OpenBSD-s otthoni tűzfal

OpenBSD-all

Hi!

Végre sikerült regisztrálnom a HUP-ra!(csak fél évig tartott. :( trey ez a te sarad! :) )
A problémám a következő:
Van 4 gépem:
1. Az én gépem:AMD3200+(barton),1024Mb RAM,stb...
2. Öcsém gépe: Cel700,512Mb SDRAM,stb...
3. DC-letöltő gép:K62+ 550Mhz,256MB SDRAM
4. Router:K62-400,160MB EDORAM

Mindegyik gép különböző hálókártyára kapcsolódik.(nincs switch,hub)
A routeren(4-es gép) OpenBSD fut.
Különböző internetes(magyar nyelvű) leirások alapján állítottam be,az OpenBSD-t:
http://inetobsd.xsak.hu/inetobsd-v0.1.20.pdf
http://www.openbsd.org/faq/pf/hu/example1.html
STB...
ADSL 1024/128 internet kapcsolatom van,és hogy legalább részben megtérüljön
szükségem van a dc-re,vagy torrent-re.
Kivállóan működik is,csupán a sávszélesség korlátozással vannak problémáim.
A jelenlegi altq (priq) sem nagyon működik:
a legnagyobb proritású:queue tcp_ack_out priority 7
utánna a második az xmms(netrádió) portok,és mindegy hogy linuxon v XP-n
próbálom halgatni ha megy mellette vmilyen letöltés (dc,torrent,ftp,http)
akkor a netrádió akad,pedig csak a pf.conf-ban megadott portokon hallgatom.
A kérdésem:
Hogyan lehet(ne) szabályozni a sávszélességet,úgy
hogy a gépek között(tehát 3 hálókártyára) működjön a sávszélesség korlátozás és
a prioritás.
És miért nem működik a jelenlegi konfig.(mi a hiba)

Sajnos nem vagyok szakmabeli,csupán hobbim a számítástechnika.

/etc/pf.conf:
# Firewall rules

int = "{ ne4, fxp0, fxp1 }"
intnet = "{ 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24 }"
k6 = "192.168.2.2"
ray = "192.168.3.11"
my = "192.168.4.10"
ext = "tun0"
outTCP = "{ domain, http, https, ftp }"
outUDP = "{ ntp, domain }"
inTCP = "{ 9012 }" # dc++,torrent
inUDP = "{ 9012 }" # dc++
xmms = "{ 1352, 1755, 7070, 6669, 7000, 8480 }"
block_out_TCP = "{ 7, 9, 12, 19, 22, 23, 111, 135, 138, 139, 369, 445, 512, 513, 515, 593, 631\
901, 1080, 1433, 1434, 3127, 3128, 4899, 5000, 6658\
4444, 6129, 6777, 9898, 10080, 12345, 17300, 20168, 27374 }"
block_out_UDP = "{ 7, 9, 12, 19, 69, 111, 161, 137, 138, 369, 515, 631 }"

set block-policy drop
set loginterface $ext
set optimization aggressive

# Scrub
scrub in all

# ALTQ
# Queue Ext
altq on $ext priq bandwidth 100Kb queue { std_out, xmms, pri_out, tcp_ack_out }
queue tcp_ack_out priority 7
queue xmms priority 5
queue pri_out priority 3
queue std_out priority 1 priq(default)

# NAT rules
nat on $ext from $intnet to any -> ($ext)
rdr on $ext proto { tcp udp } from any to any port 9012 -> 192.168.4.10 port 9012

# ***block rules***
block log all

# Block out port
block out quick log on $ext proto tcp from any to any port $block_out_TCP
block out quick log on $ext proto udp from any to any port $block_out_UDP

# ***Pass rules***

#Loopback enable
pass quick on lo0 all

#Enable Lan1
pass in on ne4 from $intnet to any keep state
pass out on ne4 from any to $intnet keep state

#Enable Lan2
pass in on fxp0 from $intnet to any keep state
pass out on fxp0 from any to $intnet keep state

#Enable Lan3
pass in on fxp1 from $intnet to any keep state
pass out on fxp1 from any to $intnet keep state

# ALL out
pass out quick log on $ext inet proto tcp from any to any port $xmms modulate state flags S/SA queue xmms
pass out quick log on $ext inet proto tcp from any to any port $outTCP modulate state flags S/SA queue pri_out
pass out quick log on $ext inet proto udp from any to any port $outUDP keep state queue pri_out

pass out log on $ext proto tcp from any to any modulate state flags S/SA queue (std_out, tcp_ack_out)
pass out log on $ext proto { udp, icmp } all keep state queue std_out

# In services enable
pass in quick log on $ext inet proto tcp from any to any port $inTCP modulate state flags S/SA queue std_out
pass in quick log on $ext inet proto udp from any to any port $inUDP keep state queue std_out

#Ez csak azért van itt,mert eredetileg a kimenő forgalmat is szerettem volna szűrni,de a dc miatt nem tudom.
#Out services enable
#pass out quick on $ext inet proto tcp from any to any port $outTCP keep state
#pass out quick on $ext inet proto udp from any to any port $outUDP keep state

  • 7810 megtekintés

( bastya_elvtars | 2006. 12. 06., sze – 20:17 )

CBQ-val nem lenne jobb?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

A cbq-val(és a priq-val is) az a problémám,hogy meg kell adni h.
melyik kártya és a max sebességet is.
Nekem viszont 3 gép 3 külön hálókártyára kapcsolódik,ráadásul
ezeken megy a LAN is (bridge) és az 100Mb-es a net meg 1Mb-es.
Nos egy példa hogy érthető legyen hogy mit kérdezek:
Öcsém állandóan torrentezik a gépén(2-es)
Én folyamatossan DC-zek(3-as)
A "fő" gépemen pedig netezek,netrádiót hallgatok,tv-t nézek,stb..
Ezek a gépek mind külön hálókártyára kapcsolódnak crosslink kábellel.
És mivel az összes altq beállításban ott van hogy melyik kártyára vonatkozik
pl:altq on $ext priq bandwidth 100Kb queue { std_out, xmms, pri_out, tcp_ack_out }
ebben az $ext a lényeg,ami a tun0.
Tehát ha 3 KÜLÖNBÖZŐ hálókártyára akarom beállítani?
pl lehet olyat hogy : altq on { tun0, ne4, fxp0, fxp1 } priq bandwidth 100Kb
Vagy ha külön beállítom mindegyik hálókártyára a korlátozást pl:
"
altq on $ext priq bandwidth 100Kb
altq on ne4 priq bandwidth 100Kb priority 7
altq on fxp0 priq bandwidth 100Kb priority 5
altq on fxp1 priq bandwidth 100Kb priority 3
"De lehete cbq is a példában,mindegy.
akkor működik?

Ha priority queue-t használsz az azt jelenti, hogy az egész sávszélességet a magas prioritású csomagnak fogja adni semmi mást nem enged. Ha folyamatosan van van magas prioritású csomagod (már pedig az ACK-ok viszonylag folyamatosan mennek tőled kifelé felfelé a Net felé) akkor a felfelé irányban semmi más nem tud menni. Sem feltöltés semmi más. Ebből adódhat a szakadozás és emiatt nem mindegy, hogy pri vagy cbq.

A CBQ azért jobb mert mindenkit a prioritásának és az ahhoz rendelt sávszélességnek megfelelően enged.

Másrészt nem értem minek teszel queue-t a belső kártyáidra. Képzeld magad a gépedbe: van egy interface ahol ki lehet menni 128kbps-el és be lehet jönni 1024kbps-el. Van másik 3 interface ahol ki lehet menni 100000kbps-el és be lehet jönni 100000kbps-el. Hol lesz a szűk keresztmetszet? Nem a belső kártyákon hanem a kijáratnál. Na arra kell queue-t rakni.
Másrészt csak a gépről kimenő forgalmat tudod kontrollálni/priorizálni, a bejövőt nem. Ami már ott van a kapuban azzal nem tudsz mit csinálni az már ott van.
Összegezve: a Net felé néző kártyád kimenő forgalmát priorizáld cbq-val és a kimenő szabályokhoz rakj queueing-ot. A letöltés oldal ami 1024-en jön be semmi gondja nem lesz hogy a 100-as kártyán menjen tovább.

( krissz | 2006. 12. 06., sze – 21:24 )

Csak azért választottam az OpenBSD-t,mivel mindenhol azt olvastam
hogy ez a legbiztonságossab os.
10 év alatt egyetlen egy hibát sem találtak benne.
És szerintem az OpenBSD pf-jét sokkal égyszerűbb beállítani
mint a linuxos iptablest.
Nem szidni akarom a linuxot,hiszen én is azt használok (gentoo)
de a pf szerintem sokkal egyszerűbb,és többet tud mint az iptables.

Nem az iptables-ben van, a mágikus szó a tc. Linux alatt egy iptables+tc combo-val gyönyörűen lehet szabályozni (korlátozni, priorizálni stb) a forgalmat, véleményem szerint sokkal jobban mint pf-el. Az már más kérdés, hogy kissé bonyolultabb a dolog, legalábbis elsőre.

Nem a pf-ben van, a mágikus szó az altq . *BSD alatt egy pf+altq combo-val gyönyörűen lehet szabályozni (korlátozni, priorizálni stb) a forgalmat, véleményem szerint sokkal jobban mint netfilter-rel. Az már más kérdés, hogy kissé bonyolultabb a dolog, legalábbis elsőre.

Bocs :-)

( krissz | 2006. 12. 06., sze – 22:40 )

Valaki nézze már meg a pf.conf-omat hogy mi benne a hiba?

( krissz | 2006. 12. 06., sze – 22:35 )

Egyébként amint (eddig) más fórumokon(ph!,hwsw,stb) néztem,ez a probléma
nem csak engem érint,hanem sokan szeretnének
otthon OpenBSD router+firewall-t.
Aki ért hozzá,és van egy kis ideje,és ír egy ilyen
magyar nyelvű howto-t azt nagyon megköszönnénk.'seggnyalós smyle"
Amit én kiszedtem a hsz-ekből:
1.modemet már senki sem használ.(tehát erről inkább ne)
2.Aki ilyen routerben gondolkodik,annak min ADSL-kapcsolatja van.
3.Mivel nincs rendes magyar nyelvű manual/howto az OpenBSD-ről
sokan választanak halyette linuxot,ami nem rosszabb,sőt...
csak nem biztos h tűzfalnak is ugyanolyan jó.
'+a szabad software-lényege a választás szabadsága,és az sem igazán
alternetíva hogy:nem kell a windows? -> használj linuxot!
Amikor egy egész csomó más lehetőség van.'

