ipfw

[~AsmodeuS~]

Каков же итог ?


Как реализовать такую штуку.

На сервере стоит Abills. Работает NAT.
Но только если прописать этот сервер как шлюз то Интернет пойдёт в обход радиуса и естесвенно нигде не учтется.
Как же реализовать возможность использовать NAT только тем кто подключен по VPN ?
Мб можно при коннекте клиента запускать скриптик который добавляет правило навроде divert на IP выданный VPN'ом?
А при обрыве связи естественно другой скриптик который это дело убирает.
Только вот вопрос ... Как это всё отразится на производительности ? Я имею ввиду когда народу много ... Получается на каждого активного пользователя по 2 правила .

В даной ситуации возможен следующий вариант. Маскарадинг все пользователей которые будут подключаться по VPN

/sbin/natd -u -a xx.xx.xx.xx

ipfw add 1000 divert 8668 ip from 192.168.111.0/24 to any via em1 out
ipfw add 1010 divert 8668 ip from any to xx.xx.xx.xx via em1 in

192.168.111.0/24 - сеть назначеная VPN клиентам
xx.xx.xx.xx - внешний адрес

для запуска поле перезагрузки пропишите в /etc/rc.conf

natd_enable="YES"
natd_interface="xx.xx.xx.xx"
natd_flags="-u"

[Гость]

от natd лучше отказаться, в сторону ipnat

[MaLeha]

Не пойму как это все завернуть на прозрачный прокси..уже и так и сяк - а оно все никак. Может кто напишет что и куда всунуть

[Krom]

Не пойму как это все завернуть на прозрачный прокси..уже и так и сяк - а оно все никак. Может кто напишет что и куда всунуть

Если прокся на этой же машине, то -
${fwcmd} add fwd 127.0.0.1,3128 tco from ${vpn_net}:${vpn_mask} to any 80 out via ${ext_if}

Не забывать об опциях ядра !
Если в качестве прокси используется SQUID, - подправить его конфиг тоже.


У меня просьба к тем, кто настроил всё это через pf на FreeBSD.
Если не трудно, опишите как Вы это реализовали. Особенно интересует прозрачное проксирование. У меня не получилось заставить pf заворачивать пакеты с vpn-сети на проксю. В то время, как с опорной сети это заработало с полпинка.
Возможно есть какие-то грабли?

[MaLeha]

Та все вроде так и делал.. и ядро перекомпилил и сквид вроде настроил - но пакеты не перенаправляются... в логах сквида нет никаких упоминаний о них..для того что бы левые пользователи не ходили в инет использую скрипт который приведен выше в топике..может в этом грабли..просто я плохо понимаю ipfw..

[Гость]

Если прокся на этой же машине, то -
${fwcmd} add fwd 127.0.0.1,3128 tco from ${vpn_net}:${vpn_mask} to any 80 out via ${ext_if}

напиши какие опция надо плиз, как я понял он перебрасывает соеденения с vpn на мою проксю, если они конектятся куда то на 80 порт?
поправьте если я не прав

[realmarkiz]

А кто подскажет как настроить правила при такой схеме:

Есть сервак с абилсом одной сетвухой с реальным адресом воткнут в каталист с виланом, вторая сетвуха смотрит в каталист на ин-се подняты виланы, на которых есть и pptp и pppoe.

Юзерам выдаются реальные адреса, которые на киске статик-роутом завернуты на адрес сетевухи с реальным адресом.

Задача: Закрыть все, разрешить только юзать инет при такой схеме.

[CAM-CAMbI4]

fw="ipfw -q"

${fw} flush


${fw} add 1 pass all from any to any via lo0

${fw} add 10010 divert natd ip from any to any in via fxp0
${fw} add 10020 divert natd ip from (клиентские ip , выдаваемые при подключении у меня 192.168.20.0/24) to any out via fxp0
${fw} add 10030 check-state
${fw} add 10040 allow ip from me to any keep-state
${fw} add 10050 allow ip from 192.168.20.0/24 to any keep-state
${fw} add 10060 allow all from (локалка откуда соединяются у меня : 10.77.104.0/22) to me keep-state
${fw} add 10070 drop all from any to any

всё работает без проблем

[realmarkiz]

fw="ipfw -q"

${fw} flush


${fw} add 1 pass all from any to any via lo0

${fw} add 10010 divert natd ip from any to any in via fxp0
${fw} add 10020 divert natd ip from (клиентские ip , выдаваемые при подключении у меня 192.168.20.0/24) to any out via fxp0
${fw} add 10030 check-state
${fw} add 10040 allow ip from me to any keep-state
${fw} add 10050 allow ip from 192.168.20.0/24 to any keep-state
${fw} add 10060 allow all from (локалка откуда соединяются у меня : 10.77.104.0/22) to me keep-state
${fw} add 10070 drop all from any to any

всё работает без проблем

Я реальные адреса выдаю, а не серые. Мне нат не нужен