Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

FreeBSD
 

 
Господа! Общие вопросы по FreeBSD - это не помойка для всех подряд вопросов по данной ОС. Здесь можно задать вопрос, ради которого открывать отдельную тему не имеет смысла, то есть когда вопрос очень простой.
Если же вопрос касается настроек, конфигурированиях и т.д. и т.п. - следует открывать отдельные темы (а сначала воспользоваться фильтром тут и тут).

Официальные ресурсы по FreeBSD

FreeBSD
Офицальное руководство пользователя FreeBSD
Официальные книги  
FTP FreeBSD Fundation
Официальный форум FreeBSD
Полезные ссылки по FreeBSD

FreshPorts - уязвимости, обновления и другая информация по портам
Daemoniada, или За свободный десктоп - ОС FreeBSD, ее устройство и использование в мирных (то есть настольных) целях.  
bsd.opennet.ru - мини-портал информация по FreeBSD и OpenBSD на opennet.ru
Часто Задаваемые Вопросы по FreeBSD 2.X, 3.X и 4.X  - Большой ФАК по FreeBSD  
An Illustrated Guide To Installing FreeBSD - Иллюстрированное Руководство по Установке FreeBSD
news.gamma.ru  
fido7.ru.unix.bsd  
http://pascal.tsu.ru/
http://www.freebsddiary.org/ (англ.)
http://www.onlamp.com/bsd/ (англ.)
http://www.freebsdhowtos.com/ - огромное количество инструкций "как сделать" для операционной системы FreeBSD (англ)
http://flag.blackened.net/freebsd/index.html - инструкции по FreeBSD для ленивых  (англ)  
http://www.lissyara.su/?id=1007 Очень достойный ресурс по FreeBSD (Рус)
http://live.daemony.org/doc/ Ещё один достойный ресурс по FreeBSD (Рус)
 
Также обратите внимание на тему FreeBSD FAQ (Unix FreeBSD FAQ)
 
http://www.citytel.ru/minibsd/minibsd.html - миниатюрная FreeBSD
Поможем проекту *BSD
 

 
Предыдущая часть темы
 

Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 05:58 03-02-2009 | Исправлено: cchameleone, 18:17 01-09-2017
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
askmesu
орёт вроде на отсутствие nat. Мб вы когда устанавливали фрю отказались от транзитного трафика?
Включается так sysctl net.inet.ip.forwarding=1

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 15:57 12-11-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
в первую очередь конечно же изучить  
man ipfw | grep nat
 
Можно руками включить модуль nat командой:
kldload ipfw_nat
только учти, что если по ssh работаешь - то можешь потерять доступ к удаленной машине)
 
Отдельный вариант, пересобрать ядро с опциями
options       IPFIREWALL_NAT
options       IPFIREWALL_FORWARD
или добавить в /boot/loader.conf соответственные строчки если ядро компилить не хочешь
 
Аналогичное решение может быть сделано через  sysctl, как порекомендовали выше.
 
Кстати опции  

Цитата:
acl Safe_ports port 21          # ftp  
acl Safe_ports port 70          # gopher  
acl Safe_ports port 210         # wais  
acl Safe_ports port 280         # http-mgmt  
acl Safe_ports port 488         # gss-http  
acl Safe_ports port 591         # filemaker  
acl Safe_ports port 777         # multiling http  

бесполезны при прозрачном проксировании.
 

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 20:36 12-11-2010 | Исправлено: DemonWather, 20:38 12-11-2010
askmesu

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот это уже другой поворот спасибо!
сейчас пойду соберу и вернусь за результатом

Всего записей: 24 | Зарегистр. 12-02-2010 | Отправлено: 13:06 13-11-2010
dekstero4eg

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
askmesu
скажите, а вы вот конфиг сами писали?? Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее??? Вы конфиг делаете абсолютно нечитаемым. У вас NAT кстати я так понимаю на другой машине?

Всего записей: 441 | Зарегистр. 29-06-2009 | Отправлено: 11:58 15-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dekstero4eg
Цитата:
Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее???
хороший вопрос!!! у меня те же мысли возникают когда народ пишет подобное и для iptables. Когда предусмотрены такие функции как iptables-save iptables-restore в удобный читабельный файл!!! (хз есть ли такое же ipfw)

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:43 15-11-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее???

Учить - никто не учит, это привычка копипастить, то что работает у других. Но и возмущаться по этому поводу в таком духе не надо))))
 
Во пеhвых, абсолютные пути могут понадобиться крону, если не заданы path, во вторых может быть так:
IPCHAINS="/sbin/ipchains"  или еще покруче - ipfwadm)))
IPTABLES="/sbin/iptables"
IP6TABLES="/sbin/ip6tables"
или ipfw или ipfw2... надеюсь идею уловили?  
И если статус новичок - это не значит...
 

Цитата:
(хз есть ли такое же ipfw)

Есть))) Кто вам мешает использовать ipfw list > ipfw.save и потом восстановление из ipfw.save
мало того, кое кто умудряется даже лог ipfw.today и ipfw.yesterday, где  ведется статистика по пакетам для отдельных правил заюзать в скриптах.
 
Мыслите ширше, коллеги
 
 
 

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 23:22 15-11-2010
askmesu

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья все сработало, и в фаирволе все написано правильно
Я конечно не сам дошел до такого я вобше даже виндовс не учил ни где а куда уж линукс, да еще фрибсд, но читать умею и голова на месте. вот силка
 
http://arykalin.blogspot.com/2008/10/firewall-freebsd-70.html
 
Я очень много рыл и приуспел в этом деле, но только здесь до меня дошло что возможно мне придется пересобрать ядро чтобы сработало  IPFIREWALL_FORWARD (и другое) для прозрачного прокси. Может кто подумает что нет в этом логики но факт в том что у меня только так сработало.
Без подводных камней тоже не обошлось'
На пример у него написано на FreeBSD-7.0 а я установил 7.3, когда дело доходило до установки сквида он ругался на боле новую версию пакета Perl-5.10 у сквида (5.8.9) а в FreeBSD-7.0 (5.8.8). Согласно автору в /etc/make.conf пишется'

Код:
#опции для перла
PERL_VER=5.8.8
PERL_VERSION=5.8.8
PERL_ARCH=mach
NOPERL=no
WITH_PERL=yes
WITHOUT_PERL=no
WITH_BIND_LIBS=yes

не знаю для чего ему Perl но это значит что Perl должен ставиться обязательно.
Я просто убрал эту часть и все норма
 
Конечно только прозрачным все проблемы не решить, надо еще об авторизации додуматься.
Дело в том что прозрачный прокси и авторизация в одном ящике это настоящий кошмар.
У кого есть идеи как настроить фаервол для двух пк чтобы на одной ставить VPN а на втором прокси?
Буду очень признателен!

Всего записей: 24 | Зарегистр. 12-02-2010 | Отправлено: 11:34 16-11-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Я просто убрал эту часть и все норма
Плохо батенька))) не для скриптов конечно... для Вас.  
*nix - та область где без понимания происходящего лучше ничего не делать. Сделав один раз на авось - потом встанете на грабли и будете на них стоять и теребить своих коллег до просветления.
 

Цитата:
Я очень много рыл и приуспел в этом деле
Рыть надо было дальше. Чтобы понять зачем перл, зачем нужен файл /etc/make.conf и проч.
 

Цитата:
У кого есть идеи как настроить фаервол для двух пк чтобы на одной ставить VPN а на втором прокси
Если Вы чётко сформулируете задачу, то решение практически будет лежать на поверхности. А так - по ходу придётся всё же звать телепатов.