A lényeg a Telepítés + ADSL-CABLE + PF(részletes) leírás lenne.'
Részletes pf leírás mivel aki OpenBSD-tűzfalat akar csinálni
az nem azért akarja,mert ez a "legszinpatikussabb",hanem mert
az interneten mindenhol(itthon v külföld mindegy) azt olvasni hogy
a legbiztonságossabb megoldás az OpenBSD.
természetessen én és más laikusok nem tudjuk ellenőrizni,de ennyi is
elég(hogy senki nem állítja az ellenkezőjét)

Ha valaki megírna egy ilyen howto-t,v lefordítana egy már meglévő
külföldi-t annak nagyon megköszönnénk.'cidázós smyle'

Hi!

Sajnos nekem ez nem elég,mivel az angol tudásom kb 0,és
nem szakmám az informatika(kőműves vagyok),csupán hobbi.
Gondoltam megkérdezem a HUP-on,mivel itt sok hozzáértő ember van,és
hátha tudnak valami megoldást a problémámra.
A google-t természetessen tudom használni,és használom is rendszeressen.
(az általad linkelt oldalt,már nagyon sokszor áttolvastam)

Nyilvánvalóan Te úgy születtél,hogy mindent tudtál a tűzfalakról
BSD-kről,és úgy általában mindenről.
De lehet hogy igazad van,inkább nem is foglalkozok vele.
Marad a Linux-os tűzfal,az OpenBSD-t meg használják csak a "zsenik".

Szerintem igazat írsz, csak rossz oldalról közelíted meg a dolgot.
A jó szemszög, hogy 'Ő'-k (zsenik) sem fognak falat húzni, meg betonozni ugye (hanem majd írnak ide, hogy valaki fordítsa le mi a 'fángli',és csak azért, mert még nem jutottak odáig, hogy szükségük legyen rá :)

SORRY - de van benn igazság (mint kezdő én is szívesebben olvasok HUN-t mint angol doksit, pedig tudok picit a nyelven...

( sany | 2006. 12. 08., p – 18:57 )

"mivel mindenhol azt olvastam
hogy ez a legbiztonságossab os.
10 év alatt egyetlen egy hibát sem találtak benne."

Ha kikapcsolt állapotban van a gép, minden os az! :D

Megéri neked (vellany költség, zaj, stb) ez?
Miért nem veszel egy routert? Persze nem tesco-sat! :D
----------------------------------------------------------------
"Értem én hogy villanymotor, de mi hajtja!?

Nekem megéri,mivel tele vagyok ilyen régebbi cuccokkal.
Kb 20 gépet össze tudnák belőlük rakni,
(6db 486,5x86,5db P1,1 K5,3 K6,5 K6-2/+,és mindegyikhez van alaplap,mem,stb.. csak házam nincs ennyi)
nem használom semmire ezeket,de nincs szívem kidobni öket.
A jelenlegi router-gépben nincs egyetlen ventillátor sem,
a procin csak egy borda van
(az is mindig hideg mivel egy K6-2 450Mhz proci van benne
és az alaplap ezt nem ismeri(66Mhz FSB max) de 2-es szorzón érdekes módon 400Mhz-en megy a proci.
Nem mintha szükség lenne routernek ilyen teljesítményű gépre,mivel ha mindegyik gépen
elindítok valami letöltést (dc,torrent,stb) és a '#pfctl -s state' szerint több ezer kapcsolat van
(főleg a dc miatt) akkor a '#top' kb 85-90% idle processzor használatot jelez.
Tehát egy 486-os gép is bőven elég lenne,viszont a 486,P1 60-90Mhz-s procikon a hűtőborda
mindig forró volt,szerintem ezek többet fogyasztanak. )
és a tápban levő venti kábelét is elvágtam.
És kb igy megy már 2,5 éve éjjel nappal.
Van benne 5db hálókártya,1 vga kártya,és amíg a FREESCO-t használtam
vinyó sem volt benne(floppyról ment),most az OpenBSD miatt van benne
vinyó.
Hangja nincs,és szerintem a fogyasztása sem lehet valami egetverő.

Táblák:
Összefoglaló nevet adhatsz bizonyos IP cím csoportoknak pl: table const { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } a privát IP cimek csoportja. Ezután ezzel a névvel hivatkozhatsz filter és nat szabályokban ezekre az IP címekre. Pl ha jófiú akarsz lenni és nem akarod, hogy tőled privát IP címekre menjen kérés a net felé akkor csinálsz egy ilyen szabályt a Net kártyájára:
block out quick on $ExtIF from any to - nem engedünk ki a külső interface-en olyan csomagot ami bárhonnan jön és privát IP felé megy. (A natolás mindig a szűrés előtt történik!!)
const kulcsszó: állandó a tábla, később parancssorból a pfctl-lel sem tudsz további cimet hozzáadni futás közben a táblához
persist kulcsszó: akkor is bejegyzi a táblát ha a pf.conf ban nem adsz meg cimeket a táblához. Egyébként kioptimalizálná. Később futás közben tudsz ehhez a táblához is felvenni IP cimet.

