» Общие вопросы по FreeBSD

nazman
все правила показать можешь?
и то как "натил"

nazman,
покажите правила файрволла.
+
соотв. записи в rc.conf, если там что-то меняли.

плюс ко всему посмотреть статистику
ipfw show

Перенес в отдельную тему:
http://forum.ru-board.com/topic.cgi?forum=65&topic=2622

Уважаемые господа! Прошу Вашей помощи...

Дело вот в чём: раньше шлюз и почтовик были на одном компе (винда), и почтовик выгребал почту прямо с внешнего интерфейса.

Щас почтовик переехал, гейт поставил на FreeBSD (7.0), настроил ipfw и nat так, что работает интернет, а вот почта не хочет.

Есть две сетевушки, внешняя (xl0) и внутренняя (rl0).

IPFW вкомпилен в ядро с параметрами IPFIREWALL, IPFIREWALL_VERBOSE, IPFIREWALL_NAT, IPDIVERT, IPFIREWALL_FORWARD.

в /etc/rc.conf

firewall_script="/etc/ipfw"
natd_enable="YES"
natd_interface="xl0"
natd_flags="- same_ports -m -u"

В ipfw:

fwcmd=/sbin/ipfw

# Внешний интерфейс
oif=xxx
oip=xxx.xxx.xxx.xxx

# Внутренний интерфейс
iif=xxx
iip=xxx.xxx.xxx.xxx
MyLan=xxx.xxx.xxx.0/24

pdc=

${fwcmd} flush -f

${fwcmd} add deny ip from any to any frag

${fwcmd} add allow ip from any to any via lo
${fwcmd} add denny ip from any to 127.0.0.0/8
${fwcmd} add denny ip from 127.0.0.0/8 to any

${fwcmd} add allow ip from ${MyLan} to ${MyLan} via {iif}
${fwcmd} add allow ip from ${pdc} to any in via ${iif}
${fwcmd} add allow ip from any to ${pdc} out via ${iif}

${fwcmd} add divert natd ip from ${MyLan} to any out via ${oif}
${fwcmd} add allow ip from ${oip} to any out via ${oif}

${fwcmd} add divert natd ip from any to ${oip} in via {oif}
${fwcmd} add allow ip from any to ${MyLan} in via {oif}

${fwcmd} add allow tcp from any to ${oip} in via ${oif} established

${fwcmd} add allow udp from any to ${oip} 53 in via ${oif}
${fwcmd} add allow udp from any 53 to ${oip} in via ${oif}

${fwcmd} add allow icmp from any to ${oip} in via ${oif} icmptype 0,3,4,8,11,12

${fwcmd} add deny log ip from any to any

С почтой не знаю что делать... Т.е. знаю, что нужно завернуть форвардом на внутренний ип (10.0.0.1) почтовика все smtp пакеты, но не знаю как

Подскажите, будьте любезны!

Цитата:

С почтой не знаю что делать... Т.е. знаю, что нужно завернуть форвардом на внутренний ип (10.0.0.1) почтовика все smtp пакеты, но не знаю как

Подскажите, будьте любезны!

Правишь /etc/natd.conf:

Код:
# это чтобы natd_flags не писать
deny_incoming no
use_sockets yes
same_ports yes
# это для проброски порта 25 извне на внутрь 10.0.0.1
redirect_port tcp 10.0.0.1:25 25

FreeBSD 6.3 (amd64). При старте останавливается секунд на 30 на стадии local package initialization. Вроде бы проблема появилась после сборки Xorg. Подскажите, пожалуйста, как решить?

Может не по теме, но все же. Есть цель перевести инет-шлюз на FreeBSD.
хватит ли машины (Celeron 633, 256 Mb, 10 Gb HDD) для прокси ? Там только squid будет+ sarg+ trafd. Для 70-80 пользователей. И еще на нем же может надо будет поднять простенький локальный irc сервер, но это не обязательно.
freebsd 6.1

vovanj7
На прокси не советую. Захлёбыватся будет.
На прокси дисковая система важна. Если поставишь на SCSI, то можно.
хотя проц и память маловаты.
_____________________________________________________________
Чисто под шлюз пойдёт.

gryu
диск IDE стоит,SCSI или SATA не дадут , разбит по умолчанию

ad0s1a 512MB /
ad0s1b 484MB SWAP
ad0s1d 1266MB /var
ad0s1e 512MB /tmp
ad0s1f 6766MB /usr

есть еще один IDE 20 Gb. Может стоит расширить некоторые разделы путем монтирования нового диска. Какие разделы стоит увеличить ? Или может кеш перенести на 20-ку ?
и память тоже есть возможность до 512 увеличить

vovanj7
а какой у тебя внешний канал ? я просток тому, что может ты подумаешь над отключение вообще кеша ?

