UTM5 и pf

Crown · Сообщение **Crown** » Пн окт 19, 2009 06:16

Вопрос: работает ли rwf с pf? Есть ли у кого опыт? В голове родилась мысль в качестве NAS поставить коробочную версию pfSense и включить на нём сервер PPPoE.

Chris · Сообщение **Chris** » Пн окт 19, 2009 06:18

А в чем проблема то, работает конечно

Crown · Сообщение **Crown** » Пн окт 19, 2009 06:20

Это хорошо

Значит будем делать.

gil · Сообщение **gil** » Пн окт 19, 2009 06:59

работает идеально..
в настройках файрвола - что-то типа включение "-t blocked -T add UIP", выключение "-t blocked -T delete UIP"..
в pf.conf что-то типа:

Код: Выделить всё

table <blocked> persists
rdr proto tcp from <blocked> to any port 80 -> $billing port 8081
pass quick proto tcp from blocked to $billing port &#123; 80 443 8081 &#125;
block quick from <blocked> to any

на порту 8081 крутиться apache, который выдает страничку "Закончились деньги"..
в rfw.conf файрволл - /sbin/pfctl (иль как оно там)..
и как-то это все работает.. =)

Crown · Сообщение **Crown** » Пн окт 19, 2009 11:29

gil писал(а):работает идеально..
в настройках файрвола - что-то типа включение "-t blocked -T add UIP", выключение "-t blocked -T delete UIP"..
в pf.conf что-то типа:
Код: Выделить всё
table <blocked> persists
rdr proto tcp from <blocked> to any port 80 -> $billing port 8081
pass quick proto tcp from blocked to $billing port &#123; 80 443 8081 &#125;
block quick from <blocked> to any
на порту 8081 крутиться apache, который выдает страничку "Закончились деньги"..
в rfw.conf файрволл - /sbin/pfctl (иль как оно там)..
и как-то это все работает.. =)

Спасибо за информацию

А на pfsense установить rfw получается из пакета?

Makariy

Crown писал(а): Спасибо за информацию А на pfsense установить rfw получается из пакета?

скачай демо версию утм под FreeBSD и оттуда возьми rfw
ЗЫ: насколько я помню в pfsense стоит лимит PPPoE подключений = 16
чтобы увеличить его, необходимо пересобирать mpd

Crown · Сообщение **Crown** » Пн окт 19, 2009 11:54

Не, на 1.2.2 стоит в гуях 254 юзера, одновременно. В принципе, на ESXi сделать их несколько, и каждый в свой VLAN, таким образом снять с нагрузку с одного. Нашёл я как заливать файлы, через гуи - диагностика, команды, upload

Crown · Сообщение **Crown** » Пн окт 19, 2009 12:26

Залил на pfsense utm5-2.1.007.tbz, сделал pkg_add utm5-2.1.007.tbz - он установился

Теперь надо будет попробовать убрать чего не надо, настроить фаравол, чтобы обращался к билингу и в билинге прописать команды, для управления фараволом. Интересно, получится или нет?

Makariy

Crown писал(а):Залил на pfsense utm5-2.1.007.tbz, сделал pkg_add utm5-2.1.007.tbz - он установился Теперь надо будет попробовать убрать чего не надо, Интересно, получится или нет?

я непонял ты что на pfsence собрался и биллинг держать? - втопку

на pfsense тебе нужно только засунуть сам rfw

Код: Выделить всё

/netup/utm5/bin/safe_utm5_rfw
/netup/utm5/bin/utm5_rfw
/netup/utm5/rfw5.cfg

+ скрипт автозагрузки

Код: Выделить всё

/usr/local/etc/rc.d/utm5_rfw.sh

настроить rfw5.cfg

в конфиге mpd.conf указать настройки радиуса + куда лить нетфлоу

Код: Выделить всё

set netflow peer айпиядраутм 9996.

radius&#58;
   set radius server айпирадиуса скретноеслово 1812 1813.
   set radius retries 3.
   set radius timeout 10
   set radius me айпирадиуса
   set auth acct-update 300.
   set auth enable radius-auth.
   set auth enable radius-acct
   set radius enable message-authentic

завести этот rfw в админке, и написать правила включения/выключения, завести pfsence в списке NAS

если не работает, вдумчиво курить мануал утм и рускоязычную ветку форума pfsence

ЗЫ: я поначалу тоже хотел NAS на pfsence собрать, но быстро плюнул,
почти собрал на FreeBSD 7.2
если всё получится отпиши ощущения

удачи

Crown · Сообщение **Crown** » Пн окт 19, 2009 17:17

pfsense в качестве NAS, которых может быть много. А так я просто не стал заморачиваться, установил из пакета UTM5, а чего не надо из автозагрузки /usr/local/etc/rc.d/ просто убрал

p.s.
Для чего я это делаю? Делаю это для того, чтобы я уехал в отпуск. Кроме меня нет любителей в консоли лазить и заводить на mpd5 пользователей, чтобы те могли статистику смотреть когда деньги кончились, и прочие феньки - для гуёвых администраторов это

Админить удалённо - не вариант, так как намедни был прокол, купил gprs флэху от билайна, а у них gre не пропускает...Пришлось другого провайдера идти покупать и прокол может повторится. А так, девушке дам ссыль, и напишу инструкцию

))
p.s.1
Хы

Да я в принципе знаю это, просто опыта работы с pf не было

У меня сейчас работает UTM5 - FreeBSD 7.2
NAS (Quagga) - FreeBSD 7.2. Просто интересно, выдержит ли pfSense все требования? Если получится, то это ведь будет NAS для билинга из коробки, причём не требовательный к железу.