forum.opennet.ru - "FREEBSD-шлюз для доступа к веб-серверу" (24)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"FREEBSD-шлюз для доступа к веб-серверу"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"FREEBSD-шлюз для доступа к веб-серверу"
Сообщение от Acden (ok) on 19-Фев-08, 15:20
Уважаемые админы! Подскажите простому учителю - как можно сделать чтобы между существующим веб-сервером и подключением к провайдеру установить сервер FREEBSD? Хочу ограничить веб-сервер школы под управлением Win2k3 от "юных хакеров", открыв только нужные мне порты. Несколько лет назад настраивал веб=сервер, помню что не очень сложно. Подскажите, куда копать - мне нужно чтобы пробрасывался только порт веб-сервера до внутреннего компьютера и PPOE-соединение чтобы пробрасывалось.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

FREEBSD-шлюз для доступа к веб-серверу, angra, 16:25 , 19-Фев-08, (1)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 16:51 , 19-Фев-08, (2)

FREEBSD-шлюз для доступа к веб-серверу, A Clockwork Orange, 19:49 , 19-Фев-08, (3)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 21:46 , 19-Фев-08, (4)

FREEBSD-шлюз для доступа к веб-серверу, angra, 14:56 , 20-Фев-08, (5)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 15:25 , 20-Фев-08, (6)
FREEBSD-шлюз для доступа к веб-серверу, Acden, 20:24 , 22-Фев-08, (22)

FREEBSD-шлюз для доступа к веб-серверу, sdm, 19:50 , 20-Фев-08, (7)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 20:28 , 20-Фев-08, (8)

FREEBSD-шлюз для доступа к веб-серверу, dz, 20:51 , 20-Фев-08, (9)
FREEBSD-шлюз для доступа к веб-серверу, sdm, 21:00 , 20-Фев-08, (10)

FREEBSD-шлюз для доступа к веб-серверу, sdm, 21:05 , 20-Фев-08, (11)
FREEBSD-шлюз для доступа к веб-серверу, Acden, 21:19 , 20-Фев-08, (12)

FREEBSD-шлюз для доступа к веб-серверу, Merlin_ua, 02:12 , 21-Фев-08, (13)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 09:27 , 21-Фев-08, (14)

FREEBSD-шлюз для доступа к веб-серверу, sdm, 11:16 , 21-Фев-08, (15)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 11:54 , 21-Фев-08, (17)

FREEBSD-шлюз для доступа к веб-серверу, Anatoliy, 11:53 , 21-Фев-08, (16)

FREEBSD-шлюз для доступа к веб-серверу, Anatoliy, 12:02 , 21-Фев-08, (18)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 16:22 , 21-Фев-08, (19)

FREEBSD-шлюз для доступа к веб-серверу, sdm, 18:08 , 21-Фев-08, (20)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 18:47 , 21-Фев-08, (21)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 01:57 , 25-Фев-08, (23)

FREEBSD-шлюз для доступа к веб-серверу, Acden, 02:19 , 25-Фев-08, (24)

Сообщения по теме [Сортировка по времени | RSS]

1. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от angra (ok) on 19-Фев-08, 16:25

А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо него на win2k3 сервер ipfw. Если не устраивает IIS, замените на apache или на связку nginx+apache.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (??) on 19-Фев-08, 16:51

>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо
>него на win2k3 сервер ipfw. Если не устраивает IIS, замените на
>apache или на связку nginx+apache.
Всё устраивает. Но я не лезу в тот сервер, т.к. на нём другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить граничный маршрутизатор.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от A Clockwork Orange on 19-Фев-08, 19:49

>>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо
>>него на win2k3 сервер ipfw. Если не устраивает IIS, замените на
>>apache или на связку nginx+apache.
>
>Всё устраивает. Но я не лезу в тот сервер, т.к. на нём
>другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить
>граничный маршрутизатор.
Поставь мост.
Если есть возможность менять адреса, поставь проксирующий nginx или +apache.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 19-Фев-08, 21:46

