Kratek uvod v FreeBSD

Ne, to je rang IP-jev od 192.168.0.0 do 192.168.255.255, poglej si to.

Switch? Ne.

1. Če maš ta server kot gateway, potem ta server skrbi, switch je samo za delenjenje internetne povezave.

2. lo0 je localhost

@slovencl

lo0 je loopback device, ki je navidezna mrezna kartica za komuniciranje med procesi lokalno (torej na isti masini). To moras imet vklopljeno sicer marsikateri program ti ne bo delal. Za lokalno omrezje pa tisti ruli nimajo veze, dovolit moras samo da se racunalniki lahko connectajo na serverjev IP. Torej nekaj v stilu (trenutno nimam cajta pogleda IPFW rulov, ker se mi rahlo mudi ...)

ipfw add 100 allow ip from 192.168.0/24 to me in recv rl0
ipfw add 101 allow ip from me to 192.168.0/24 out recv rl0

S tem da nadomest 192.168.0/24 z ustreznim networkom za tvoje interno omrezje ter rl0 z mrezno kartico ki je na internem omrezju, ne pa na ADSLju.

Iz WinXP boxa lahko dostopas s SSHjem, za to moras vklopit SSH daemon s tole vrstico v /etc/rc.conf:

sshd_enable="YES"

Rabis se SSH client za WinXP. Na voljo jih imas vec, jaz pa uporabljam putty: http://www.chiark.greenend.org.uk/~sgta...
Pazi da pri povezavi izberes SSH, ne pa telnet. Po defaultu se ne mores logirat kot root, zato ti priporocam da si naredis userja in uporabis "su" ukaz da se das v root userja.

lp,
trs

@slovencl

Poskusi nadomestit public interface rl1 z tun0. rl1 sluzi samo za posiljanje PPP over Ethernet paketov, tun0 pa je pravi interface skozi katerega potujejo IP paketki. Torej tvoj public interface je tun0.

Rule bom pogledal zvecer ko bom imel vec cajta ...

lp,
trs

Zdej sem spremenil na "tun0" in boljše deluje, ampak še vedno ne kot sem si zamislil - če onemogočim pinganje navzven (zbrišem allow icmp from any to any out via $pif) in hočem pingat s freebsd kompa ven, mi napiše "permision denied" in mi v /var/log/security tudi napiše da ni dovolil pinganja (če pinganje dovolim, potem s freebsd kompa lahko pingam ven), če pa grem na en komp v domačem omrežju pa lahko pingam navzven, zakaj to? A ne bi moral s tem omejiti pingnje s celotnega domačega omrežja?

A je možno narediti, da ima freebsd več načinov delovanja, med katerimi preklaplja sam glede na uro - npr. ponoči omogoči mulo (preusmeri promet z določenega porta), podnevi pa ne?

Nastavil sem pravila za dummynet (koda spodaj) ampak sploh ne deluje. Ne glede na to pod katerim ip-jem se povežem imam poln dostop, tudi če se povežem iz 192.168.0.205, kjer sem promet omejil na nič, internet še vedno deluje.
Kam moram postviti ta pravila, ali je vseeno kje so?

cmd="ipfw -q add"
pif="tun0" #public interface
lif="rl0" #LAN interface

ipfw -q -f flush
ipfw -q pipe flush
$cmd 00001 check-state

$cmd 00003 allow all from 192.168.0.202 to any via $lif keep-state
$cmd 00004 allow all from 192.168.0.203 to any via $lif keep-state
$cmd 00005 allow all from 192.168.0.204 to any via $lif keep-state
$cmd 00006 allow all from 192.168.0.205 to any via $lif keep-state
$cmd 00010 allow all from any to any via lo0

#-------------------------------------------------------------------------
# DUMMYNET
#-------------------------------------------------------------------------

$cmd 00021 pipe 1 ip from 192.168.0.202 to any out
$cmd 00022 pipe 2 ip from any to 192.168.0.202 in
ipfw pipe 1 config mask src-ip 0x000000ff bw 20Kbit/s queue 10Kbytes
ipfw pipe 2 config mask dst-ip 0x000000ff bw 20Kbit/s queue 10Kbytes

$cmd 00025 pipe 3 ip from 192.168.0.203 to any out
$cmd 00026 pipe 4 ip from any to 192.168.0.203 in
ipfw pipe 3 config mask src-ip 0x000000ff bw 200Kbit/s queue 10Kbytes
ipfw pipe 4 config mask dst-ip 0x000000ff bw 40Kbit/s queue 10Kbytes