RED:
Algoritmus ami arról gondoskodik, hogy a globális szinkronizáció elkerülhető legyen. Képzeld el a következőt: letöltesz de az ACK-ok nem tudnak visszamenni mert a kimenő queue -d el van tömve. Erre a másik oldal visszavesz amire te megint elkezdesz tölteni ezerrel, majd megint eltömődik a queue. Ahelyett hogy egyenletesen használnád a vonalat hullámzó lesz a forgalom.
A RED azt csinálja, hogy random módon kihajigál a kimenő queue-ből csomagokat még akkor is ha a queue nem telt meg, viszont minél teltebb annál többet. Így mám más forgalmakhoz tartozó csomagokat dobál ki véltlenszerűen így próbálva meg kiküszöbölni a fenti hullámzást.
RIO: minden queue-ra külön futtatja a RED algoritmust.
Tudom kicsit slendrián a fogalmazás de nagyjából ez a lényeg.

( krissz | 2006. 12. 09., szo – 16:06 )

Még egy kérdésem lenne:
Ha a NAT-olás mindig a szűrés elött van,akkor hogyan
tudom szűrni(a tun0-on) hogy éppen melyik belső hálóból jön a csomag?
És fordítva.
Mert ugye itt nekem 3 külön belső hálóm van

Össze vannak,mivel a belső hálózat is ezen a gépen megy keresztül.
/etc/bridgename.bridge0

add ne4
add fxp0
add fxp1
up

A ne3-on van az ADSL modem.(tun0)
Itt a gondom az hogy a NAT miatt a tun0-án nem
tudom hogyan szűrjem,hogy egy csomag melyik belső hálózatról jött vagy
melyikre megy,mivel a NAT pont a forrás-cél IP-t változtatja meg.(ha jól tudom)
Pedig ha a 3 belső háló között akarok valamiféle prioritás/sávszélesség
korlátozást szabályozni a tun0-on,akkor ez kellene.

Ezt most nem értem. Ha bridge-ként mennek a belső kártyáid akkor a user-eknek egy IP alhálón kellene, hogy legyenek. Viszont a szabályodban azt látom, hogy külön alhálón vannak. Miért fontos ez neked?

Ha mondjuk minden kártyád egy-egy alhálón lenne, (minden kártya lenne pl. 192.168.x.1, és az adott alhálónak ő lenne a default gateway-e)akkor azokon tudnál szűrni az alhálóra, hogy abból az adott alhálóból mi jöhet ki.

Másrészt miért akarsz a belső alhálók között priorizálni? Olyan sokat forgalmaztok egymás között folyamatosan, hogy az zavarja az Internethasználatot?

Mivel a bridge egy Layer2-es eszköz az IP pedig egy Layer3-as fogalom. Ha bridged van az olyan mintha egy switch-ed lenne. Átlagos switch-be bedugott eszközök is egy IP alhálón vannak. Ezt most vetitsd bele a tüzfaladba és megkapod ami neked most van. Én nem keverném a szezont a fazonnal. Vagy bridge vagy router. Ha az előbbi akkor Layer2-n üzemelnek a kártyáid és nincs IP cimük, ha router akkor mindegyiknek van IP cime de mindegyik másik alhálóban.

Lehet hogy keverem a szezont a fazonnal,elnézést.
Nekem egész eddig így ment a router(?).
Tehát:
ne3 - erre kapcsolódik az ADSL modem.
ne4-fxp0-fxp1 bridge,azért hogy működjön a belső
hálózat.
És mindegyik kártyának külön IP-cím:
ne3 - DHCP(mindíg 10.0.0.1-et kap,a modem pedig 10.0.0.138-at)
ne4 - 192.168.2.1
fxp0 - 192.168.3.1
fxp1 - 192.168.4.1

(FREESCO-alatt egy picit máshogyan nézett ez ki:
mivel 5db hálókártya van a gépben,és az 5.-dik
ISA-s nem PnP-s,és nem is látja az OpenBSD :(,
és gőzöm sincs hogy hogyan lehetne az ilyesmit beállítani.
FREESCO-ban az ISA-s (Realtek) hálókártyára volt kötve az ADSL-modem)

És működik is egész jól,sokkal jobb mint a FREESCO,mivel
az OpenBSD-ben azért van valamiféle szávszélesség-szabályozás a FREESCO-ban
pedig ilyet nem állítottam be.(persze lehet hogy ott is be lehetne állítani
de erről semmilyen infót nem találtam.)
A FREESCO-alatt ha ment akármilyen letöltés(dc,torrent)
akkor el lehetett felejteni a netrádiókat,nettv-ket.
OpenBSD-alatt viszont a fenti beállítással jól működik:
dc,torrent melett is lehet netrádiózni v nettv-t nézni,akadás
nélkül.(illetve akad a netrádió,de ez független attól hogy megy-e valamilyen letöltés)
Viszont azt már nem tudom beállítani,hogy pl a torrent(amit 99%-ban öcsém
használ) kissebb prioritású legyen mint pl a dc (amit én használok)
természetessen mindegyik különböző porton megy.
És ezt úgy szeretném,hogyha esetleg én torrentezek a gépemen,akkor
az enyém legyen az elsőbbség.

"Ha kifelé megy, akkor a gép belső IP-je alapján. (192.168.x.x -> akármi)"

Hát én már próbáltam így de nem igazán működött. :(
Szerintem azért mert egy kimenő csomagnál:
kliens gép -> tűzfalgép /elösször NAT-ol/ utánna már a forrás IP = a router gép IP címével,
és csak ezután szűr a szabályok alapján.
Lehet hogy mégis a belső(ne4,fxp0,fxp1) hálókártyákon kellene szűrni?

"Ha befelé megy, akkor úgyis te rdr-eled, tehát akkor (szerintem) egyből adhatod is a queue-hoz."
Igazad van.
Viszont sajnos pont a kifelé menő forgalommal van gond.

Hát akkor az adott LAN-interface-en "szűrd meg", attól, hogy nincs IP-je, azon még klehet szűrni. Pl.:

pass in on $lan1 proto tcp from 192.168.10.22 to any ort {80,443} flags S/SA modulate state queue http

(és gondolkozz egy switchen, 2000 forint egy olyan, ami neked kell).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Lenne még egy láma kérdésem:
A sebesség az altq-ban hogyan működik?
Tehát ha egy belső hálókártyára szabályozok,aminek 100Mb-es sebessége van
akkor hogyan lehetne beállítani pl ha kifelé az ssh-porton mondjuk csak 5Kb-et
akarok engedni?
És a belső hálózatot nem szeretném korlátozni.
És mit jelent itt a pf-ben a Kb,Mb:K v. M/bit v. byte?
Ha bit v. byte akkor milyen váltószámot használnak?(1000 v. 1024)

Azt nem tudom, melyik hálókártyát hova kéne besorolni, hogy könnyebben tudj ALTQ-zni, és az egész olyan legyen, mintha te egy 2-kártyás router mögé kötöttél volna még egy switchet/hubot, de ki fogom agyalni, ha több időm lesz (ez a lentebbi kérdésedre is válasz egyúttal :-D).
Ha lehet, kellene egy ifconfig -a kimenet. Köszi!
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

krissz:~$ ssh -l root 192.168.4.1
root@192.168.4.1's password:
Last login: Thu Dec 7 14:07:58 2006 from amd
OpenBSD 3.9 (GENERIC) #617: Thu Mar 2 02:26:48 MST 2006

Welcome to OpenBSD: The proactively secure Unix-like operating system.

Please use the sendbug(1) utility to report bugs in the system.
Before reporting a bug, please try to reproduce it with the latest
version of the code. With bug reports, please try to ensure that
enough information to reproduce the problem is enclosed, and if a
known fix for it exists, include that as well.

Terminal type? [xterm]
# ifconfig -a
lo0: flags=8049 mtu 33224
groups: lo
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x8
ne3: flags=8863 mtu 1500
lladdr 00:50:ba:cd:a4:29
media: Ethernet autoselect (10baseT)
inet6 fe80::250:baff:fecd:a429%ne3 prefixlen 64 scopeid 0x1
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
ne4: flags=8b63 mtu 1500
lladdr 00:50:bf:6e:89:0c
media: Ethernet autoselect (10base2)
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
inet6 fe80::250:bfff:fe6e:890c%ne4 prefixlen 64 scopeid 0x2
fxp0: flags=8943 mtu 1500
lladdr 00:90:27:0a:8f:42
media: Ethernet autoselect (none)
status: no carrier
inet 192.168.3.1 netmask 0xffffff00 broadcast 192.168.3.255
inet6 fe80::290:27ff:fe0a:8f42%fxp0 prefixlen 64 scopeid 0x3
fxp1: flags=8943 mtu 1500
lladdr 00:02:b3:cc:f1:da
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet 192.168.4.1 netmask 0xffffff00 broadcast 192.168.4.255
inet6 fe80::202:b3ff:fecc:f1da%fxp1 prefixlen 64 scopeid 0x4
pflog0: flags=141 mtu 33224
pfsync0: flags=0<> mtu 1460
enc0: flags=0<> mtu 1536
bridge0: flags=41 mtu 1500
groups: bridge
tun0: flags=8011 mtu 1492
groups: tun egress
inet 82.144.187.207 --> 82.144.179.73 netmask 0xffffffff
#

az altq manual azzal kezdi, ha jól emlékszem, hogy csak kifelé van értelme sebességet korlátozni. ha a kimenő queue sebessége 5 kb (kilobyte = 1024 byte, az altq byte-okkal számol), akkor 5 kb lesz a határ. a te esetedre lefordítva a belső hálók valamelyikén bejövő, külső helyre irányuló SSH forgalmat kell egy 5 Kb sávszéles kimenő oldali queue-ba rakni.
asszem, valami ilyesmi:

pass in on $belso_if proto tcp from any to !{$helyi_cimek} port ssh queue $ssh_queue

így a NAT se bánt, mert mindegy, hogy a forráscímet átírta.

Értem.Köszi!
Tehát mindenképpen a belső kártyán kell szűrni,
mivel a tun0-án nem lehet megállapítani,hogy melyik
belső hálózatról jött-megy egy csomag.
Ha beállítom a korlátozást a kártyák között plédául:
'altq on ne4 priq bandwidth 100Mb priority 7
altq on fxp0 priq bandwidth 100Mb priority 5
altq on fxp1 priq bandwidth 100Mb { std_out, xmms, pri_out, tcp_ack_out }
queue tcp_ack_out priority 7
queue xmms priority 5
queue pri_out priority 3
queue std_out priority 1 priq(default)'
akkor ez működik a kártyák között?
Vagyis a példában szereplő beállítás esetén a ne4-es kártyán
minden csomag nagyobb prioritású mint az fxp0-ás kártyán?
Vagy a prioritás csak az adott altq x -re vonatkozik,és
2 különböző altq közöt már nem érvényes?

Arra figyelj azért oda, hogy ha a szülő queue és a gyerek queue között nagyságrendbeli a különbség akkor nem fog rendesen működni. Egy 100Megás linkből kihasítani egy 5kbps-es queue-t. 6 nagyságrend-beli különbség. Másként: a teljes link 0,0005%-át kellene, hogy kezelje. Én is belefutottam és több fórumon azt olvastam, hogy ilyen jellegű konfig-ot nem érdemes csinálni.

Azért fontos hogy bit v. byte/1000 v. 1024
mivel ha cbq korlátozást akarok akkor meg kell
adni egy "root" sebességet(100Mb?) vagy (12,5Mb?)
egy (belső)fast-ethernet kártyán.
Az "al" sebességek összege pedig nem lehet sem több sem
kevesebb mint a "root" sebesség.
Tehát:
altq on fxp0 cbq bandwitch 100Mb(?) { http_seb, ssh_seb, belső_seb }
queue ssh_seb 5 Kb
queue http_seb 123 Kb # mivel 1024/128 Kbit-es (128/16 Kbyte)ADSL kapcsolatom van
queue belső_seb ??

Ha nem egyezik akkor hibát jelez,illetve nem jelez
csak nem tölti be a pf.conf-ot. :(

és még el is írtam jól. bocsesz. bitekben számol és 1024 a váltószám, a b, Kb, Mb, Gb szuffixumokat eszi meg. gyíkbirka vagyok, de legalább megnéztem egy régebbi konfigot.

pf.confről annyit, hogy ha nem jelez hibát, betölti, pont. a file végére kell egy üres sor, különben szintaxishibát jelez (én vagyok vak? sehol nem láttam leírva ezt).

( krissz | 2006. 12. 09., szo – 23:46 )

Valaki erősítsen meg v cáfoljon:
Amikor nekiáltam ezt az OpenBSD-routert csinálni (kb 1 éve)
akkor ebben a howto-ban 2 külön leírás volt. http://www.openbsd.org/faq/pf/hu/example1.html
Az első rész:otthonra.
A második rész:kis irodába.
Mindegyik külön pf.conf-al részletes magyar nyelvű leírással.
A másodikban pedig volt a sávszél korlátozásról is példa.
(Úgy rémlik hogy volt vmi BOSS,DMZ,stb...)
Azóta azt a részt kitörölték volna?
Off:
Bocs a sok láma kérdésért,de sehol máshol (pl: http://prohardver.hu/f.php?mod=40&id=313151 )
nem igazán értettek a témához. :(
(én voltam gd5424,most már nem,mivel bannoltak)

( krissz | 2006. 12. 10., v – 13:41 )

Lenne még egy apró gondom:
Amikor csatlakozok az internetre(ált bekapcsoláskor) akkor
rendesen benn van az /etc/resolv.conf-ban a DNS-szerverek
IP címe.De egy idő után (pontossan nem tudom hogy mennyi idő,kb 1-2 óra)
megváltozik az /etc/resolv.conf és az ADSL-modemet jelöli ki DNS-szervernek.
Tehát 10.0.0.138 lessz a DNS szerver IP címe.
Természetessen az ADSL-modem nem DNS-szerver.
Ez a kliens gépeket nem érinti,mivel mindegyiknek fix IP cím,és DNS szerver IP
van beállítva,nem DHCP-n vannak.
(Bár szerettem volna beállítani úgy mint a FREESCO-t,hogy a router
legyen egyben a DNS-szerver is,gyorsító tárral,de a bind-el problémáim
voltak.)
Az OpenBSD-s router gépről pedig nem szoktam netezni.

Bár elég jelentéktelen,és nem nagyon zavar csak az okát nem tudom.
De ha pl:pass out quick from $myip to www.pr0n.hu flags S/SA modulate state queue jerkoff
így szeretném megadni valamelyik tűzfal szabályt,akkor kellene a hogy működő
DNS-szerverem legyen.

