forum.lan.md

**Борис** 27 мар 2008, 20:33

Вот выкладываю конфиг IPFW +Шейпер - Рабочий 100% провереный

также незабудте включть ./etc/sysctl.conf опцию - net.inet.ip.fw.one_pass=0

Здесть режется трафик на кажую машину:

Мир:
Download: 300Kbit/s
Upload: 128Kbit/s

Молдова:
Download: 2048Kbit/s
Upload: 128Kbit/s

vr0 - это внешний итерфэйс

vr1 -это внутренний итерфэйс

#!/bin/sh

# Очищаем pipe, table, queue

ipfw -q -f flush
ipfw -f pipe flush
ipfw -f table 2 flush
ipfw -f table 1 flush
ipfw -f queue -f

# Команда IPFW

cmd="ipfw -q"

# table 2 - сюда вносите вашу локальную сеть

ipfw table 2 add 192.168.0.0/24

# или так внесите те ip адреса каке вам надо добавля каждый раз ${t2} новый IP...
# смотри ниже

#t2="ipfw table 2 add"

#${t2} 192.168.0.10
#${t2} 192.168.0.5
#${t2} 192.168.0.4
#${t2} 192.168.0.7

# Здесь ниже предоставлены IP адреса у телемедии ( З.Ы может старые уже

), таким же образом можно добавить и для старнета и других ISP

t1="ipfw table 1 add"

${t1} 89.41.64.0/18
${t1} 89.36.255.0/24
${t1} 89.33.0.0/22
${t1} 89.28.0.0/17
${t1} 89.187.32.0/19
${t1} 89.149.64.0/18
${t1} 87.255.73.0/24
${t1} 87.255.64.0/19
${t1} 87.248.160.0/19
${t1} 86.124.160.0/24
${t1} 86.106.224.0/19
${t1} 86.106.208.0/20
${t1} 86.104.240.0/22
${t1} 83.218.192.0/19
${t1} 82.198.16.0/23
${t1} 81.180.64.0/20
${t1} 80.97.59.0/24
${t1} 80.97.58.0/24
${t1} 80.97.57.0/24
${t1} 80.97.56.0/24
${t1} 217.26.174.0/24
${t1} 217.26.173.0/24
${t1} 217.26.172.0/24
${t1} 217.26.168.0/24
${t1} 217.26.166.0/24
${t1} 217.26.161.0/24
${t1} 217.26.160.0/24
${t1} 217.26.160.0/20
${t1} 217.26.159.0/24
${t1} 217.26.158.0/24
${t1} 217.26.157.0/24
${t1} 217.26.156.0/24
${t1} 217.26.155.0/24
${t1} 217.26.154.0/24
${t1} 217.26.153.0/24
${t1} 217.26.152.0/24
${t1} 217.26.151.0/24
${t1} 217.26.150.0/24
${t1} 217.12.112.0/20
${t1} 212.56.192.0/19
${t1} 212.0.214.0/24
${t1} 212.0.211.0/24
${t1} 212.0.210.0/24
${t1} 212.0.207.0/24
${t1} 212.0.198.0/24
${t1} 212.0.197.0/24
${t1} 212.0.192.0/19
${t1} 195.22.224.0/19
${t1} 195.170.178.0/24
${t1} 195.138.99.0/24
${t1} 195.138.98.0/24
${t1} 195.138.97.0/24
${t1} 195.138.96.0/24
${t1} 195.138.96.0/20
${t1} 195.138.126.0/23
${t1} 195.138.120.0/23
${t1} 195.138.118.0/23
${t1} 195.138.107.0/24
${t1} 195.138.104.0/24
${t1} 195.138.103.0/24
${t1} 195.138.101.0/24
${t1} 195.138.100.0/24
${t1} 194.169.204.0/24
${t1} 194.102.152.0/23
${t1} 193.84.183.0/24
${t1} 193.243.132.0/24
${t1} 193.239.182.0/23
${t1} 193.226.65.0/24
${t1} 193.226.64.0/24

# Здесть пропускаем всё через внутренний интерфейс и локальный 127.0.0.1

$cmd add allow ip from any to any via vr1
$cmd add allow ip from any to any via lo0

#Сюда помещаем правила Uploada для мира и MD [b]Важно! правила Uploada строго перед NATD[/b]