$cmd 00029 pipe 5 ip from 192.168.0.204 to any out
$cmd 00030 pipe 6 ip from any to 192.168.0.204 in
ipfw pipe 5 config mask src-ip 0x000000ff bw 1500Kbit/s queue 10Kbytes
ipfw pipe 6 config mask dst-ip 0x000000ff bw 300Kbit/s queue 10Kbytes

$cmd 00033 pipe 7 ip from 192.168.0.205 to any out
$cmd 00034 pipe 8 ip from any to 192.168.0.205 in
ipfw pipe 7 config mask src-ip 0x000000ff bw 0Kbit/s queue 10Kbytes
ipfw pipe 8 config mask dst-ip 0x000000ff bw 0Kbit/s queue 10Kbytes

A je možno narediti, da ima freebsd več načinov delovanja, med katerimi preklaplja sam glede na uro - npr. ponoči omogoči mulo (preusmeri promet z določenega porta), podnevi pa ne?

Mozno je s skriptami urediti tudi ta nacin, kar se pa tice tvojega dummyneta je pa tako:

${fwcmd} pipe 2 config bw 32Kbit/s queue 6Kbytes
${fwcmd} pipe 3 config bw 64Kbit/s queue 12Kbytes
${fwcmd} pipe 4 config bw 128Kbit/s queue 24Kbytes
${fwcmd} pipe 5 config bw 256Kbit/s queue 32Kbytes

${fwcmd} add 5000 pipe 3 from 192.168.0.2 to ${onet}:${omask}
${fwcmd} add 5001 pipe 2 from ${onet}:${omask} to 192.168.0.2

Na ta nacin je meni delovalo, vendar na ta nacin ki ga uporabljam zdaj mi ne dela. Vsaj ta rul ni prov spisan za moj net.

Nerdor je napisal:
Opišite malo, kakšne so vaše izkušnje z BSD. Moje so na kratko: "Smotan, a stabilen"

No jaz uporabljam FreeBSD že precej časa, mislim, da okoli 5 let sedaj. Dolgo časa sem ga uporabljal kot internetni strežnik (na začetku na P1 100Mhz), sedaj zadnje čase pa tudi kot desktop OS.

Sicer je res kar so kolegi rekli, da pač ne podpira novega hardwarea, vendar pa se včasih zgodi, da kakšne stvari podprejo (SATA, WLAN,...). Sem hotel na sluzbeni računalnik instalirat Linux, in vzamem Redhat mislim, da 3ko in sem hotel instalirat. Sistem je imel neko čudno plato (Soltek) in SATA disk. Vse se lepo štarta, setup mi pokaže disk, ga izberem nastravim mount pointe in vse to sranje in potem ko mu rečem, da naj vse skupaj zapiše setup crkne. Sem sprobal nekajkrat a ne dela. Potem sem pogledal malo po netu in sem ugotovil, da linux zahteva neki feature, ki ga moj motherboard nima v BIOsu. Seveda zelo jezen, vzamem FreeBSD vrzem not, da pač vidim kaj bo BSD naredil in instalacija gre mimo. Bil sem zelo šokiran seveda, saj kot smo zgoraj rekli, BSD ne podpira novega hardwarea. Zgleda da se kar trudijo, da bi podprli vsaj nujen hardware, ki ga user potrebuje, tako da ni panike.

No meni FBSD ni smotan, ker sem se že navadil na njega, vendar pa kaki linux (ali pa tudi windows) freak ne bi bil z njem preveč zadovoljen, saj je priližno grd, manjkajo mu razni tooli, da nastavitve in podobne stvari, čeprav če veš kako, se da marsikaj naredit. Mogoče ena od dobrih stvari so ports in packages. Ports je način kako zbildaš ražne aplikacije, s popravki za BSD, packages pa da te iste aplikacije kar instaliras in so že zbildane.

No to je z moje strani, o FreeBSDju.

Andy

Zdej sem se mal igral z ipfw show, in sem ugotovil:
1 če dam dummynet pravila pred vse, potem dummynet sicer dela, vendar pa vseh ostalih pravil sploh ne šmirgla, se pravi firewall sploh ne deluje.
2. če dam dummynet pravila med pravila za lokalno omrežje in zunanje omrežje, potem lokalno omrežje filtrira, dumynet dela, za ven pa nič ne filtrira, se pravi firewall ne dela.
3. če dam dummynet pravila na koncu, pa fgirewall dela, vendar pa dummynet prvil ne šmirgla.

