OpenForum RSS: Тематический каталог: Интернет шлюз на FreeBSD - часть 2 (fr... https://www.opennet.ru/openforum/vsluhforumID3/52923.html Обсуждение статьи тематического каталога: Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf firewall squid proxy)<br><br>Ссылка на текст статьи: http://www.opennet.ru/base/net/freebsd_gw3.txt.html<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf firewall squid proxy) (Стас) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#48 Wed, 10 Aug 2011 08:03:18 GMT Доброго времени, сделал по мануалу, все заработало. Только, пожалуй, слишком. Такое чувство что в работе вообще сквид не участвует: комментил его порты, перезапускал, интернет все равно пашет.<br>А хочу всего лишь написать правило, которое будет разрешать определенным пользователям доступ в интернет.<br>Помогите пожалуйста разобраться. Если можно, то подсткажите как сделать еще авторизацию по логину и пароль<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (klim) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#47 Fri, 08 Jan 2010 10:57:49 GMT &gt; Вот в этом походу и проблема. Что за виртуалка? или <br>&gt;это гипервизор? <br>&gt;<br>&gt; Это имеет значение. <br>&gt;<br><br>Гипервизор - VMWare ESXi 4 (на Sun Fire X6250)<br>Виртуалка - FreeBSD 7.2 (2Gb RAM, 2xGLAN, 2x2.33 E5410 Intel Xeon)<br><br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (artemrts) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#46 Thu, 07 Jan 2010 11:07:42 GMT &gt;В роли шлюза - вирт. машина: <br><br> Вот в этом походу и проблема. Что за виртуалка? или это гипервизор? <br><br> Это имеет значение.<br> <br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;Скорость передачи данных через нат не превышает 10 магабайт в секунду. <br>&gt;<br>&gt;Статистика при передаче: <br>&gt;процессор 30.21% natd (пиковая цифра) <br>&gt;свободно памяти больше половины <br>&gt;snmp показывает что на сетевых интерфейсах скорость не больше 10 мегабайт в <br>&gt;секунду <br>&gt;<br>&gt;Где узкое место? Как добиться увеличения скорости? <br><br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (klim) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#45 Wed, 06 Jan 2010 19:56:31 GMT В роли шлюза - вирт. машина:<br>FreeBSD 7.2 + <br>Памяти 1 гб<br>2 сетевые по 1 гб\сек в бридже<br>2 проц. по 2.4 ггц<br><br>Скорость передачи данных через нат не превышает 10 магабайт в секунду.<br><br>Статистика при передаче:<br>процессор 30.21% natd (пиковая цифра)<br>свободно памяти больше половины<br>snmp показывает что на сетевых интерфейсах скорость не больше 10 мегабайт в секунду<br><br>Где узкое место? Как добиться увеличения скорости?<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#44 Wed, 17 Jun 2009 08:14:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;out self to anywere - красота. <br>&gt;&gt;<br>&gt;&gt;% pfctl -nf /etc/pf.conf <br>&gt;&gt;/etc/pf.conf:XY: syntax error <br>&gt;&gt;<br>&gt;&gt;Лучше так: <br>&gt;&gt;pass out all <br>&gt;<br>&gt;"pass out quick from (self) to any modulate state" <br>&gt;Без кавычек, фряха 7 и выше (ниже не тестил). <br><br>У меня -- ошибка и на этой строчке:<br>pass out quick from (self) to any modulate state<br><br>% uname -rsm<br>FreeBSD 7.2-STABLE amd64<br><br>&gt;В вашем случае траффик вышел, но записи в таблице состояний не создалось <br>&gt;и как он будет возвращатся зависит от погоды и правил остальных. <br><br>man pf.conf<br>По умолчанию PF использует "flags S/SA" и "keep state" ВЕЗДЕ, если не указано иное.<br><br>В выводе команды pfctl -s all правило "pass out all" у меня разворачивается в "pass out all flags S/SA keep state".