( krissz | 2006. 12. 15., p – 16:02 )

Mindenkinek köszönöm az eddigi segítséget!
Ennyire jutottam:
(az intnet tábla természetessen relációjelek között van,csak úgy itt nem jelent meg)
#cat /etc/pf.conf

# Firewall rules

int = "{ ne4, fxp0, fxp1 }"
k6 = "192.168.2.20"
ray = "192.168.3.11"
my = "192.168.4.10"
ext = "tun0"
noroute = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 255.255.255.255/32 }"
outTCP = "{ domain, http, https, ftp }"
outUDP = "{ ntp, domain }"
inTCP = "{ 9114 }"
inUDP = "{ 9114 }"
xmms = "{ 1352, 1755, 7070, 6669, 7000, 8480 }"
block_out_TCP = "{ 7, 9, 12, 19, 22, 23, 111, 135, 138, 139, 369, 445, 512, 513, 515, 593, 631\
901, 1080, 1433, 1434, 3127, 3128, 4899, 5000, 6658\
4444, 6129, 6777, 9898, 10080, 12345, 17300, 20168, 27374 }"
block_out_UDP = "{ 7, 9, 12, 19, 69, 111, 161, 137, 138, 369, 515, 631 }"

# tables
table (intnet) { 192.168.4.0/24, 192.168.3.0/24, 192.168.2.0/24 }

set block-policy drop
set loginterface $ext

# Scrub
scrub in all

# ALTQ
# Queue Ext

# lan3
altq on fxp1 cbq bandwidth 100Mb queue { internet, lan }

queue internet bandwidth 1.0Mb { std_out, pri_out, xmms }
queue std_out bandwidth 250Kb priority 1 cbq(red default)
queue pri_out bandwidth 500Kb priority 4 cbq(red borrow)
queue xmms bandwidth 250Kb priority 7 cbq
queue lan bandwidth 99Mb cbq

# NAT rules
nat on $ext from $my to any -> ($ext)
rdr on $ext proto { tcp udp } from any to any port 9114 -> $my port 9114

#block rules
block in quick log on $ext os NMAP
block in quick log on $ext from $noroute to any
block out quick log on $ext from any to $noroute
block quick log inet6 all
block log all

# Block out port
block out quick log on $ext proto tcp from any to any port $block_out_TCP
block out quick log on $ext proto udp from any to any port $block_out_UDP

# Pass rules

#Loopback enable
pass quick on lo0 all

#Enable Lan1

#Enable Lan2

#Enable Lan3
pass in quick on fxp1 inet proto tcp from $my to any port $xmms modulate state flags S/SA queue xmms
pass in quick on fxp1 inet proto tcp from $my to any port $outTCP modulate state flags S/SA queue pri_out
pass in quick on fxp1 inet proto udp from $my to any port $outUDP keep state queue pri_out
pass in quick on fxp1 inet from $my to !intnet keep state queue std_out
pass out quick on fxp1 inet from !intnet to $my keep state queue std_out
pass in on fxp1 from intnet to any keep state queue lan
pass out on fxp1 from any to intnet keep state queue lan

# ALL out
pass out on $ext proto tcp from any to any modulate state flags S/SA
pass out on $ext proto { udp, icmp } all keep state

# In services enable
pass in quick on $ext inet proto tcp from any to any port $inTCP modulate state flags S/SA
pass in quick on $ext inet proto udp from any to any port $inUDP keep state

#Out services enable
#pass out quick on $ext inet proto tcp from any to any port $outTCP keep state
#pass out quick on $ext inet proto udp from any to any port $outUDP keep state

A saját hálózatomat(Lan3) próbáltam korlátozni cbq-val,de egyátalán nem működik.
Még annyira sem mint a priq-val.
Ha nem megy semmi letöltés,akkor is nagyon lassú a böngészés,netrádiót pedig egyátalán nem lehet hallgatni.
Ha megy pl az azureus,és mellette szeretnék letölteni a webről pl egy klippet,stb.. akkor kb 10-25KB-el jön le
ezzel a cbq-val,pedig a priq-val ez jól müködött:azzal kb 100KB-el jött le egy fájl a webről(dc v torrent mellett)
és közben nem akadt az xmms -sem.

És még egy dolog:
Az priq-s konfigban (1 hsz) igy van beállítva:
altq on $ext priq bandwidth 100Kb queue { std_out, xmms, pri_out, tcp_ack_out }
És így jól működik.(a netről másoltam igy be)
De ha áttállítom a sebességet(mivel 1024/128 Kb ADSL-kapcsolatom van,nem 100Kb)
altq on $ext priq bandwidth 1Mb queue { std_out, xmms, pri_out, tcp_ack_out }
akkor ez is olyan lessz mint a fenti cbq-s konfig.
Akad minden,és nagyon belassul a net.
Nem tudja valaki hogy ez mitől lehet?

( krissz | 2006. 12. 16., szo – 14:43 )

Hi!

Minnél jobban beleásom magam ebbe a témába,annál
inkább nem értem az egésszet.
(OFF:lehet mégis igaza lessz thuglife-nak,hogy ezt nem nekem találták ki?) :(
A jelenlegi helyzet:
Kipróbáltam úgy a bridge-t,ahogy írtátok:ip nélkül.
Tehát az /etc/hostname.(ne4,fxp0,fxp1) -ekbe csak ennyit írtam:up
Igy egyátalán nem működött,a kliens gépek nem látták egymást.(ping-el sem.)
És még ha működött is volna,akkor sem tudom hogy hogyan lehetne ip nélkül
csatlakozni a router gépre ssh-val,mit állítok be alapértelmezett átjárónak a klienseken,stb...

