LINUX.ORG.RU
решено ФорумAdmin

Упал прокси и доступ через rdp на FreeBsd 10.1

 , , ,


0

1

Привет всем, форумчане) Работаю в фирме с населением около 60 компов. Имеется сервер фряхи 10.1, к которому подключен интернет и по прокси раньше юзвери сидели по локалке в инете на винде)

Прошлый админ настроил ее для доступа к инету через прокси по 8080 серву и доступа к 2 другим серва в локальной сети через rdp.

После того, как надо было мне ставить сначала zabbix (сам сервер поставил и mysql, на этапе выбора пароля для базы остановился), затем нагиос(ее тоже до конца не подключил).

Сами мануалы: tech4u. pro /stati / item/ustanovka-zabbix-na-freebsd10 adw0rd. com /2013 /1/5/freebsd-nagios/ (не сочтите за рекламу)

Из-за ошибки установки через порты обновил (!!!!) соответственно их и установливал позднее все через pkg. После этого юзвери перестали подключаться через прокси (в IE), пришлось отключать прокси у них. То есть по 8080 порту прокси не работает теперь. Настроен также через natd проброс портов для доступа с внешки по rdp на два сервера в локалке. Это тоже отвалилось. Пока хотя бы не могу решить проблему с rdp ipdivert в ядре присутствует. В rc. conf записано: gateway_enable=«YES» hostname=«gate.имяфирмы.local» ifconfig_ale0=«inet ipлокальный netmask 255.255.255.0» inetd_enable=«YES» keymap=«ru.koi8-r» linux_enable=«YES» sshd_enable=«YES» firewall_enable=«YES» firewall_script=«/etc/firewall.sh» ppp_enable=«YES» ppp_mode=«ddial» ppp_profile=«rostel» ppp_user=«root» natd_enable=«YES» natd_interface=«tun0» natd_flags="-f /etc/natd.conf" squid_enable=YES monit_enable=«YES» apache22_enable=«YES» samba_enable=«YES» #mysql_enable=«YES» #sams_enable=«YES» #openvpn_enable=«YES» #openvpn_if=«tun» #openvpn_configfile=«/usr/local/etc/openvpn/client.conf» #openvpn_dir=«/usr/local/etc/openvpn»

В natd.conf записано (в конце пустая строка) interface tun0

redirect_port tcp ip 1 серва:3389 14556 redirect_port tcp ip 2 серва:3389 14557 #redirect_port udp ip какойто:500 500 #redirect_port tcp ip какойто:51 51 #redirect_port tcp ip какойто:50 50

sockstat не выдает статистику по 3389 8080 14556 14557 портам.

ipfw show выдает: 00010 259 1027376 allow ip from any to any via lo0 00020 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 deny ip from 127.0.0.0/8 to any 00040 3614881 436982227 divert 8668 ip from 192.168.0.0/24 to any out via tun0 00050 5909999 6913025283 divert 8668 ip from any to ip_внешний in via tun0 00060 5859803 6902478908 allow ip from any to 192.168.0.0/24 in via tun0 00080 0 0 check-state 00110 8 448 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00120 0 0 reject ip from 192.168.0.0/24 to any in via tun0 00130 13452035 7821259172 allow log ip from any to any 00140 0 0 allow ip from 192.168.0.0/24 to 192.168.0.0/24 00150 0 0 allow tcp from any to any dst-port 5190 00160 0 0 allow tcp from any 5190 to any 00170 0 0 allow ip from any to any dst-port 4090 00180 0 0 allow ip from any 4090 to any 00190 0 0 allow tcp from any to any dst-port 5908 00193 0 0 allow tcp from any 5908 to any 00195 0 0 allow tcp from any to 192.168.250.166 dst-port 5908 via tun0 00200 0 0 allow tcp from 192.168.250.166 5908 to any via tun0 00210 0 0 allow tcp from any to any dst-port 1723 00220 0 0 allow tcp from any 1723 to any 00230 0 0 allow gre from any to any 00240 0 0 allow tcp from any to any dst-port 22 00250 0 0 allow tcp from any 22 to any 00400 0 0 allow ip from any to any out via tun0 keep-state 00430 0 0 allow ip from any to any dst-port 53 keep-state 00440 0 0 allow ip from any 53 to any keep-state 00450 0 0 allow tcp from any to any dst-port 110 in via ale0 setup keep-state 00460 0 0 allow tcp from any to any dst-port 25 in via ale0 setup keep-state 00470 0 0 allow tcp from any to any dst-port 3389 in via ale0 keep-state 00480 0 0 allow tcp from any to any dst-port 4899 in via ale0 setup keep-state 00490 0 0 allow tcp from any to any dst-port 6129 in via ale0 setup keep-state 00500 0 0 allow udp from any to any dst-port 123 in via ale0 keep-state 00510 0 0 allow tcp from any to any dst-port 21 in via ale0 00511 0 0 allow tcp from any 21 to any out via ale0 00520 0 0 allow tcp from any to any dst-port 20 in via ale0 00521 0 0 allow tcp from any 20 to any out via ale0 00530 0 0 allow tcp from any to any dst-port 443 in via ale0 setup keep-state 00540 0 0 allow icmp from any to any 01000 0 0 deny ip from any to any 65535 6 360 deny ip from any to any

tcpdump port 3389 выдает tcpdump: WARNING: re0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on re0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 14792 packets received by filter 0 packets dropped by kernel

Пол инета облазил, не могу понять в чем может было дело?)


По проксе проверь запущен ли у тебя squid для настройки NAT и проброса портов лучше используй ядерный NAT

1) пересобери или подгрузи следующие модули в ядро системы

ident ROUTER

options IPFIREWALL

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=50

options IPFIREWALL_NAT

options LIBALIAS

options IPFIREWALL_FORWARD

options ROUTETABLES=2

options DUMMYNET

options HZ=«1000»

2)Добавить следующие строки в файл /etc/rc.conf

gateway_enable=«YES»

keymap=«ru.koi8-r»

sshd_enable=«YES»

firewall_enable=«YES»

firewall_nat_enble=«YES»

firewall_script=«/etc/firewall»

squid_enable=«YES»

3)добавь значение в файл /etc/sysctl.conf net.inet.ip.fw.one_pass=1

4)создай файл в каталоге /etc/ firewall

Для примера Сеть 35.0/24 Внешняя СЕТЬ 5.0/24 Внутреняя

5)Добавите следующие значения в файл firewall

ipfw -q flush

#ipfw nat 99 config if em0 log same_ports

#ipfw add 100 nat 1 ip from any to any via em0

#PING ENABLE

ipfw add 90 allow icmp from any to 192.168.35.20 icmptypes 8 in via em0

#SSH ENABLE ipfw add 91 allow tcp from 192.168.35.100 to me 22

ipfw add 92 allow tcp from me 22 to 192.168.35.100

#NAT для адреса 192.168.5.9

ipfw add 93 nat 1 ip from 192.168.5.9 to any via em0

ipfw add 94 nat 1 ip from 192.168.35.20 to any via em0

ipfw add 95 nat 1 ip from any to 192.168.35.20 via em0 #Проброс портов

ipfw nat 1 config log if em0 reset same_ports deny_in redirect_port tcp 192.168.5.9:3389 3310

ipfw add 200 deny ip from any to 127.0.0.0/8

ipfw add 300 deny ip from 127.0.0.0/8 to any

ipfw add 1040 allow ip from any to any via em1

ipfw add 1041 allow ip from any to any via em0

ipfw add 1042 allow ip from any to any via lo0

ipfw add 1050 deny ip from any to 192.168.0.0/16 in recv em0

ipfw add 1060 deny ip from 192.168.0.0/16 to any in recv em0

ipfw add 1070 deny ip from any to 172.16.0.0/12 in recv em0

ipfw add 1080 deny ip from 172.16.0.0/12 to any in recv em0

ipfw add 1090 deny ip from any to 10.0.0.0/8 in recv em0

ipfw add 10100 deny ip from 10.0.0.0/8 to any in recv em0

ipfw add 10110 deny ip from any to 169.254.0.0/16 in recv em0

ipfw add 10120 deny ip from 169.254.0.0/16 to any in recv em0

ipfw add 65534 deny all from any to any

rootmaster ()
Ответ на: комментарий от rootmaster

По проксе проверь запущен ли у тебя squid

service squid start squid does not exist in /etc/rc.d or the local startup directories (/usr/local/etc/rc.d) Заметил, что после установки mc через pkg он зачем-то сносил squid и закончил установку с ошибками. Путь потерялся?

b217ck ()
Ответ на: комментарий от rootmaster

Нашел вот что: При обновлении, пакетный менеджер обнаружит порт, собранный с нестандартными параметрами и предложит выполнить переустановку. После установки бинарного пакета прозрачный прокси перестанет работать. Частично проблему можно решить, заблокировав обновление Squid.

То есть надо переустановить squid?

b217ck ()
Ответ на: комментарий от rootmaster

Не может завершить, как обойти проверку перла? squid-3.5.10 depends on package: perl5>=5.20<5.21 - not found ===> Installing for perl5-5.20.3_8 ===> Checking if perl5 already installed ===> Registering installation for perl5-5.20.3_8 as automatic Installing perl5-5.20.3_8... pkg-static: perl5-5.20.3_8 conflicts with perl-5.10.1 (installs files into the same place). Problematic file: /usr/local/bin/a2p *** Error code 70

Stop. make[3]: stopped in /usr/ports/lang/perl5.20 *** Error code 1

Stop. make[2]: stopped in /usr/ports/lang/perl5.20 *** Error code 1

Stop. make[1]: stopped in /usr/ports/www/squid *** Error code 1

Stop. make: stopped in /usr/ports/www/squid

b217ck ()
Ответ на: комментарий от b217ck

Ты досих пор используеш порты это уже прошлый век FreeBSD 10 уже есть новый менеджер пакетов используй его ман как перуйти с портов на использование PKGNG

http://rootmaster.at.ua/publ/perekhod_vo_freebsd_na_ispolzovanie_pkgng/1-1-0-168

rootmaster ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin