
netmask 255.255.255.0
gateway 192.168.1.150 (локальная сетевуха в FreeBSD машине)
dns1 192.168.1.1 (Локальный DNS c ActiveDerictory)...................
FreeBSD(ipfw):Intel Celeron 2000 mhz, hdd 40gb, ram 256, D-Link 100mbs, Realtek 100mb/s
Os - FreeBSD 7.0-RELEASENet config
rl0 - Realtek
ip 192.168.0.150
netmask 255.255.255.0
gateway 192.168.0.254 (это ИП модема, который настроен в режиме
роутера с динамической выдачей внешнего ИП провайдером)vr0 - D-link
ip 192.168.1.150
netmask 255.255.255.0
dns1 195.5.46.12 (этот ДНС дал сам провайдер, он только один)
dns2 192.168.1.1 (Локальный DNS c ActiveDerictory) - я
не знаю, нужен он тут или нет...
...................Очень ждем ответа от всех откликнувшихся! Заранее - БОЛЬШОЕ СПАСИБО!
Спасибо Максим вот мне твоя статья очен помогла
а есть идеи как сделать без simpla ну типа создать
свой скрипт? Спасибо! Жду ответа. и если можно еще пару вопросов задать
Где описана часть simple конфига файрвола там на локальный интерфей прописано oif, onet - тока у меня ничего не пошло пока не изменил на iif inet и т.д.
Я особо в *nix системах на разбираюсь - обясните пожалуйста это опечатка или так и должно быть!?
А напишите кто-нибудь как выпустить наружу http сервер на компе, подключенному к интернет через ADSL-Ethernet модем, работающий как маршрутизатор.
А меня чё то тревожит
Сборка:cd /usr/src
make buildkernel KERNCONF=CUSTOM
make installkernel KERNCONF=CUSTOMУ меня несроботоло у меня версия FreeBSD 4.5 я водил
cd /usr/src
make buildkernel GENERIC=CUSTOM
make installkernel GENERIC=CUSTOM