форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"не могу победить mpd5"

Сообщение от GHopper (ok) on 26-Май-08, 12:19

Здравствуйте! FreeBSD 7.0, mpd5 #mpd.conf pptp_server:     set ippool add pool1 192.168.1.2/24 192.168.1.255/24     create bundle template B #    set iface up-script /usr/local/etc/mpd5/script/up-script_server.sh #    set iface down-script /usr/local/etc/mpd5/script/down-script_server.sh     set iface enable proxy-arp     set iface idle 1800     set iface enable tcpmssfix     set ipcp yes vjcomp # Specify IP address pool for dynamic assigment.     set ipcp ranges 192.168.1.1/24 ippool pool1 # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type.     set bundle enable compression     set ccp yes mppc     set mppc yes e40     set mppc yes e128     set mppc yes stateless # Create clonable link template named L     create link template L pptp # Set bundle template to use     set link action bundle B # Multilink adds some overhead, but gives full 1500 MTU.     set link enable multilink     set link yes acfcomp protocomp     set link no pap chap     set link enable chap     set link keep-alive 10 60     set link mtu 1460     set pptp self 192.168.0.1     set link enable incoming При подключении клиента, получается туннель: ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1456         inet 192.168.1.1 --> 192.168.1.2 netmask 0xffffffff И так все туннели - 192.168.1.X/32! А мне надо, чтобы маска была 24, т.к. на 32 приходится в фаерволе каждый ip-клиента прописывать и никак не задать подсеть. Скажите почему с этим конфигом выдаются ip-адреса в маске 32? Если вдрег я захочу оставить (или мне придется) маску туннеля 32, то как добавлять/удалять правила в ipfw - ведь нужно чтобы они шли в определенной последовательности: 00300 1787 1009211 divert 8668 ip from any to me in via ng0 00310 1860  153853 divert 8668 ip from 192.168.1.2 to any out via ng0 00320    0       0 divert 8668 ip from 192.168.1.3 to any out via ng0 00330    0       0 divert 8668 ip from 192.168.1.4 to any out via ng0 Как добиться этого-же результата из скриптов, запускаемых mpd при поднятии туннеля - ip сервера есть, ip-клиента есть, но вот как получить порядковый номер правила? И как его потом удалить, при закрытии туннеля?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "не могу победить mpd5"

Сообщение от PavelR (??) on 26-Май-08, 15:15

>Как добиться этого-же результата из скриптов, запускаемых mpd при поднятии туннеля - >ip сервера есть, ip-клиента есть, но вот как получить порядковый номер >правила? И как его потом удалить, при закрытии туннеля? >И так все туннели - 192.168.1.X/32! А мне надо, чтобы маска была 24, т.к. на 32 >приходится в фаерволе каждый ip-клиента прописывать и никак не задать подсеть. Файрволл и интерфейсы не так жестко связаны как вам кажется. >Скажите почему с этим конфигом выдаются ip-адреса в маске 32? Так правильно. >Если вдрег я захочу оставить (или мне придется) маску туннеля 32, то как >добавлять/удалять правила в ipfw - ведь нужно чтобы они шли в определенной >последовательности: А нафига кучу правил? >00300 divert 8668 ip from any to me in via ng0 >00310 divert 8668 ip from 192.168.1.2 to any out via ng0 >00320 divert 8668 ip from 192.168.1.3 to any out via ng0 >00330 divert 8668 ip from 192.168.1.4 to any out via ng0 Напиши одно большое правило 00310 divert 8668 ip from 192.168.1.0/24 to any out via ng* Думаю что это удовлетворит твоим условиям.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "не могу победить mpd5"
	Сообщение от GHopper (ok) on 26-Май-08, 15:34
	>[оверквотинг удален] >>00300 divert 8668 ip from any to me in via ng0 >>00310 divert 8668 ip from 192.168.1.2 to any out via ng0 >>00320 divert 8668 ip from 192.168.1.3 to any out via ng0 >>00330 divert 8668 ip from 192.168.1.4 to any out via ng0 > >Напиши одно большое правило >00310 divert 8668 ip from 192.168.1.0/24 to any out via ng* > > >Думаю что это удовлетворит твоим условиям. так ведь туннели поднимаются в 32 маске!? 00310 divert 8668 ip from 192.168.1.0/24 to any out via ng*  - маска 24. тоесть это правило не будет удовлетворять пакетам из туннелей ng*. Правильно я мыслю? Поэтому я и прописываю ip каждого поднятого туннеля в фаерволе, чтобы дивертить пакеты из него...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "не могу победить mpd5"
	Сообщение от PavelR (??) on 26-Май-08, 16:03
	>>Думаю что это удовлетворит твоим условиям. > >так ведь туннели поднимаются в 32 маске!? >00310 divert 8668 ip from 192.168.1.0/24 to any out via ng*   >- маска 24. > >тоесть это правило не будет удовлетворять пакетам из туннелей ng*. Правильно я >мыслю? Поэтому я и прописываю ip каждого поднятого туннеля в фаерволе, >чтобы дивертить пакеты из него... неправильно мыслишь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "не могу победить mpd5"
	Сообщение от GHopper (ok) on 26-Май-08, 16:13
	ага! дошло )) Не шарю я в этом деле пока еще, совсем не шарю...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]