Zdej mi res ni jasn kako bi to rešil. Moral bi obstajati eno pravilo, ki pregledal dummynet in firewall pravila hkrati, ne pa da izbere prvega ostalo pa ne šmirgla.

A res nihče ne ve kako se to reši?

Našel rešitev!!

Problem je v tem, da ko je šel čez dummynet pravilo, potem ni nadaljeval čez ostala firewall pravila. Rešitev je net.inet.ip.fw.one_pass=0, kar je potrebno vpisati v /etc/sysctl.conf - potem pa gre po dummynet rulsih pregledat še firewall rulse.

Slovencl mi lahko prosim malo bol podrobno razlozis to kar si vpisal v rc.conf, ker nekako mam tak problem, ce mi dummynet dela, mam definirano pipo z 64 kbps, deluje mi pa s 4kbps .


LP

Slovencl mi lahko se pastas sysctl.conf ter kako si napisal pravila za dommy net.

LP

Slucajno gdo ve kak bi moral bit vrstni red pri ipfju za pravilno delovanje.
setup lopback
stop spoofing
deny rfc nest
natd
stop rfc nests
stop dhcp
pravila za lan

Kje pa pridejo pravila za router?

Maximus povej se kero verzio bsdja si hotu instalat

Hm, nobenega ti ne zazna?

Jaz sem imel enaki problem čisto na začetku, Windowso so delali ok, pa druge distribucije tudi samo FreeBSD ni zaznal diskov, potem sem lepo zamenjal vrstni red ide kablov (master, slave) in je FreeBSD zaznal diske

Ja glej, jaz tudi tak ko sem imel prvotno (prav) nastavljene mi je Windows zaznal pa Linux, FreeBSD pa mi ni, pa sem samo zamenjal (dal obratno) pol pa je -> zgodlo se mi je čisto enako kot ebi.

Zanimivo braje [ link] o (na kratko) primerjanju načina dela procesov in podpori file sistemom v jedrih Solarisa, Linuxa in FreeBSDja.

Kami, prav si mel. Kable sm mogu obrnit in mi zdej normalno zazna diske.
Hvala za info.

LP!

Evo moja prvila, najbrž niso idealna, tako da če ima kdo kakšen komentar naj pove:

cmd="ipfw -q add"
pif="tun0" #public interface
lif="rl0" #LAN interface

klemen_ip="192.168.0.11"
simon_ip="192.168.0.12"
miha_ip="192.168.0.13"
jan_ip="192.168.0.14"
do_ip="192.168.0.15"
simon_dl_ip="192.168.0.18"

ipfw -q -f flush
ipfw -q pipe flush

$cmd 00010 allow all from any to any via lo0

#-----------------------------------------------------------------
# DUMMYNET
#-----------------------------------------------------------------

ipfw pipe 1 config bw 2000Kbit/s #not (2048 na razpolago)
#ipfw pipe 2 config bw 380Kbit/s #ven 384

ipfw queue 1 config pipe 1 weight 25 #klemen not
ipfw queue 2 config pipe 1 weight 25 #simon not
ipfw queue 3 config pipe 1 weight 25 #miha not
ipfw queue 4 config pipe 1 weight 25 #jan not
ipfw queue 8 config pipe 1 weight 25 #simon dlancnik
ipfw queue 10 config pipe 1 weight 25 #do not

$cmd 00011 queue 1 ip from any to $klemen_ip in via $pif
$cmd 00012 queue 2 ip from any to $simon_ip in via $pif
$cmd 00013 queue 3 ip from any to $miha_ip in via $pif
$cmd 00014 queue 4 ip from any to $jan_ip in via $pif
$cmd 00018 queue 8 ip from any to $simon_dl_ip in via $pif
$cmd 00020 queue 10 ip from any to $do_ip in via $pif

#-----------------------------------------------------------------
# KDO IMA INTERNET
#-----------------------------------------------------------------

#SSH
$cmd 00040 allow all from $klemen_ip to me 22 via $lif setup keep-state

$cmd 00042 allow all from $klemen_ip to any via $lif
$cmd 00043 allow all from $simon_ip to any via $lif
$cmd 00044 allow all from $miha_ip to any via $lif
$cmd 00045 allow all from $jan_ip to any via $lif
$cmd 00049 allow all from $simon_dl_ip to any via $lif
$cmd 00051 allow all from $do_ip to any via $lif

