форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогайте с MPD(VPN) + IPFW !!!"

Сообщение от Shaokoa on 13-Авг-06, 23:03

Проблема такова: Стоит Фря, на ней есть MPD который организововает доступ ВПН соединения... К нему подсоединяються клиенты из Виндовса. Потом они НАТятся, Дайвятчя и Форворядся... Как написать правила фаервола(IPFW) что бы они пропускали ВПН клиентов на сервер с Фрей?? При написании такой конструкции, пользователи доходят до "Проверки имени пользователя и пароля" и останавливаетсья: add 100 allow tcp from {сеть клиентов) to me pptp keep-state add 200 allow gre from any to any Как правлильно написать это правило? Надо ли писать разрешения для адресов которые создаються с помощью МПД(ng0..ng99)?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Помогайте с MPD(VPN) + IPFW !!!"

Сообщение от Shaokoa on 14-Авг-06, 18:31

192.168.0.0/16 - внутреняя локалка 10.0.0.0/24  - сеть ВПН ed0 - интерфейс внутреней сети dc0 - фейс выхода в и-нет ng* - интерфейсы для ВПН тунелей 00100 check-state 00200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 00210 unreach host ip from 192.168.0.0/16 to any in recv dc0 00250 allow gre from any to any 00260 allow ip from any to any via ng* 00300 allow ip from any to any via lo0 00320 allow icmp from any to any 00330 allow udp from me to any 53 keep-state 00400 allow tcp from 192.168.0.0/16 to me 80,443 00400 allow tcp from 192.168.0.7 to me 22 keep-state via ed0 00500 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any 80 out xmit dc0 00510 divert 8668 ip from 10.0.0.0/24 to any out xmit dc0 00520 divert 8668 ip from not 10.0.0.0/24 to any in recv dc0 65535 deny ip from any to any Вот при такой констукции правил -  ВПН у клиентов виснит на стадии "проверки имени пользователя и пароля"...   ЧТО ТУТ НЕ УЧТЕНО?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Помогайте с MPD(VPN) + IPFW !!!"
	Сообщение от гость on 15-Авг-06, 12:01
	а может копать в сторону авторизации на mpd?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Помогайте с MPD(VPN) + IPFW !!!"
	Сообщение от idle (ok) on 15-Авг-06, 12:45
	>192.168.0.0/16 - внутреняя локалка >10.0.0.0/24  - сеть ВПН >ed0 - интерфейс внутреней сети >dc0 - фейс выхода в и-нет >ng* - интерфейсы для ВПН тунелей > > >00100 check-state >00200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 >00210 unreach host ip from 192.168.0.0/16 to any in recv dc0 > >00250 allow gre from any to any >00260 allow ip from any to any via ng* > >00300 allow ip from any to any via lo0 >00320 allow icmp from any to any >00330 allow udp from me to any 53 keep-state >00400 allow tcp from 192.168.0.0/16 to me 80,443 >00400 allow tcp from 192.168.0.7 to me 22 keep-state via ed0 >00500 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any 80 out xmit dc0 > >00510 divert 8668 ip from 10.0.0.0/24 to any out xmit dc0 >00520 divert 8668 ip from not 10.0.0.0/24 to any in recv dc0 > >65535 deny ip from any to any > >Вот при такой констукции правил -  ВПН у клиентов виснит на >стадии "проверки имени пользователя и пароля"... >ЧТО ТУТ НЕ УЧТЕНО? Добавьте 00340 allow tcp from me to any 53 keep-state. Перед 65535 правилом добавьте такое-же только с опцией log и смотрите логи.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]