Я у себя отключил - выигрыш минамален, нагрузка большая

tankistua
у меня 512 Кб\с
я попробую с кешем и без него.Пока в тестовом режиме. А там будет видно какой выигрыш он дает

Похоже состоялся релиз 7.0. Новости еще нет, но образы уже выложены.

А где можно прочитать на русском основные отличия 7.0 от 6.3 ?

Цитата:

Я у себя отключил - выигрыш минамален, нагрузка большая

угу.
в последнее время все чаще делаю приблизительно также. при существующих каналах и ценах на трафик - экономия в несколько процентов... ...


Цитата:

А где можно прочитать на русском основные отличия 7.0 от 6.3 ?

только если кто-то в блогах писал... пока статей вроде не было.
на onlamp'у есть неплохая англ. статья-интервью с разработчиками.

Цитата:

диск IDE стоит,SCSI или SATA не дадут

vovanj7
У тебя под IDE инет тормозить будет сильно. Проверено.
В лучшем случае "намано намано и вдруг тормоза ни с того ни с сего!!"

Под кэш для 70-ти человек тебе нужно гигов 60 как минимум.
По идее под такие требования 160-ку нормально. И машинку гиг оперативки и пень четвёртый....
Первые 2-3 месяца трафик будет большой, а потом резко упадёт.
tankistua

Цитата:

Я у себя отключил - выигрыш минамален, нагрузка большая

Это от того кто где ходит.
Если по сайтпм с постоянными обновлениям и все по разным, то действительно кэш не даёт сильного выигрыша.
А если все 70 чел сидят на одних сайтах, то очень даже экономится.
К тому же при канале в 512 на 70 чел, это ещё и "экономия скорости" большая

Добавлено:
keyhell
tankistua

Цитата:

Я ... отключил

А зачем тогда вообще прокси ставить?

Цитата:

А зачем тогда вообще прокси ставить?

squid для меня не только caching proxy.
даже скорее "не caching proxy".

Цитата:

А зачем тогда вообще прокси ставить?

как пример ограничение юзеров, статистика по каждому юзеру(кто чего и куда)- это для моих целей

keyhell
vovanj7
Хм. Ну я не очень в этом разбераюсь, но орехи можно и микроскопом колоть.
... Говорят что Бльшая Королевская Печать для этого тоже очень хорошо подходит.
....
Сквидом не пользуюсь. (точнее он у меня НЕ стоит, т.к. настраивал не я)
У меня на лакалке стоит 450-й второй пень 256 оперативы и 2х3 харда.
Исполняет работу и отлично справляется.
1. Шлюз с НАТом, АРПом, фаерволом и т.д.
2. Подсчёт трафика общий и по юзерно (по IP)
3. Почтовый сервер на 60 адресов (коммунгигейт) с антивирусом (DrWeb).

Что именно стоит на подсчёте трафика сейчас не помню.
Несколько страниц назад эта тема поднималась (по поводу сквида) и я там писал, хоть и с чужих слов, о том, что сквид не фиксирует трафик по ряду портов и не считает отвергаемый трафик.
У моего приятеля эта его особенность привела к тому, что от провайдера пришёл счёт на огромную сумму, а он "ни сном ни духом".
Потом разобрались, что это были внешние запросы каких то вирусованных машин.
Толи спам-боты толи сетевые вирусы. (сейчас не помню).

gryu
то, что squid не совсем корректно считает траффик, об этом я тоже читал, но не проверял. Для подсчета траффика есть trafd. Хотя для меня подсчет играет второстепенную роль, т.к. у меня безлимитка. Меня скорее интересует статистика юзеров(по каким сайтам ходили и чего качали), компромат так сказать(или отчет для руковордства ))) ). Плюс Squid позволяет блокировать нежелательные сайты для юзеров. ограничивать скачивание неположеного и довольно приятный web-интерфес в SARG.

А вообще, как говорится, на вкус и цвет.... Меня просто интересовал вопрос, потянет ли моя машина все это?

vovanj7

Цитата:

Меня просто интересовал вопрос, потянет ли моя машина все это?

Неа. Заявленная не потянет.

Цитата:

А вообще, как говорится, на вкус и цвет....

Полностью и категорически согласен.

Цитата:

Хм. Ну я не очень в этом разбераюсь
...
SKIPPED
...

Потом разобрались, что это были внешние запросы каких то вирусованных машин.
Толи спам-боты толи сетевые вирусы. (сейчас не помню).

вот у меня и у моих клиентов никогда не бывает ни вирусов, ни open relay'ев, ни прокачанного через них трафика, ни чего-то в этом роде.

именно по одной простой причине: я знаю, что я делаю.

Добавлено:
отдельным пунктом: squid корректно считает трафик. тот трафик, который идет через него он считает без проблем.

keyhell

Цитата:

тот трафик, который идет через него

А тот, который он отвергает? За него то тоже платишь, т.к. для биллнговой системы провейдера, он ТВОЙ.
Вот потому и получается...

Цитата:

вот у меня и у моих клиентов никогда не бывает ни вирусов, ни open relay'ев

Это ты о чём? ... или ты не правельно понял. Помянутые машины были ВО ВНЕШНЕЙ сети и к машинам помянутого друга не имели ни какого отношения.
Там локалка в локалке.

Цитата:

именно по одной простой причине: я знаю, что я делаю.

Большенство так считает. Но некоторые не обосновано.
В данном случае вы поститали не то, что было.
Он тоже ЗНАЕТ что он делает.

gryu,
вы читает то, что я пишу? или находу додумываете?

можете показать мне цитаты, в которых я говорил о том, что весь трафик во внешние сети я считаю squid'ом?


Цитата:

А тот, который он отвергает?

вы знаете как устроен прокси сервер? как работает ваш файрвол и nat?
если да, то объясните мне какой-такой трафик и как squid "отвергает".


Цитата:

За него то тоже платишь, т.к. для биллнговой системы провейдера, он ТВОЙ.

еще раз: цитату, в которой я говорил, что считаю весь внешний трафик squid'ом.


Цитата:

У моего приятеля эта его особенность привела к тому, что от провайдера пришёл счёт на огромную сумму, а он "ни сном ни духом".
Потом разобрались, что это были внешние запросы каких то вирусованных машин.
Толи спам-боты толи сетевые вирусы. (сейчас не помню).

ваш знакомый не умеет настраивать UNIX системы и сетевые сервисы.
счета на огромные суммы приходят тем, кто не справился с настройкой прокси (anonymous), mail (open relay) и/или firewall.


Цитата:

Большенство так считает. Но некоторые не обосновано.

меня мало волнует чье-то мнение.


Цитата:

Он тоже ЗНАЕТ что он делает.

замечательно.

keyhell

Цитата:

вы читает то, что я пишу? или находу додумываете?

Я читаю, а вот вы додумываете.
Где я писал, что у него оупен релей? Где писал что у него анонимус не настроен?...
Я писал, что трафик ему сделали ЗАПРОСЫ с других машин.
И если вы считаете, что запросы (хоть с неправильными паролём-логином, хоть на не существующий сервис) не считаются ВАШИМ трафиком, то вы крайне сильно ошибаетесь.
Вы так же ошибаетесь, если считаете, что они не могут сделать большой трафик.
Могут.
И вот их то сквид и не считает.

Добавлено:
И наконец не стоит додумывать, чтотон НЕ знал об этих запросах и не боролся с ними.
Провайдеру писал и звонил. Но в течении довольно большого времени, провайдер занимался отписками.
А потом прислал счёт за перерасход трафика.

Цитата:

И если вы считаете

я считаю, что люди должны знать как решают такие вопросы.


Цитата:

Провайдеру писал и звонил.

угу. надо было еще попробовать умолять и плакать.

жесть.
вы понимаете, что ваш знакомый, находясь при исполнение своих обязанностей, просто подставил компанию.


Цитата:

И наконец не стоит додумывать, чтотон НЕ знал об этих запросах и не боролся с ними.

я не додумываю.
вы сами указали последовательность действий, написав, что сначала пришел счет, а
Цитата:

Потом разобрались

, что это долбился кто-то.

вы уж определитесь.

впрочем, это не отменяет того, что реагировать на такие вещи надо четче, быстрее и организованнее. тогда и попадать не будете.

keyhell
не надо путать тёплое с мягким.
Разумеется он знал про эти запросы, но он не думал, что за них придётся платить.
Ведь сквид показывал совсем другие цифры.
(не надо тут филосовствовать на тему "индюк тоже думал")

Цитата:

Потом разобрались
, что это долбился кто-то.

Вы опять надумали.
Разобралить ОТКУДА ПОДСЧИТАННЫЙ трафик, а не кто долбился.
Он говорит "не ели мы столько" ему представлят цифры "ели".
Сквид говорит "не ели"... вот с этим и разбирались.


Цитата:

угу. надо было еще попробовать умолять и плакать.