#upload

$cmd add queue 1 ip from "table(2)" to not "table(1)" out xmit vr0

#upload MD

$cmd add queue 3 ip from "table(2)" to "table(1)" out xmit vr0

# Сам собственно и NATD: Заметка если вы используете в table2 таукю запись 192.168.0.0/24
# то можете скопировать правила NATD так как есть
# если нет, то в место "$cmd add divert natd ip from "table(2)" to any out xmit vr0"
# поставте "$cmd add divert natd ip from 192.168.0.0/24 to any out xmit vr0"
#
# В следующем правиле замените xxx.xxx.xxx.xxx на ваш внешний ip адрес
# "$cmd add divert natd ip from any to xxx.xxx.xxx.xxx in recv vr0"
#

$cmd add divert natd ip from "table(2)" to any out xmit vr0
$cmd add divert natd ip from any to xxx.xxx.xxx.xxx in recv vr0

# Пропускаем все от гейта и обратно

$cmd add allow ip from me to any
$cmd add allow ip from any to me

# Конфигурация самих труб (pipe)
# Здесь меняйте только bw допустим 300Kbit/s либо 2Mbit/s как кому надо

#upload WORLD

$cmd pipe 1 config bw 128Kbit/s queue 86 gred 0.002/10/30/0.1
$cmd queue 1 config pipe 1 queue 20KBytes gred 0.002/10/30/0.1 mask src-ip 0xffffffff

#download WORLD

$cmd pipe 2 config bw 300Kbit/s queue 86 gred 0.002/10/30/0.1
$cmd queue 2 config pipe 2 queue 20KBytes gred 0.002/10/30/0.1 mask dst-ip 0xffffffff

#upload MOLDOVA

$cmd pipe 3 config bw 128Kbit/s queue 86 gred 0.002/10/30/0.1
$cmd queue 3 config pipe 3 queue 20Kbytes gred 0.002/10/30/0.1 mask src-ip 0xffffffff

#download MOLDOVA

$cmd pipe 4 config bw 2048Kbit/s queue 86 gred 0.002/10/30/0.1
$cmd queue 4 config pipe 4 queue 20Kbytes gred 0.002/10/30/0.1 mask dst-ip 0xffffffff

#Сюда помещаем правила Download
#
#download

$cmd add queue 2 ip from not "table(1)" to "table(2)" in recv vr0

#download MD

$cmd add queue 4 ip from "table(1)" to "table(2)" in recv vr0

# А вот здесь добавлям правила для прохождения пакетов без них не будет работать

$cmd add allow all from "table(2)" to not "table(1)"
$cmd add allow all from "table(2)" to "table(1)"

$cmd add allow all from not "table(1)" to "table(2)"
$cmd add allow all from "table(1)" to "table(2)"

Вот и всё

**Шинкевич Владимир** 27 мар 2008, 21:42

Код: Выделить всё

ipfw add 65534 deny log logamount 2000 ip from any to any in via ${local0}

И смотрим внимательно в вар\лог\секьюрити - кто там у нас в сети тусуется с непонятными ипшками - которые лучше забанить в начале фаера.

**AHoHuM** 27 мар 2008, 22:54

советую ещё в начале
ipfw add deny icmp from any to me in icmptype 3,4,5,8,9,10,11,12,13,14,15,17
ipfw add deny icmp from any to any iplen 1-31,1500-65535
от всяких неприятностей

ipfw add deny ip from not table$1$ to me dst-port 22
ipfw add deny ip from not table$1$ to me dst-port 21
ipfw add deny ip from not table$1$ to me dst-port 20
ipfw add deny ip from not table$1$ to me dst-port 80
здесь закрываем доступ на вэб морду, фтп и шел не с молд. айпи. (вы то заходить всёравно будете с молдовы;) , зато меньше вероятность атак )

ну и

ipfw add deny ip from not table$2$ to any in via vr1
ipfw add deny ip from table$2$ to any in via vr0

**Igoras** 27 мар 2008, 22:59

# А вот здесь добавлям правила для прохождения пакетов без них не будет работать

имхо вполне заменяемо на allow ip from any to any, которое кстати стоит под номером 65535 если у тебя собрано с опцией что-то типа FIREWALL_DEFAUT_ACCEPT. уже 2 года не юзаю фрю как шейпер, кое-что позабывал...

**Борис** 27 мар 2008, 23:08

AHoHuM писал(а):советую ещё в начале
ipfw add deny icmp from any to me in icmptype 3,4,5,8,9,10,11,12,13,14,15,17
ipfw add deny icmp from any to any iplen 1-31,1500-65535
от всяких неприятностей

ipfw add deny ip from not table$1$ to me dst-port 22
ipfw add deny ip from not table$1$ to me dst-port 21
ipfw add deny ip from not table$1$ to me dst-port 20
ipfw add deny ip from not table$1$ to me dst-port 80
здесь закрываем доступ на вэб морду, фтп и шел не с молд. айпи. (вы то заходить всёравно будете с молдовы;) , зато меньше вероятность атак )

ну и

ipfw add deny ip from not table$2$ to any in via vr1
ipfw add deny ip from table$2$ to any in via vr0

В начале это всё до ната или после??