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 12:09 16-11-2010
askmesu

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DemonWather
 
Ну предположим у меня есть прозрачный прокси с (fwd 127.0.0.1,3128), это означает что допрос попадает в фаервол, а он решает кому прямо смотреть а кому (порт 80) отправить в сквид, а это означает что сквид не может сделать авторизацию клиентов. Не ходит Ж всем подряд в интернет без моего на это разрешение, да и на полную мощность.
 
1. Чтобы клиент не писал у себя в браузере прокси
2. Достаточно безопасная система авторизации
3. И система ограничения скорости
 
Вот и все что мне нужно чтобы быть счастливым

Всего записей: 24 | Зарегистр. 12-02-2010 | Отправлено: 13:50 16-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
askmesu
прозрачный squid и авторизация это практически не совместимые версии...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 20:00 16-11-2010
InetSar777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
угу, я обычно в таких случаях отдельно делал связку выход через ВПН + сквид + носки

Всего записей: 44 | Зарегистр. 01-10-2010 | Отправлено: 00:10 17-11-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
прозрачный squid и авторизация это практически не совместимые версии...

можно сделать авторизацию по айпишнику.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 01:05 17-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
упс дома же так у меня и пашет)
ну разве что завести ACL'и для групп пользователей по подсетям для удобных правил, а дальше в лог пусть пишутся ip'шники - любой анализатор их разгребет. у меня например free-sa и у него есть файл user в котором прописаны  соответствия ip и имени.
 
просто дома это 5 человек, а на работе это 200машин с не закрепленными за ними пользователями и способ по ip ну ни как не канает!

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 01:41 17-11-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну если их у тебя 200 и они у тебя вольно перемещаются между рабочими станциями то у тебя должен быть домен. А если у тебя есть - то прописать с контроллера всем прокси не есть проблема.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 01:53 17-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
так оно и есть - все в домене... и у меня авторизация в squid через ldap идет, разумеется.
Но речи о прозрачности тут не идет, хотя изначально очень хотелось, пока все таки понял что хер...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 02:07 17-11-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не переживай - прозрачное проксирование создает много проблем:
 
- проблемы с фтп, точнее с тем, что пассивный фтп использует рандомные порты выше 1024-го и соответственно не понятно что заворачивать. Я использую для этого ftp-proxy. Соответственно никакой статистики по этому доступу нет - зато есть доступ :)
 
- невозможно завернуть на прокси https
 
Я заворачиваю 80-ый на сквид, фтп на фтп-прокси и открываю 443-ый порт через нат - это для тех, кто с ноутами приходит, а для рабочих станций прописываю прокси.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 09:48 17-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
общих проблем много конечно, но вот по вашей конкретной я не понял
Цитата:
проблемы с фтп, точнее с тем, что пассивный фтп использует рандомные порты выше 1024-го и соответственно не понятно что заворачивать.
это ж клиент использует, а не сервер) стучаться они все равно будут на 20,21... так в чем проблема?
 
ну с прозрачным https все понятно - это атака.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 11:10 17-11-2010
askmesu

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
InetSar777
 
Ну наверно все таки самый верный вариант это ВПН + СКВИД как уже было сказано, но в инете ничего не нашел про то как скрещивать. Кто знает куда мне лезть.
 
А про авторизацию через ип в моем случае не возможно, узеры врагу не пожелаешь

Всего записей: 24 | Зарегистр. 12-02-2010 | Отправлено: 12:16 17-11-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
это ж клиент использует, а не сервер) стучаться они все равно будут на 20,21... так в чем проблема?

неужели у вас работает ? просто ситуация получается как с авторизацией - от куда ж клиенту знать по какому порту будет сессия.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 21:04 17-11-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
Цитата:
от куда ж клиенту знать по какому порту будет сессия
да косяк выходитс...
что-то у меня в голове бардак получается, а как http-то прозрачно работает? Это получается единственный протокол способный на прозрачное проксирование?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 21:27 17-11-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111

Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru