http://www.lissyara.su/articles/freebsd/security/mpd5+ipfw-nat/
Вопрос был давно, но тогда давно не было
проблем с nat - изученная конфигурация mpd4 работала на машине, где на
1ой сетевой сервера с помощью следовавшего за ним маршрутизатора было
уже два адреса - и внешний, и внутренний, а внутренняя сеть была
192.168.0.0/16 - и выдавать диапазоны подсетей было легко и
непринуждённо.
Статья расписана почти для новичков, чтобы было максимально ясно, что и
как делается - разжёвано и почти проглочено в помощь начинающим.
На новой работе встал вопрос: как сделать так красиво, чтобы в
существующей сети 192.168.0.0/24 без смены (даже через легчайшую
автоматизацию с помощью dhcp перераздачи адресов) вещания, можно было
впускать извне по VPN клиентов, которые бы варились в небольшом
поддиапазоне внутри 192.168.0.0/24, например, 192.168.0.248/29
(192.168.0.249-254 адреса,нам много не надо) и видели внутренние
ресурсы, как если бы они физически были за своими рабочими компами в
офисе, и могли при этом ещё в тырнет при подключённом ppp ходить с
удалённых Windows-машин за счёт того же сервера, где крутится mpd5.
По-простому: сижу я, значит, наглухо в командировке, пиво всё кончилось,
за новым идти лень, а захотелось стащить с корпоративной файлопомойки,
что в другом городе, забавные конфиденциальные отчёты. При этом, хочется
нормально поискать по сетке, ftp-шника для внешних клиентов нету вовсе,
а у меня здесь канал вроде не узкий и Win ХтьPфу стоит: так вот, создаю
я, значит, обычное VPN-подключение через существующий канал в мир и
попадаю сразу в свою локалку, как родной, да ещё могу при этом лазать в
тырнет, не отключаясь.
В довесок, уже вышел MPD5 - Multi-link PPP daemon for FreeBSD
(отличается слегка от mpd4), а у меня к тому же стояла FreeBSD7.0 с
ядром amd64 (i386 в данном случае тоже безусловно подойдёт - никаких
завязок на архитектуру нет, но всё же я затрону ещё и пересборку ядра),
где, как и во всей новой ветке FreeBSD7.0 RELEASE natd отмер, и его роли
переложили в том числе и на мой любимый IPFW2: опция в нём так и
назвалась - nat. 64битная архитектура мне понадобилась чтобы без
головной боли "увидеть" 8ГБ оперативы, да и пора уже перелезать на
модные течения, что мы, рыжие что ли?! Года два назад в 64битной ветке
было очень много проблем и половина пакетов даже просто не собирались.
Сейчас это не так, и поверьте моему опыту, ВСЕ самые джентельменские и
не очень пакеты и связки пока поднимались, тьфу-тьфу, без проблем. Так
что, велкам: задействуем никому не нужные 64битные инструкции ядер
(производительность по различным мнениям не возросла ни на йоту)!
Рабочих конфигов для такого извращенского подхода, как описал выше, не
нашёл, хотя искал довольно усердно. Хотелось красиво и как душа лежит, а
не расширять класс сети и делать в общем-то, по-человечески.
Итак, что имеем: обычный ibm-сервер, с Xeon с поддержкой emt64 или как
её там - неважно, главное, на amd64 возможностях с ядром сойдутся, 8ГБ
невидимой в i386 ОЗУ и дистрибутив 7.0-RELEASE-amd64-disc1.iso, а
остальное от лукавого.
Про установку системы ничего особенного, да и на этом сайте есть чего почитать.
Но порты я не ставлю сразу, а подтягиваю потом, на первой рабочей загрузке после установки - чтобы совсем fresh и hot были:
Задымилось, жду счастья и сразу ставлю любимый demos commander (простейшую оболочку):
# whereis deco
deco: /usr/ports/misc/deco
# cd /usr/ports/misc/deco ; make install clean
# rehash && deco
|
(*рэхэш, то есть переиндексирование системных ссылок и прочего, работает только под определёнными интерпретаторами)
Кому как, а мне порой через него сидеть удобней, хотя и есть некоторое
кол-во различий в командах по сравнению с обычной командной строкой
/sbin/sh - то тже самый rehash в deco не пашет.
Далее, лезу в sys и ищу там amd64 GENERIC ядро (на самом деле, я это делаю в деке, но аналогичные действия привожу из /sbin/sh):
# cd sys/amd64/conf
# cp GENERIC VPNGOD
|
VPNGOD - так будет называться новое ядро с поддержкой NETGRAPH (необходима для MPD).
По сути, мы можем вообще не трогать ядро, только если для расширения
адресации (задействования наших 8ГБ ОЗУ), т.к. и ipfw2 и netgraph могут
быть включены как подключаемые при загрузке модули системы, но это не
есть правильно, т.к. всё-таки у нас машина будет заниматься именно тем,
что мы встраиваем - а не время от времени служить каким-нибудь
mail-relay. Да и помнится мне, что вкомпиленное в ядро работает быстрее -
но не уверен.
Состав моего нового ядра с помощью:
я сделал таким:
cpu HAMMER
ident VPNGOD # название ядра - любое
# To statically compile in device wiring instead of /boot/device.hints
#hints "GENERIC.hints" # Default places to look for devices.
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
options SCHED_ULE # 4BSD scheduler
options PREEMPTION # Enable kernel thread preemption
options INET # InterNETworking
#options INET6 # IPv6 communications protocols
#не собиралось с ним, присутствуют зависимости.
#отключил - завязка на ipv6, который мне вдругорядь не нужен.
#options SCTP # Stream Control Transmission Protocol
options FFS # Berkeley Fast Filesystem
options SOFTUPDATES # Enable FFS soft updates support
options UFS_ACL # Support for access control lists
options UFS_DIRHASH # Improve performance on big directories
options UFS_GJOURNAL # Enable gjournal-based UFS journaling
# лишнее
#options MD_ROOT # MD is a potential root device
#options NFSCLIENT # Network Filesystem Client
#options NFSSERVER # Network Filesystem Server
#options NFS_ROOT # NFS usable as /, requires NFSCLIENT
options NTFS # NT File System
options MSDOSFS # MSDOS Filesystem
options CD9660 # ISO 9660 Filesystem
options PROCFS # Process filesystem (requires PSEUDOFS)
options PSEUDOFS # Pseudo-filesystem framework
options GEOM_PART_GPT # GUID Partition Tables.
options GEOM_LABEL # Provides labelization
options COMPAT_43TTY # BSD 4.3 TTY compat [KEEP THIS!]
options COMPAT_IA32 # Compatible with i386 binaries
options COMPAT_FREEBSD4 # Compatible with FreeBSD4
options COMPAT_FREEBSD5 # Compatible with FreeBSD5
options COMPAT_FREEBSD6 # Compatible with FreeBSD6
#options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
#options KTRACE # ktrace(1) support
options SYSVSHM # SYSV-style shared memory
options SYSVMSG # SYSV-style message queues
options SYSVSEM # SYSV-style semaphores
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
options ADAPTIVE_GIANT # Giant mutex is adaptive.
options STOP_NMI # Stop CPUS using NMI instead of IPI
options AUDIT # Security event auditing
# собственно, почти ради чего собираем - опции для IPFW и MPD (через NETGRAPH)
# объяснений опять же можно найти хотя бы даже на этом сайте Лиса.
options IPFIREWALL # firewall
options IPFIREWALL_VERBOSE # enable logging to syslogd(8)
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
# та самая новая поддержка трансляции
options IPFIREWALL_NAT # ipfw kernel nat support
options LIBALIAS
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
#options NETGRAPH_MPPC_COMPRESSION
#требуется наличие дополнительной проприетарной библиотеки,мне не нужно
# Make an SMP-capable kernel by default (поддержка многоядерности по умолчанию)
options SMP # Symmetric MultiProcessor Kernel
# CPU frequency control
device cpufreq
# Bus support.
device acpi
device pci
# Floppy drives
#device fdc - у меня нет такого раритета
# остальные устройства лучше не удалять, а закомментировать на
# случай изменений в железе потом легче будет найти.
# Искать железо стоит вначале при помощи команды dmesg -a, когда
# у вас ещё GENERIC ядро - оно почти всё определяет без проблем,
# и по нему оставлять незакомментированные строки для
# поддержки устройств. У меня получилось вот так:
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives
#device atapifd # ATAPI floppy drives
#device atapist # ATAPI tape drives
#options ATA_STATIC_ID # Static device numbering
# SCSI Controllers
#device ahc # AHA2940 and onboard AIC7xxx devices
#options AHC_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~128k to driver.
#device ahd # AHA39320/29320 and onboard AIC79xx devices
#options AHD_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~215k to driver.
#device amd # AMD 53C974 (Tekram DC-390(T))
#device hptiop # Highpoint RocketRaid 3xxx series
#device isp # Qlogic family
#device ispfw # Firmware for QLogic HBAs- normally a module
#device mpt # LSI-Logic MPT-Fusion
#device ncr # NCR/Symbios Logic
#device sym # NCR/Symbios Logic (newer chipsets + those of `ncr')
#device trm # Tekram DC395U/UW/F DC315U adapters
#device adv # Advansys SCSI adapters
#device adw # Advansys wide SCSI adapters
#device aic # Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
#device bt # Buslogic/Mylex MultiMaster SCSI adapters
# SCSI peripherals
device scbus # SCSI bus (required for SCSI)
#device ch # SCSI media changers
#device da # Direct Access (disks)
#device sa # Sequential Access (tape etc)
#device cd # CD
#device pass # Passthrough device (direct SCSI access)
#device ses # SCSI Environmental Services (and SAF-TE)
# RAID controllers interfaced to the SCSI subsystem
#device amr # AMI MegaRAID
#device arcmsr # Areca SATA II RAID
#device ciss # Compaq Smart RAID 5*
#device dpt # DPT Smartcache III, IV - See NOTES for options
#device hptmv # Highpoint RocketRAID 182x
device hptrr # Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx
#device iir # Intel Integrated RAID
#device ips # IBM (Adaptec) ServeRAID
#device mly # Mylex AcceleRAID/eXtremeRAID
#device twa # 3ware 9000 series PATA/SATA RAID
# RAID controllers
device aac # Adaptec FSA RAID
device aacp # SCSI passthrough for aac (requires CAM)
#device ida # Compaq Smart RAID
#device mfi # LSI MegaRAID SAS
#device mlx # Mylex DAC960 family
#XXX pointer/int warnings
#device pst # Promise Supertrak SX6000
#device twe # 3ware ATA RAID
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device kbdmux # keyboard multiplexer
device vga # VGA video card driver
device splash # Splash screen and screen saver support
# syscons is the default console driver, resembling an SCO console
device sc
device agp # support several AGP chipsets
# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
#device cbb # cardbus (yenta) bridge
#device pccard # PC Card (16-bit) bus
#device cardbus # CardBus (32-bit) bus
# Serial (COM) ports
#device sio # 8250, 16[45]50 based serial ports
#device uart # Generic UART driver
# Parallel port
#device ppc
#device ppbus # Parallel port bus (required)
#device lpt # Printer
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da
# If you've got a "dumb" serial or parallel PCI card that is
# supported by the puc(4) glue driver, uncomment the following
# line to enable it (connects to sio, uart and/or ppc drivers):
#device puc
# PCI Ethernet NICs.
#device de # DEC/Intel DC21x4x (``Tulip'')
#device em # Intel PRO/1000 adapter Gigabit Ethernet Card
#device ixgb # Intel PRO/10GbE Ethernet Card
#device le # AMD Am7900 LANCE and Am79C9xx PCnet
#device txp # 3Com 3cR990 (``Typhoon'')
#device vx # 3Com 3c590, 3c595 (``Vortex'')
# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device miibus # MII bus support
device bce # Broadcom BCM5706/BCM5708 Gigabit Ethernet
#device bfe # Broadcom BCM440x 10/100 Ethernet
#device bge # Broadcom BCM570xx Gigabit Ethernet
#device dc # DEC/Intel 21143 and various workalikes
#device fxp # Intel EtherExpress PRO/100B (82557, 82558)
#device lge # Level 1 LXT1001 gigabit Ethernet
#device msk # Marvell/SysKonnect Yukon II Gigabit Ethernet
#device nfe # nVidia nForce MCP on-board Ethernet
#device nge # NatSemi DP83820 gigabit Ethernet
#device nve # nVidia nForce MCP on-board Ethernet Networking
#device pcn # AMD Am79C97x PCI 10/100 (precedence over 'le')
#device re # RealTek 8139C+/8169/8169S/8110S
#device rl # RealTek 8129/8139
#device sf # Adaptec AIC-6915 (``Starfire'')
#device sis # Silicon Integrated Systems SiS 900/SiS 7016
#device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet
#device ste # Sundance ST201 (D-Link DFE-550TX)
#device ti # Alteon Networks Tigon I/II gigabit Ethernet
#device tl # Texas Instruments ThunderLAN
#device tx # SMC EtherPower II (83c170 ``EPIC'')
#device vge # VIA VT612x gigabit Ethernet
#device vr # VIA Rhine, Rhine II
#device wb # Winbond W89C840F
#device xl # 3Com 3c90x (``Boomerang'', ``Cyclone'')
# Wireless NIC cards
device wlan # 802.11 support
device wlan_wep # 802.11 WEP support
device wlan_ccmp # 802.11 CCMP support
device wlan_tkip # 802.11 TKIP support
device wlan_amrr # AMRR transmit rate control algorithm
device wlan_scan_ap # 802.11 AP mode scanning
device wlan_scan_sta # 802.11 STA mode scanning
#device an # Aironet 4500/4800 802.11 wireless NICs.
device ath # Atheros pci/cardbus NIC's
device ath_hal # Atheros HAL (Hardware Access Layer)
device ath_rate_sample # SampleRate tx rate control for ath
#device awi # BayStack 660 and others
#device ral # Ralink Technology RT2500 wireless NICs.
#device wi # WaveLAN/Intersil/Symbol 802.11 wireless NICs.
# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
device sl # Kernel SLIP
device ppp # Kernel PPP
device tun # Packet tunnel.
device pty # Pseudo-ttys (telnet etc)
#device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling
#device faith # IPv6-to-IPv4 relaying (translation)
device firmware # firmware assist module
# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
# USB support
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device ehci # EHCI PCI->USB interface (USB 2.0)
device usb # USB Bus (required)
#device udbp # USB Double Bulk Pipe devices
device ugen # Generic
device uhid # "Human Interface Devices"
device ukbd # Keyboard
#device ulpt # Printer
device umass # Disks/Mass storage - Requires scbus and da
device ums # Mouse
#device ural # Ralink Technology RT2500USB wireless NICs
#device urio # Diamond Rio 500 MP3 player
#device uscanner # Scanners
| Если вы не работаете в деко, проверим на всякий случай, в какой мы директории:
Всё так, символичный линк (symlink, symbolic link) на директорию sys =
/usr/src/sys/ (он в системе по умолчанию, а создаютсяони с помощью
команды
ln -s имясуществующейдиры имялинка
| ),
так что мы там, откуда выполним следующую команду для создания каталога
исходников в соответствии с вышеуказанной конфигурацией ядра:
# config VPNGOD
Kernel build directory is ../compile/VPNGOD
Don't forget to do ``make cleandepend && make depend''
|
Идём в:
# cd ../compile/VPNGOD
# pwd
/usr/src/sys/amd64/compile/VPNGOD
|
Внимание, по умолчанию правило IPFW, который мы собираемся включить, выглядит так:
65535 deny ip from any to any
| Т.е.
все внешние сетевые подключения обрубит после перезагрузки и закроет
ваш сервер от любых притязаний, даже хозяев. Если вы за консолью, это
конечно никак не повлияет, если же вы работаете удалённо, позаботьтесь
об этом заранее (например, создать скрипт с
allow all from any to any
| перед 65535ым правилом на первое время).
Теперь, находясь в директории сырцов нового ядра, последуем просьбе
указанной выше системой (это один из двух известных мне способов
пересборки ядра, я пользуюсь только им):
|
# make cleandepend && make depend && make -j8 -B && make install && reboot
|
Этим набором команд, перечисленных через операторы "&&" -
последовательное выполнение одного за другим, мы сразу всё стадо зайцев
скосили и при отсутствии ошибок при сборке можем расслабиться, и как
говориться при установке всем известных ОС - откинуться на спинку кресла
(не купили к установке?). Все эти команды задают зависимости, собирают
модули, компилируют их аж в 8 потоков (-j8), но по возможности с
последовательной синхронизацией (-B), устанавливают всё в /boot/kernel и
перезагружают систему автоматом по окончании.
Если что, смотрите гугл или используйте make buildkernel команду
(собсно,снова гугл по хэндбукам). Число потоков и параметр "-B"
используйте только на мощных машинах, на слабых их вообще лучше опустить
(просто make).
|