А вы что предлагаете? послать наземную группу и разобратся на месте?
Какие вы предложите действия? Блэк лист не предлогать. Тех кого можно было, занесли.
К тому же это НЕ помогает в данном случае.
Сервер всёравно принимает запрос для обработки. Ему, серверу, конечно легче, но трафик от этого меньше не становится.

список полного непрофессионализма (больше обсуждать в этом топике не буду - хотите разъяснений, пишите в аську):

1) не представляет принципа отношений с провадером. не знал, что за любой входящий трафик надо платить.

2) не знал, что squid считает только тот трафик, который на него заворачивают и, который приходит ответом на запросы. т.е. не знал как работает сетевой сервис, который он установил и настраивал.

причем, это же подразумевает, что человек не знает, как работает вообще фильтрация трафика, ибо иначе он бы понимал смысл волшебных манипуляций, проводимых для того, чтобы завернуть трафик на squid.

3) не прореагировал должным образом на "атаки" извне.
вялые письма провайдеру, на которые провайдер еще и не посчитал своим долгом прореагировать, не в счет.


трех пунтов хватает - ЧТД.


спрашивать о том, что я предпринял бы, совершенно корректно. раз уж я влез с критикой, то должен отвечать:
1) знать как работает firewall, nat, squid и система в целом;
2) знать специфику своих отношений с провайдером;
3) наладить своевременное оповещение "себя" об атаках на сервер(ы);

в случае атаки, описанного вами вида (т.е. перманентное и очень длительные попытки присоединиться, которые просто тянут трафик):
1) звонок провайдеру с просьбой закрывать атакующие адреса/подсети на уровне самого провайдера - трафик до вас просто не дойдет;
2) просьба сменить ваш внешний адрес - тут я подразумеваю, что он статический, и атакуют именно на IP, а не на какое-то доменное имя, которое даже при смене IP все равно будет резолвиться;
3) письмо с сообщением об атаке админам тех хостов/сетей, с которых идут атаки;

очевидно, что 1-2) это совершенно конкретные решения, а 3) - срабатывает 50 на 50.

если провайдер не реагирует:
1) в ту же минуту срываемся к своему рук-ву с объяснением проблемы и возможных рез-тов. т.е. "ай, смотрите, уже 10 метров прокачали, а если еще 10 дней так продолжится, то будет пару гигов - стоить будет лишние 500 баксов!!!";

2) выезд в офис к провайдеру (желательно с предварительным звонком вашего рук-ва) и попытка решить проблему там, на месте;

3) отказ от услуг провайдера прямо у них в офисе, если не будет никакой помощи реакции;
возможно, что в конкретном регионе тяжело отказаться от услуг конкретного/единственного провайдера, но это уже нюанс реализации. т.е. можно просто пригрозить отказом.


Добавлено:
я встречал, что провайдер не реагирует на письма. встречал, что тяжело найти админа провайдера, а не мальчика на саппорте.

но случаев, когда не помогает выезд на место с подробным и конкретным разговором.... - не встречал.

опять же, никогда не поздно поставить свое рук-во в известность, и послать прова нафиг.


DIXI.

keyhell

Цитата:

счета на огромные суммы приходят тем, кто не справился с настройкой прокси (anonymous),

дайте хост, я его щас попингую по 1500 и к вечру, даже с вашей да и любой настройкой набежит icmp гигабайты =)))
Уважаемый, Ты конечно хорошо пишешь, всегда умные и верные решения, но не надо считать что (да простят меня боги) всё вокруг гавно а Ты пионер красной армии, все ошибаются, и ты тоже, я процитировал.
п.с. реакция надеюсь будет адекватна.

keyhell
ну и чего ты добился ?

Ты говоришь понятно для тех людей , которые отстают от тебя на один шаг, но твои слова совсем не понятны людям, отстающим на порядок.

Самое поганое в этом всем, что в топик ходишь только до времени, пока ответ на один из десяти возникших вопросов тебя интересует. Я практически перестал читать - нет возможности забивать своими знаниями ту разницу в знаниях, которая образовалась.

Когда достигаешь определенного уровня знаний - ты перестаешь искать в форуме ответ, ты просто заходишь в гугль и находишь нужный ответ. Только ищешь ты его не на одном форуме - а на многих.

ZaqwrKos

Цитата:

дайте хост, я его щас попингую по 1500 и к вечру, даже с вашей да и любой настройкой набежит icmp гигабайты =)))

ну на:riviera.kiev.farlep.net - попингуй. Только какой смысл?

Цитата:

ну на:riviera.kiev.farlep.net - попингуй. Только какой смысл?

вот и я про тоже.... я просто привёл пример, куда полетит трафик? где будут посчитаны байты входящего, пусть даже узел выключен?