<br><br>&gt;Более того, с точки зрения скорости вы теряете, ибо пф ответные пакеты <br>&gt;всё равно проверяет по таблице состояний, и только после этого пф <br>&gt;лезет в правила.<br><br>Я в курсе.<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (Ivan_83) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#43 Tue, 16 Jun 2009 14:58:37 GMT &gt;&gt;pass out from (self) to any flags S/SA modulate state # allow <br>&gt;&gt;out self to anywere - красота. <br>&gt;<br>&gt;% pfctl -nf /etc/pf.conf <br>&gt;/etc/pf.conf:XY: syntax error <br>&gt;<br>&gt;Лучше так: <br>&gt;pass out all <br><br>"pass out quick from (self) to any modulate state"<br>Без кавычек, фряха 7 и выше (ниже не тестил).<br>В других версиях бсд список поддерживаемых возможностей для пф может отличатся.<br>В DragonFlyBSD пф не полный, относительно фряхи.<br><br>В вашем случае траффик вышел, но записи в таблице состояний не создалось и как он будет возвращатся зависит от погоды и правил остальных.<br>Более того, с точки зрения скорости вы теряете, ибо пф ответные пакеты всё равно проверяет по таблице состояний, и только после этого пф лезет в правила.<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (iZEN) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#42 Tue, 16 Jun 2009 14:20:43 GMT &gt;&gt;# Разрешаем нашему шлюзу полный выход с обоих интерфейсов<br>&gt;&gt; pass out on $ext_if proto tcp from any to any<br>&gt;&gt; pass out on $ext_if proto udp from any to any keep state<br>&gt;&gt; pass out on $int_if proto tcp from any to any<br>&gt;&gt; pass out on $int_if proto udp from any to any keep state<br>&gt;<br>&gt;Тоже ужасно. <br>&gt;pass out from (self) to any flags S/SA modulate state # allow <br>&gt;out self to anywere - красота. <br><br>% pfctl -nf /etc/pf.conf<br>/etc/pf.conf:XY: syntax error<br><br>Лучше так:<br>pass out all<br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (Alchemist) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#41 Tue, 16 Jun 2009 11:23:05 GMT &gt;synproxy state должна использоватся только в правилах публикации внутренних сервисов наружу<br><br>собственно так и сделано<br>&gt;От локал хоста и к локал хосту - вообще keep state можно ставить<br><br>В этой версии PF keep state подразумевается даже там, где он не прописан<br><br>По всему остальному - конструктивно, спасибо.<br><br> Интернет шлюз на FreeBSD - часть 2 (freebsd gateway nat pf f... (Ivan_83) https://www.opennet.ru/openforum/vsluhforumID3/52923.html#40 Tue, 16 Jun 2009 10:38:05 GMT device pfsync - НЕ НУЖЕН.<br>Это для горячего резервирования на несколких машинах. Те когда основной маршрутизатор загибается, брат близнец подхватывает и продолжает, соединения даже не рвутся, ибо таблица состояний продублированна через pfsync.<br><br>В ряде случаев хватит и dnsmasq, заодно он DHCP раздаст.<br><br>Регэкспы сквида, где мультимедия фильтр, мне кажется можно было записать в одну-две строчки.<br>Кроме того не обязательно забивать два порта 3128 и 3129 чтобы получить прозрачный и обычный прокси.<br>Достаточно сделать так:<br>http_port 127.0.0.1:8080 transparent<br>http_port 8080<br>Естественно заворачивать прозрачно 80 порт на 127.0.0.1<br><br>С PF вообще выглядит всё ужасно :)<br>Макрос private_nets заменить на таблицу и выкинуть от туда мультикаст подсетку:<br>table &lt;private_nets&gt; const { 10.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32 }<br>Ещё рекомендуется: set skip on lo0, с антиспуфа можете выкинуть его после этого.<br>Не у всех IP статический, да ещё и пул, поэтому правильнее писать:<br>nat on