>Поставь мост.
>Если есть возможность менять адреса, поставь проксирующий nginx или +apache.
А для чего мне проксирующий nginx или +apache?
Я планирую мост (IP.forward=1) + Firewall или что-то подобное (IP tables, например), поставить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от angra (ok) on 20-Фев-08, 14:56

iptables это линукс, а не freebsd. Если разница для вас не приципиальна и захотите попробовать линукс, то на этом сайте есть отличная дока по iptables: https://www.opennet.ru/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и добавить два правила типа
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождение наружу для всех машин сети, это в случае если у вас динамический ip и внешний интерфейс это ppp0, если статика, то лучше SNAT, вместо MASQUERADE)
iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_вин_сервера  (проброс 80-го порта на нужную машину, может понадобиться еще 443 для https, но не уверен как это будет работать, учитывая особенности ssl)
Конечно желательно поставить политику DROP/REJECT на INPUT и FORWARD и добавить ряд разрешающих правил, в указанной выше доке есть пример и готовый скрипт, не вижу смысла его копипастить сюда.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 20-Фев-08, 15:25

Вот это то что мне нужно.
Не подумайте, что лень читать доки, просто сроки сжатые - до конца этой недели нужно вспомнить и настроить.
Всё-таки предпочитаю FreeBSD. Подскажите, как в нём настроить данную ситуацию (ссылку на доки/мануалы/туториал будет достаточно).
Я вот ещё думаю, как будет пробрасываться PPPoE-соединение с Win2K3 (необходимо оставить на нём, т.к. на нём помимо веб-сервера, существует биллинг на доступ из внутренней сети в интернет). А так как веб-сервер на этой же машине (на неё будет пробрасываться 80-ый порт), то не очень доверяя имеющемуся Трафик Инспектору (TI) хочу сделать доп. с сервер на FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 22-Фев-08, 20:24

>iptables это линукс, а не freebsd. Если разница для вас не приципиальна
>и захотите попробовать линукс, то на этом сайте есть отличная дока
>по iptables: https://www.opennet.ru/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и
>добавить два правила типа
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождение
Подскажите пожалуйста, если во FreeBSD нет iptables - как в нём это же реализовать? Напр, ipfw. Ещё прочитал что вроде через ipnat это в 2 строчки решается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от sdm (??) on 20-Фев-08, 19:50

>Подскажите, куда
>копать - мне нужно чтобы пробрасывался только порт веб-сервера до внутреннего
>компьютера и PPOE-соединение чтобы пробрасывалось.
"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что написали ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 20-Фев-08, 20:28

>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>написали ?
Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в Интернет.
Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно срочно до конца недели решить!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от dz (ok) on 20-Фев-08, 20:51

>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>>написали ?
>
>Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в
>Интернет.
>
>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>срочно до конца недели решить!!!
переброс порта в инете много, к примеру http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72
перебросить впн не получиться.
выход был выше. на шлюзе бсд ставить apache или nginx и не мучить себя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от sdm (??) on 20-Фев-08, 21:00

>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что
>>написали ?
>
>Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в
>Интернет.
>
>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>срочно до конца недели решить!!!
если я правильно понял, канал для школы у вас поднимается через это самое PPPoE соединение? Если так - то никакими пробросами это не решается, я не вижу вариантов решения кроме как переносом шлюза с виндозного сервера на FreeBSD.
Биллинг на винде при этом тоже возможно удастся заставить работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от sdm (ok) on 20-Фев-08, 21:05

>[оверквотинг удален]
>>Интернет.
>>
>>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно
>>срочно до конца недели решить!!!
>
>если я правильно понял, канал для школы у вас поднимается через это
>самое PPPoE соединение? Если так - то никакими пробросами это не
>решается, я не вижу вариантов решения кроме как переносом шлюза с
>виндозного сервера на FreeBSD.
>Биллинг на винде при этом тоже возможно удастся заставить работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 20-Фев-08, 21:19

>если я правильно понял, канал для школы у вас поднимается через это
>самое PPPoE соединение? Если так - то никакими пробросами это не
>решается, я не вижу вариантов решения кроме как переносом шлюза с
>виндозного сервера на FreeBSD.
>Биллинг на винде при этом тоже возможно удастся заставить работать.
1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер.
А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит в инет через другой адрес, думаю, это элементарно.
2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто подскажет вариант, как его оставить на винде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Merlin_ua (??) on 21-Фев-08, 02:12

>[оверквотинг удален]
>>виндозного сервера на FreeBSD.
>>Биллинг на винде при этом тоже возможно удастся заставить работать.
>
>1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер.
>А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит
>в инет через другой адрес, думаю, это элементарно.
>
>2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю
>как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто
>подскажет вариант, как его оставить на винде.
Чесное слово: читал бегло!!!!  а есть вариант поставить прокю??? что скажете???? (кстати, читал с похмель, не судите строго)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 21-Фев-08, 09:27

>Чесное слово: читал бегло!!!!  а есть вариант поставить прокю??? что скажете????
>(кстати, читал с похмель, не судите строго)
Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу недели должно быть какое-нить понятное решение, остался один день. Какая идея с проксей?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от sdm (??) on 21-Фев-08, 11:16

>>Чесное слово: читал бегло!!!!  а есть вариант поставить прокю??? что скажете????
>>(кстати, читал с похмель, не судите строго)
>
>Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу
>недели должно быть какое-нить понятное решение, остался один день. Какая идея
>с проксей?
теряете время :)
https://www.opennet.ru/base/modem/pppoe_freebsd_client.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (ok) on 21-Фев-08, 11:54

>https://www.opennet.ru/base/modem/pppoe_freebsd_client.txt.html
Вот, то что нужно. Спасибо dz, sdm. Пойду на работу пробовать.
Если будут ещё дополнения в ветке - с удовольствием прочитаю и учту.

P.S. Apache не подходит, т.к. принципиально чтобы веб-сервер поддерживал ASP.
Вопрос. А когда я сделаю проброс только веб порта и "умолчальную" установку FreeBSD - это уже будет защитой внутренней сети? Или ещё нужно что-то firewall'ить во внутренней сети?
Просто я так представил, раз пробрасывается только один порт, значит до остальных доступа нет, только если коннектиться к FreeBSD и с него уже дальше. Верно мыслю?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Anatoliy (??) on 21-Фев-08, 11:53

Доброго дня.
1. Поставьте FreeBSD (к примеру FreeBSD 6.3R)
2. Установите порты
#portsnap fetch
#portsnap extract
3. Установите из портов portfwd (если не хотите связываться с NAT-ом)
#cd /usr/ports/net/portfwd
#make install clean
4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы)
# ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi)
5. Запустите portfwd
# /usr/local/etc/rc.d/portfwd.sh start
Все.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Anatoliy (??) on 21-Фев-08, 12:02

>[оверквотинг удален]
>#portsnap extract
>3. Установите из портов portfwd (если не хотите связываться с NAT-ом)
>#cd /usr/ports/net/portfwd
>#make install clean
>4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы)
># ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi)
>5. Запустите portfwd
># /usr/local/etc/rc.d/portfwd.sh start
>
>Все.
Забыл добавить, что сначало необходимо настроить сетевые интерфейсы:
Добавьте строки в /etc/rc.conf следующие:
ifconfig_sk0="inet 10.0.1.10  netmask 255.255.255.0"
ifconfig_nve0="inet 192.168.1.10  netmask 255.255.255.0"
defaultrouter="10.0.1.1" ; шлюз в Интернет
где ifconfig_xxx - это сетевые карты установленные в вашем шлюзе.
Узнать их можно, выполнив:
#ifconfig
После добавление их в /etc/rc.conf
#reboot
и настраиваем portfwd

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (??) on 21-Фев-08, 16:22

Вроде кое-что получается с PPPoE,
а теперь вопрос - по этому протоколу вроде даётся динамический IP?
У меня при попытке выйти в инет пишет no route to host?
как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от sdm (??) on 21-Фев-08, 18:08

>Вроде кое-что получается с PPPoE,
>а теперь вопрос - по этому протоколу вроде даётся динамический IP?
>
>У меня при попытке выйти в инет пишет no route to host?
>
>
>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
>
проверить и закомментировать в rc.conf параметр, если он есть, dafault_router=""
покажите вывод команд:
ifconfig
netstat -rn

>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
#в ppp.conf:
set device PPPoE:em0
#если нужен nat, и он сейчас не настроен, то добавить пока:
ppp_nat="YES"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (??) on 21-Фев-08, 18:47

>проверить и закомментировать в rc.conf параметр, если он есть, dafault_router=""
>
>покажите вывод команд:
>ifconfig
>netstat -rn
>
Видимо, я забылся - PPPoE работает только от определённого IP, думал через свитч сигнал пройдёт, но я так понял что сигнал PPPoE-кабель теряется при свичте, необходимо подключать напрямую в комп.
Поэтому, я просто попробовал что ошибок не выдаёт.
>>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
>#в ppp.conf:
>
>set device PPPoE:em0
А, это я уже сделал. А нужно ли etc/rc.conf указать этот тип соединения как шлюз, днс, дефолт_раутер???

