Master-X
Регистрация
|
Вход
Форум
|
Новости
|
Статьи
Главная
»
Форум
»
Программинг, Скрипты, Софт, Сервисы
»
Тема:
Настройка серверной части VPN.. (Роутинг траффика)
Новая тема
Ответить
цитата
15/09/07 в 14:38
xreload
Pentarh писал:
Вроде умные люди тут,а до сих пор используют каменный век типа натд и ипфв... Брр
Бро, ну самое главное что работает стабильно, а то что вариантов есть больше, так некто и не спорит
цитата
15/09/07 в 15:51
Pentarh
color писал:
хм, а что ж еще использовать то? %)
ipfilter, ipnat уровня ядра
цитата
15/09/07 в 15:51
Pentarh
color писал:
хм, а что ж еще использовать то? %)
ipfilter, ipnat уровня ядра
цитата
15/09/07 в 15:57
Pentarh
Там в ipnat одна строка конфигурации нужна. И она заменит всю эту поебень с натд,ипфв и прочими инструментами мозахистов из 4й фри. и ничего перекомпилировать не нужно
цитата
15/09/07 в 16:45
color
сейчас посмотрел - у меня таки тоже через ipnat оказывается настроено. склероз
действительно одна строка.
а через ipfw китайцев баню обычно
цитата
15/09/07 в 17:52
Dantist
xreload писал:
стучи, может чем и помогу.
Если сейчас ничего не получится - то отдышусь и начну стучаться ))))
color писал:
http://www.bsdforums.org/forums/showthread.php?t=50786
попробуй сорсы обновить заново
Я именно из этого топика подумал, что gcc4.2 спасет отца русской демократии ))) Ну ладно, сейчас действительно следую последнему совету - и переливаю с чистого листа сорцы с cvsup...
Pentarh писал:
Там в ipnat одна строка конфигурации нужна. И она заменит всю эту поебень с натд,ипфв и прочими инструментами мозахистов из 4й фри. и ничего перекомпилировать не нужно
Таак... Приехали... ))) Я уже на новом серваке админам ДЦ сказал, чтоб ядро пересобрали со "всей этой поебенью" )))))))))))
Давай, рассказывай, чем заменить вот это:
Код:
В /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
natd_enable="YES"
natd_flags="-a {IP сервака}"
gateway_enable="YES"
В /etc/firewall.rc:
-f flush
add pass all from any to any via lo0
add deny all from 127.0.0.1 to any
add deny all from any to 127.0.0.1
add divert natd all from 10.8.0.0/24 to any out via bge0
add divert natd all from any to {IP сервака} in via bge0
/etc/rc.d/ipfw start
Рейтинга накинул )))
цитата
15/09/07 в 18:17
color
в /etc/rc.conf:
ipnat_enable="YES"
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.rules"
в /etc/ipnat.rules:
map fxp0 111.222.333.444 -> 555.666.777.888
где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP
цитата
15/09/07 в 18:19
color
или даже так должно работать тоже:
map fxp0 192.168.0.0/24 -> fxp0/32 portmap tcp/udp 10000:20000
цитата
15/09/07 в 18:24
Dantist
color писал:
в /etc/rc.conf:
ipnat_enable="YES"
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.rules"
в /etc/ipnat.rules:
map fxp0 111.222.333.444 -> 555.666.777.888
где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP
Ща попробую.....
* P.S. даже buildkernel для GENERIC по новозалитым сорцам дает
Код:
cc1: error: unrecognized command line option "-Wno-pointer-sign"
Забил на это :)
цитата
15/09/07 в 18:28
Dantist
Млин...
В опеннете прочел по поводу ipnat:
Цитата:
В ядре нам понадобятся всего 2 строчки:
options IPFILTER
options IPFILTER_LOG
Так таки надо пересобирать ядро?...
цитата
17/09/07 в 00:39
amhost.net
color писал:
в /etc/ipnat.rules:
map fxp0 111.222.333.444 -> 555.666.777.888
где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP
на самом деле строчек надо 3, именно в таком порядке
map fxp0 111.222.333.444 -> 555.666.777.888 proxy port 21 ftp/tcp
map fxp0 111.222.333.444 -> 555.666.777.888 portmap tcp/udp auto
map fxp0 111.222.333.444 -> 555.666.777.888
Dantist писал:
Так таки надо пересобирать ядро?...
ipfilter есть в дефолтном ядре модулем, так что пересобирать не нужно
цитата
17/09/07 в 16:44
DelGod
Pentarh писал:
ipfilter, ipnat уровня ядра
согласен ipnat в данном случае должен справиться.
p.s. я бы не рекомендовал бы его все равно.
может за несколько лет и улучшилась ситуация с ipnat.
но когда я его в последний раз пытался использовать были проблемы. к примеру, из опыта, если 2 машины за ipnat'ом попробуют установить pptp соединение в одну точку то работать корректно не хотело, хотя на pf данной проблемы не наблюдалось
цитата
17/09/07 в 17:24
zl0
Чувак, опомнись, тебе совершенно нет необходимости пересобирать ядро!
В 6 ветке FreeBSD вся эта радость (ipfw, nat) загружается модулями, поэтому достаточно прописать нужные строчки в rc.conf и в rc.firewall и ребутнуть сервер и всё будет работать (можно и без ребута, но это сложнее и не так надежно, я бы ребутнул).
Вот что нужно написать в файлах
rc.conf:
Код:
firewall_enable="YES"
natd_enable="YES"
natd_interface="{IP сервера}"
natd_flags="-f /etc/natd.conf"
gateway_enable="YES"
rc.firewall (прописываешь в конце файла, всё что там уже написано можно оставить):
Код:
ipfw add 65000 pass ip from any to any
ipfw add 100 divert natd ip from 10.0.0.0/8 to any xmit bge0
ipfw add 100 divert natd ip from any to {IP сервера} recv bge0
natd.conf (это в принципе не обязательно, но у нас прописано, думаю на всякий случай лучше прописать):
Код:
unregistered_only yes
same_ports yes
use_sockets yes
IP сервера, как уже говорили, лучше взять свободный, где ничего другого нет, потому что если ты возьмешь IP по которому идет большой траф (ну хостятся сайты к примеру) то natd начнет дохера проца жрать вхолостую, переваривая всё это.
Стр.
« первая
<
1
,
2
Новая тема
Ответить
Эта страница в полной версии