#---------------------------------------------------------------------------

#stop spoofing
$cmd 00071 deny log all from 192.168.0.0/24:255.255.255.0 to any in via $lif

#-----------------------------------------------------------------------------
# PROMET VEN
#-----------------------------------------------------------------------------

$cmd 00100 check-state

#--------------
# TEST

# messenger
$cmd 00101 allow tcp from any to any 5060 out via $pif setup keep-state
$cmd 00102 allow tcp from any to any 1503 out via $pif setup keep-state
$cmd 00103 allow tcp from any to any 3389 out via $pif setup keep-state
$cmd 00104 allow tcp from any to any 6891-6900 out via $pif setup keep-state
$cmd 00105 allow tcp from any to any 1863 out via $pif setup keep-state
$cmd 00106 allow tcp from any to any 1893 out via $pif setup keep-state

#--------------


# dovoli ven dostop do DNS serverjev
$cmd 00150 allow tcp from any to 193.189.160.11 53 out via $pif setup keep-state
$cmd 00151 allow udp from any to 193.189.160.11 53 out via $pif keep-state
$cmd 00152 allow tcp from any to 193.189.160.12 53 out via $pif setup keep-state
$cmd 00153 allow udp from any to 193.189.160.12 53 out via $pif keep-state

# dovoli ven internet (www) - port 80
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state

# dovoli ven IRC - port 6667
$cmd 00201 allow tcp from any to any 6667 out via $pif setup keep-state

# dovoli ven https cez TLS SSL - port 443
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state

# dovoli ven posiljanje in sprejemanje e-mejla - port 25=e-mail, port 110=pop3
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state

# dovoli ven pinganje
$cmd 00250 allow icmp from any to any out via $pif keep-state

# dovoli ven Time - port 37
#$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state

# dovoli ven nntp news - port 119
#$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state

# dovoli ven varen ftp, telnet in SCP - port 22
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state

# dovoli ven whois - port 43
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state

# zavrne ven vse ostalo in zapise kaj je kdo hotel
$cmd 00299 deny log all from any to any out via $pif

#--------------------------------------------------------------------------
# PROMET NOT
#--------------------------------------------------------------------------


# zvrne not ves promet ki ni v mejah obicajnih ip naslovov
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif

# zavrne not ping
$cmd 00310 deny log icmp from any to any in via $pif

# zavrne not ident - port 113
$cmd 00315 deny log tcp from any to any 113 in via $pif

# zvrne not Netbios Services
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif

# zavrne not vse zakasnele pakete ??
$cmd 00300 deny all from any to any frag in via $pif

# zavrne not ACK... ??
$cmd 00332 deny all from any to any established in via $pif

# zavrne not vse ostalo in zapise kaj je kdo hotel
$cmd 00499 deny log all from any to any in via $pif

#----------------------------------------------------------------------------
# DEFAULT
#----------------------------------------------------------------------------

# zavrne vse ostalo
$cmd 00999 deny all from any to any

V /etc/sysctl.conf obvezno dodaj: net.inet.ip.fw.one_pass=0 !

jest imam ppp_nat, ne natd.

FreeBsdjevci so izbrali nov logo

Ok Zadeva je takale. Mrežna kartica v nForce 4 chipsetu ga nekaj serje, tako da sem vse skupaj prestavil na Marvella. Dobivam napake nve0 has timed out. To dela nekaj časa nato pa je konec, vsaj danes zjutraj ko je bila mašina pod obremenitvijo jo je totalno sesulo. Upam, da bo na Marvellu delalo OK, drugače sem v qrcu.
ifconfig nve0 down
ifconfig nve0 up ne pomaga, je treba resetirat gajbo.

Pa na nobenem serverju ga še ni...

Pa na nobenem serverju ga še ni...

Telemach ima mirror, 6.0-release je že gor:

ftp://ftp.telemach.net/pub/FreeBSD/releases/i386/

moramo sprobat, ni druge, da se prepričamo. Sam kokr je men znano so Disk1 in 2 binarni paketi, binary zadeva. Source pa priteče z neta dol in se skompajla.

Sicer je pa izšel Ging 0.1.0 live cd distro, ki bazira na Debian GNU/kFreeBSD. lol!