**AHoHuM** 27 мар 2008, 23:35

Борис,
после ната в начале

**Борис** 28 мар 2008, 00:26

AHoHuM писал(а):Борис,
после ната в начале

Ок спасибо!!

**Шинкевич Владимир** 28 мар 2008, 00:34

а чтобы ко мне по ссх не ломились - я поставил дьявольский порт :evil:

теперь в логах пустота

**AHoHuM** 28 мар 2008, 00:49

Profi the same,
тоже вариант. но у меня ваще извращение. доступ по ssh только с 1 айпи, который даётся при подключении по впн.

**Igoras** 28 мар 2008, 01:11

Profi the same,
666 шоле?.... помню извращался на работе.... были серваки в 2 изолированных сегментах, разделенные фаерволлом, в котором по нашей просьбе было открыто всего несколько портов (причем никакого ссх, только то что надо для сервисов)... серваки пустые, надо на них залить и поставить софт, заливал со своего компа через сцп.. причем софт надо заливать можно сказать один и тот же на все... естественно заливать на каждый одно и то же (100 метров) жалко и долго...

залил на один из компов, внутри сегмента раскидал без проблем через тот же сцп.... потом перенастроил ссх чтобы слушал открытый порт, перезапустил сервак (сперва думал килл -ХУП сделать, потом прикинул - ща как убьется ссх, как потом на сервак попаду, а он далеко-далеко и чтобы перегрузить надо пнуть по цепочке человек 5).. софт переписал, порт убрал

) все довольны )

Добавлено спустя 4 минуты 15 секунд:

AHoHuM,
хм, жесть

секурность превыще всего....

а у меня вот представьте себе открыт 22 и на него можно коннектиться

о ужас!!!

**Шинкевич Владимир** 28 мар 2008, 12:06

Igoras, а на что нам свыше дана команда

Код: Выделить всё

# /etc/rc.d/sshd restart

А винсцп - класная штука, еще на линуксе надо xming настроить и ваще лафа

**Igoras** 28 мар 2008, 15:55

Profi the same,
уточняю: серваки в Сингапуре

для ребута руками надо дергать людей там через 2 людей в Англии, за это по головке не погладят... ОС - Солярис 10..

admin@server # cd /etc
admin@server # find . -name ssh*
./ssh
admin@server # find . -name sshd*
./ssh/sshd_config

admin@server # ls -al rc*
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc0 -> ../sbin/rc0
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc1 -> ../sbin/rc1
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc2 -> ../sbin/rc2
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc3 -> ../sbin/rc3
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc5 -> ../sbin/rc5
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rc6 -> ../sbin/rc6
lrwxrwxrwx 1 root root 11 Feb 1 19:01 rcS -> ../sbin/rcS

rc0.d:
total 24
drwxr-xr-x 2 root sys 512 Feb 1 19:01 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
-rwx------ 6 root sys 474 Jan 22 2005 K27boot.server
-rwx------ 5 root sys 2329 Jan 21 2005 K34ncalogd
-rwx------ 5 root sys 359 Jan 22 2005 K52llc2
-rwx------ 4 root sys 1151 Jan 10 2005 K62lu

rc1.d:
total 24
drwxr-xr-x 2 root sys 512 Feb 1 19:01 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
-rwx------ 6 root sys 474 Jan 22 2005 K27boot.server
-rwx------ 5 root sys 2329 Jan 21 2005 K34ncalogd
-rwx------ 5 root sys 359 Jan 22 2005 K52llc2
-rwx------ 4 root sys 1151 Jan 10 2005 S10lu