>#если нужен nat, и он сейчас не настроен, то добавить пока:
>ppp_nat="YES"
Что значит пока?
Кстати, если нетрудно - проясните.
Ставил два ноутбука по обе стороны сервера, ставил разные адреса сети (вроде даже с разными масками), нормально удалось подключиться от одного ноута к другому по удалённое подключение рабоч. стола. А что тогда есть нат? Почему без него нормально заработало???
Ну всё, уже 20.44, пора домой, завтра продолжу свои изыскания.
Пожалуйста, кому не трудно - будьте на связи хотя бы в этом форуме.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (??) on 25-Фев-08, 01:57

Пишет no route to host.
Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "FREEBSD-шлюз для доступа к веб-серверу"

Сообщение от Acden (??) on 25-Фев-08, 02:19

>Пишет no route to host.
>
>Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него?
>
Оказалось что не происходило аутентификации (не правильно написал логин), поэтому данные не присваивались и в нет не выходил. Только исправил в /etc/ppp/ppp.conf сразу соединению tun0 присвоился адрес от провайдера и заработал инет!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FREEBSD-шлюз для доступа к веб-серверу"
Сообщение от angra (ok) on 19-Фев-08, 16:25
А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо него на win2k3 сервер ipfw. Если не устраивает IIS, замените на apache или на связку nginx+apache.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (??) on 19-Фев-08, 16:51
	>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо >него на win2k3 сервер ipfw. Если не устраивает IIS, замените на >apache или на связку nginx+apache. Всё устраивает. Но я не лезу в тот сервер, т.к. на нём другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить граничный маршрутизатор.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от A Clockwork Orange on 19-Фев-08, 19:49
	>>А зачем? Предположим вас не устраивает дефолтный виндовый фаервол, тогда поставьте вместо >>него на win2k3 сервер ipfw. Если не устраивает IIS, замените на >>apache или на связку nginx+apache. > >Всё устраивает. Но я не лезу в тот сервер, т.к. на нём >другие задачи ещё, поэтому не хочу заниматься этим. А лишь добавить >граничный маршрутизатор. Поставь мост. Если есть возможность менять адреса, поставь проксирующий nginx или +apache.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 19-Фев-08, 21:46
	>Поставь мост. >Если есть возможность менять адреса, поставь проксирующий nginx или +apache. А для чего мне проксирующий nginx или +apache? Я планирую мост (IP.forward=1) + Firewall или что-то подобное (IP tables, например), поставить.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от angra (ok) on 20-Фев-08, 14:56
	iptables это линукс, а не freebsd. Если разница для вас не приципиальна и захотите попробовать линукс, то на этом сайте есть отличная дока по iptables: https://www.opennet.ru/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и добавить два правила типа iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождение наружу для всех машин сети, это в случае если у вас динамический ip и внешний интерфейс это ppp0, если статика, то лучше SNAT, вместо MASQUERADE) iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_вин_сервера (проброс 80-го порта на нужную машину, может понадобиться еще 443 для https, но не уверен как это будет работать, учитывая особенности ssl) Конечно желательно поставить политику DROP/REJECT на INPUT и FORWARD и добавить ряд разрешающих правил, в указанной выше доке есть пример и готовый скрипт, не вижу смысла его копипастить сюда.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 20-Фев-08, 15:25
	Вот это то что мне нужно. Не подумайте, что лень читать доки, просто сроки сжатые - до конца этой недели нужно вспомнить и настроить. Всё-таки предпочитаю FreeBSD. Подскажите, как в нём настроить данную ситуацию (ссылку на доки/мануалы/туториал будет достаточно). Я вот ещё думаю, как будет пробрасываться PPPoE-соединение с Win2K3 (необходимо оставить на нём, т.к. на нём помимо веб-сервера, существует биллинг на доступ из внутренней сети в интернет). А так как веб-сервер на этой же машине (на неё будет пробрасываться 80-ый порт), то не очень доверяя имеющемуся Трафик Инспектору (TI) хочу сделать доп. с сервер на FreeBSD.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 22-Фев-08, 20:24
	>iptables это линукс, а не freebsd. Если разница для вас не приципиальна >и захотите попробовать линукс, то на этом сайте есть отличная дока >по iptables: https://www.opennet.ru/docs/RUS/iptables. Собственно для работы достаточно поставить промежуточный сервер и >добавить два правила типа >iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE (Разрешение на хождение Подскажите пожалуйста, если во FreeBSD нет iptables - как в нём это же реализовать? Напр, ipfw. Ещё прочитал что вроде через ipnat это в 2 строчки решается.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "FREEBSD-шлюз для доступа к веб-серверу"
Сообщение от sdm (??) on 20-Фев-08, 19:50
>Подскажите, куда >копать - мне нужно чтобы пробрасывался только порт веб-сервера до внутреннего >компьютера и PPOE-соединение чтобы пробрасывалось. "интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что написали ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 20-Фев-08, 20:28
	>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что >написали ? Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в Интернет. Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно срочно до конца недели решить!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от dz (ok) on 20-Фев-08, 20:51
	>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что >>написали ? > >Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в >Интернет. > >Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно >срочно до конца недели решить!!! переброс порта в инете много, к примеру http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72 перебросить впн не получиться. выход был выше. на шлюзе бсд ставить apache или nginx и не мучить себя.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от sdm (??) on 20-Фев-08, 21:00
	>>"интересные" планы, особенно про проброс PPPoE соединения :), сами то поняли что >>написали ? > >Точка-точка :) Я имел ввиду VPN подключение с авторизацией для доступа в >Интернет. > >Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно >срочно до конца недели решить!!! если я правильно понял, канал для школы у вас поднимается через это самое PPPoE соединение? Если так - то никакими пробросами это не решается, я не вижу вариантов решения кроме как переносом шлюза с виндозного сервера на FreeBSD. Биллинг на винде при этом тоже возможно удастся заставить работать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от sdm (ok) on 20-Фев-08, 21:05
	>[оверквотинг удален] >>Интернет. >> >>Я занимаюсь сайтом, и тут возникла такая задача с защитой, которую нужно >>срочно до конца недели решить!!! > >если я правильно понял, канал для школы у вас поднимается через это >самое PPPoE соединение? Если так - то никакими пробросами это не >решается, я не вижу вариантов решения кроме как переносом шлюза с >виндозного сервера на FreeBSD. >Биллинг на винде при этом тоже возможно удастся заставить работать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 20-Фев-08, 21:19
	>если я правильно понял, канал для школы у вас поднимается через это >самое PPPoE соединение? Если так - то никакими пробросами это не >решается, я не вижу вариантов решения кроме как переносом шлюза с >виндозного сервера на FreeBSD. >Биллинг на винде при этом тоже возможно удастся заставить работать. 1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер. А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит в инет через другой адрес, думаю, это элементарно. 2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто подскажет вариант, как его оставить на винде.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Merlin_ua (??) on 21-Фев-08, 02:12
	>[оверквотинг удален] >>виндозного сервера на FreeBSD. >>Биллинг на винде при этом тоже возможно удастся заставить работать. > >1. Да, через PPPoE нужен инет. Проброс нужен внутрь, на веб-сервер. >А авторизацию можно и через FreeBSD сделать, а уже биллинг заставить ходит >в инет через другой адрес, думаю, это элементарно. > >2. Я почему про проброс VPN (PPPoE) сказал - т.к. не знаю >как делается подключение через VPN во FreeBSD, поэтому подумал, вдруг кто >подскажет вариант, как его оставить на винде. Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете???? (кстати, читал с похмель, не судите строго)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 21-Фев-08, 09:27
	>Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете???? >(кстати, читал с похмель, не судите строго) Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу недели должно быть какое-нить понятное решение, остался один день. Какая идея с проксей?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от sdm (??) on 21-Фев-08, 11:16
	>>Чесное слово: читал бегло!!!! а есть вариант поставить прокю??? что скажете???? >>(кстати, читал с похмель, не судите строго) > >Есть такой вариант. На FreeBSD можно поставить что угодно. ТОлько к концу >недели должно быть какое-нить понятное решение, остался один день. Какая идея >с проксей? теряете время :) https://www.opennet.ru/base/modem/pppoe_freebsd_client.txt.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (ok) on 21-Фев-08, 11:54
	>https://www.opennet.ru/base/modem/pppoe_freebsd_client.txt.html Вот, то что нужно. Спасибо dz, sdm. Пойду на работу пробовать. Если будут ещё дополнения в ветке - с удовольствием прочитаю и учту. P.S. Apache не подходит, т.к. принципиально чтобы веб-сервер поддерживал ASP. Вопрос. А когда я сделаю проброс только веб порта и "умолчальную" установку FreeBSD - это уже будет защитой внутренней сети? Или ещё нужно что-то firewall'ить во внутренней сети? Просто я так представил, раз пробрасывается только один порт, значит до остальных доступа нет, только если коннектиться к FreeBSD и с него уже дальше. Верно мыслю?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

16. "FREEBSD-шлюз для доступа к веб-серверу"
Сообщение от Anatoliy (??) on 21-Фев-08, 11:53
Доброго дня. 1. Поставьте FreeBSD (к примеру FreeBSD 6.3R) 2. Установите порты #portsnap fetch #portsnap extract 3. Установите из портов portfwd (если не хотите связываться с NAT-ом) #cd /usr/ports/net/portfwd #make install clean 4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы) # ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi) 5. Запустите portfwd # /usr/local/etc/rc.d/portfwd.sh start Все.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Anatoliy (??) on 21-Фев-08, 12:02
	>[оверквотинг удален] >#portsnap extract >3. Установите из портов portfwd (если не хотите связываться с NAT-ом) >#cd /usr/ports/net/portfwd >#make install clean >4. Отредактируете файл portfwd.cfg (пробросьте те TCP,UDP порты которые необходимы) ># ee /usr/local/etc/portfwd.cfg (если не хотите разбираться с vi) >5. Запустите portfwd ># /usr/local/etc/rc.d/portfwd.sh start > >Все. Забыл добавить, что сначало необходимо настроить сетевые интерфейсы: Добавьте строки в /etc/rc.conf следующие: ifconfig_sk0="inet 10.0.1.10 netmask 255.255.255.0" ifconfig_nve0="inet 192.168.1.10 netmask 255.255.255.0" defaultrouter="10.0.1.1" ; шлюз в Интернет где ifconfig_xxx - это сетевые карты установленные в вашем шлюзе. Узнать их можно, выполнив: #ifconfig После добавление их в /etc/rc.conf #reboot и настраиваем portfwd
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (??) on 21-Фев-08, 16:22
	Вроде кое-что получается с PPPoE, а теперь вопрос - по этому протоколу вроде даётся динамический IP? У меня при попытке выйти в инет пишет no route to host? как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от sdm (??) on 21-Фев-08, 18:08
	>Вроде кое-что получается с PPPoE, >а теперь вопрос - по этому протоколу вроде даётся динамический IP? > >У меня при попытке выйти в инет пишет no route to host? > > >как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ? > проверить и закомментировать в rc.conf параметр, если он есть, dafault_router="" покажите вывод команд: ifconfig netstat -rn >как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ? #в ppp.conf: set device PPPoE:em0 #если нужен nat, и он сейчас не настроен, то добавить пока: ppp_nat="YES"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (??) on 21-Фев-08, 18:47
	>проверить и закомментировать в rc.conf параметр, если он есть, dafault_router="" > >покажите вывод команд: >ifconfig >netstat -rn > Видимо, я забылся - PPPoE работает только от определённого IP, думал через свитч сигнал пройдёт, но я так понял что сигнал PPPoE-кабель теряется при свичте, необходимо подключать напрямую в комп. Поэтому, я просто попробовал что ошибок не выдаёт. >>как ему указать что я все инет соединения пускаю через PPPoE:/dev/em0 ? >#в ppp.conf: > >set device PPPoE:em0 А, это я уже сделал. А нужно ли etc/rc.conf указать этот тип соединения как шлюз, днс, дефолт_раутер??? >#если нужен nat, и он сейчас не настроен, то добавить пока: >ppp_nat="YES" Что значит пока? Кстати, если нетрудно - проясните. Ставил два ноутбука по обе стороны сервера, ставил разные адреса сети (вроде даже с разными масками), нормально удалось подключиться от одного ноута к другому по удалённое подключение рабоч. стола. А что тогда есть нат? Почему без него нормально заработало??? Ну всё, уже 20.44, пора домой, завтра продолжу свои изыскания. Пожалуйста, кому не трудно - будьте на связи хотя бы в этом форуме.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (??) on 25-Фев-08, 01:57
	Пишет no route to host. Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "FREEBSD-шлюз для доступа к веб-серверу"
	Сообщение от Acden (??) on 25-Фев-08, 02:19
	>Пишет no route to host. > >Как ему указать что при подключении PPPoE (tun0) вся маршрутизация через него? > Оказалось что не происходило аутентификации (не правильно написал логин), поэтому данные не присваивались и в нет не выходил. Только исправил в /etc/ppp/ppp.conf сразу соединению tun0 присвоился адрес от провайдера и заработал инет!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]