rc2.d:
total 62
drwxr-xr-x 2 root root 512 Feb 1 19:02 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
-rwx------ 6 root sys 474 Jan 22 2005 K27boot.server
-rwx------ 1 root sys 1598 Jan 22 2005 README
lrwxrwxrwx 1 root root 29 Feb 1 19:01 S00set-tmp-permissions -> ../init.d/set-tmp-permissions
lrwxrwxrwx 1 root root 29 Feb 1 19:01 S07set-tmp-permissions -> ../init.d/set-tmp-permissions
-rwx------ 4 root sys 1151 Jan 10 2005 S10lu
-rwx------ 2 root sys 805 Dec 22 2006 S20sysetup
-rwx------ 5 root sys 359 Jan 22 2005 S40llc2
-rwx------ 2 root sys 2304 Jan 21 2005 S42ncakmod
lrwxrwxrwx 1 root root 19 Feb 1 19:01 S70nddconfig -> ../init.d/nddconfig
-rw-r--r-- 1 root root 365 Feb 1 17:01 S70routes
-rwx------ 2 root other 1558 Jan 10 2005 S72autoinstall
-rwx------ 2 root sys 1262 Nov 9 2006 S73cachefs.daemon
lrwxrwxrwx 1 root other 26 Feb 1 19:01 S76ACT_dumpscript -> /etc/init.d/ACT_dumpscript
-rwx------ 2 root sys 1028 Jan 21 2005 S81dodatadm.udaplt
-rwx------ 5 root sys 2329 Jan 21 2005 S94ncalogd
-rwx------ 2 root sys 733 Nov 9 2006 S98deallocate
lrwxrwxrwx 1 root root 29 Feb 1 19:01 S99sneep -> ../../opt/SUNWsneep/bin/sneep

rc3.d:
total 16
drwxr-xr-x 2 root sys 512 Feb 1 19:07 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
-rwx------ 1 root sys 1285 Jan 22 2005 README
-rwx------ 6 root sys 474 Jan 22 2005 S16boot.server

rcm:
total 12
drwxr-xr-x 3 root sys 512 Feb 1 19:01 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
drwxr-xr-x 2 root sys 512 Jun 5 2007 scripts

rcS.d:
total 26
drwxr-xr-x 2 root sys 512 Feb 1 19:01 .
drwxr-xr-x 56 root root 4096 Mar 27 17:04 ..
-rwx------ 6 root sys 474 Jan 22 2005 K27boot.server
-rwx------ 5 root sys 2329 Jan 21 2005 K34ncalogd
-rwx------ 5 root sys 359 Jan 22 2005 K52llc2
-rwx------ 1 root sys 1807 Jan 22 2005 README
-rwx------ 1 root sys 151 Jan 6 2005 S50sk98sol

так шо ну его, решил ребутнуть

**Шинкевич Владимир** 28 мар 2008, 19:16

Igoras, хз как на солярке - на фре именно так, но подстраховался верно. а ребутить вот жалко..

Код: Выделить всё

up 102+03:57:34 18:19:08

Хотя понадобится забэкапиться для перехода на 7.0 - придется.

**Igoras** 29 мар 2008, 01:15

Profi the same,
вот и я хз как там на солярке

) а ребутить не жалко, потом за минуту запускаю руками все нужные сервисы

а сервак все равно тестовый, а не под нагрузкой

**FAST-NET** 29 мар 2008, 20:35

In mikrotik nu are nimeni asa tip de configuratzie...?

**AHoHuM** 31 мар 2008, 12:46

FAST-NET,
микротик - совсем другая история. что именно тебя интересует ?

**Igoras** 31 мар 2008, 16:00

У меня так работает, но конфиг выкладывать в лом, кастомизации дофига

)

**FAST-NET** 01 апр 2008, 12:36

AHoHuM,

Cu limitarea vitezei mam lamurit in mikrotik, dar nu pot ridica viteza mentru MD, adica nu ma pot lamuri cum sa ridic vitezele pentru anumite ip-uri

**AHoHuM** 01 апр 2008, 13:53

FAST-NET,
добавляешь в ip firewall address-list молдавские подсети, потом в ip firewall mangle маркеруешь соедениния и пакеты на давноал и аплоа отдельно которые идут к MD-X, и отдельно остальные.
потом в queue type делаешь для молдовы и для мира правила на ап и давн kind=pcq
ну и уже в queue simple режешь скорость по маркерованым пакетам одельно молдову и мир.
примерно так. у меня по крайней мере так работает на ура.

**FAST-NET** 01 апр 2008, 15:19

AHoHuM,
Multumsc mult, acush incercam...

**Igoras** 01 апр 2008, 21:07

Мне кажется или я это уже раз 5 где-то писал?

**FAST-NET** 01 апр 2008, 22:25

Igoras,
Eu am cautat tot forum-ul shi nu am gasit nimik altceva..

**AHoHuM** 01 апр 2008, 22:42

FAST-NET,
manual mikrotik, там всё есть

**Igoras** 02 апр 2008, 00:51

AHoHuM,
а вот это я точно раз 100 уже говорил

)

может поднять тестовый сервак с настроенным шейпером и пускать туда копипейстить за деньги?

**AHoHuM** 02 апр 2008, 01:01

Igoras,
вариант

forum.lan.md

Вот выкладываю конфиг IPFW +Шейпер - Рабочий 100% провереный

Вот выкладываю конфиг IPFW +Шейпер - Рабочий 100% провереный

Кто сейчас на конференции