Próbáltam úgy is(bridge-el) hogy a hálókártyák(a routerben) egy alhálón legyenek:
ne4 :192.168.2.1
fxp0:192.168.2.2
fxp1:192.168.2.3
Részben működött,volt net mindegyik kliens gépen,de
az rdr-szabályokkal volt gond,nem tudtam portot nyitni egyik belső gépre sem,pedig
a routeren látszólag minden jól működött.(nem írt hibát)
De sem a torrent,sem a dc nem akart rendessen működni.(NAT-hibát jeleztek)

Igy hogy külön alhálózaton vannak(bridge-el):
ne4 :192.168.2.1
fxp0:192.168.3.1
fxp1:192.168.4.1
Működnek az rdr szabályok:bármelyik gépen be tudom állítani a dc/torrent klienseket
és hiba nélkül működnek.

Ha nem állítom be a bridge-et,akkor a kliens gépek nem látják egymást:
nincs file-megosztás.(a LAN-on)
Persze bridge-el sem ugyanaz mint ha azonos hálózaton lennének,mert csak
akkor találják meg egymást ha az IP-t írom be,de úgy működik.(egy munkacsoportban vannak)

( krissz | 2006. 12. 24., v – 11:37 )

Sikerült megoldanom az összes problémát,mégegyszer köszi mindenkinek!
Működik a sávszélesség szabályozás(priq) a gépek között,(egy külső bridge segítségével)
A named-et és dhcpd-t is sikerült beállítani.
pf.conf:
(a table-nál a ()-jelek helyett relációjelek vannak,csak itt az nem jelenik meg)
# Firewall rules

int = "ne4"
ext = "tun0"
intnet = "192.168.1.0/24"
my = "amd.itthon.hu"
pri_outTCP = "{ domain, http, https, ftp }"
pri_outUDP = "{ ntp, domain }"
inTCP = "{ 9114 }"
inUDP = "{ 9114 }"
xmms = "{ 1352, 1755, 7070, 6669, 7000, 8480 }"
block_out_TCP = "{ 7, 9, 12, 19, 23, 111, 135, 138, 139, 369, 445, 512, 513, 515, 593, 631\
901, 1080, 1433, 1434, 3127, 3128, 4899, 5000, 6658\
4444, 6129, 6777, 9898, 10080, 12345, 17300, 20168, 27374 }"
block_out_UDP = "{ 7, 9, 12, 19, 69, 111, 161, 137, 138, 369, 515, 631 }"

set block-policy drop
set loginterface ne3

# Tables
table (noroute) { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 255.255.255.255/32 }
table (reklam) {ad.adverticum.com, ad.adverticum.net, imgs.adverticum.net, img.adverticum.net,\
ad.adware.hu, ad.de.doubleclick.net, ad.hirekmedia.hu, ad.hu.doubleclick.net,\
ads.adverticum.net, ads.cdmediaworld.com, ads2.adverticum.net, adserver.itg.hu\
advert.lnkworld.com, audit.median.hu, audit.webinform.hu,\
hc2.humanclick.com, imgs.adverticum.net, node2.nettrafic.com, trafficmp.com,\
advert.hu, sher.index.hu, www2.ctnetwork.hu, ct.ctnetwork.hu}

# Scrub
scrub in all

# ALTQ
# Queue Ext
altq on $ext priq bandwidth 100Kb queue { std_out, xmms, pri_out, tcp_ack_out }
queue tcp_ack_out priority 7
queue xmms priority 5
queue pri_out priority 3
queue std_out priority 1 priq(default)

# NAT rules
nat on $ext from $intnet to any -) ($ext)
rdr on $ext proto { tcp udp } from any to any port 9114 -) $my port 9114

#block rules
block in quick log on $ext os NMAP
block in quick log on $ext from (noroute) to any
block out quick log on $ext from any to (noroute)
block quick log inet6 all
block log all

# Block out
block out quick log on $ext proto tcp from any to any port $block_out_TCP
block out quick log on $ext proto udp from any to any port $block_out_UDP
block out quick log on $ext from any to (reklam)

# Pass rules

#Loopback enable
pass quick on lo0 all

#Enable Lan1
#pass out quick on ne4 from ($ext) to any keep state queue k6_in
pass in on ne4 from $intnet to any keep state
pass out on ne4 from any to $intnet keep state

# ALL out
pass out quick on $ext inet proto tcp from any to any port $xmms modulate state flags S/SA queue xmms
pass out quick on $ext inet proto tcp from any to any port $pri_outTCP modulate state flags S/SA queue pri_out
pass out quick on $ext inet proto udp from any to any port $pri_outUDP keep state queue pri_out

pass out on $ext proto tcp from any to any modulate state flags S/SA queue (std_out, tcp_ack_out)
pass out on $ext proto { udp, icmp } all keep state queue std_out

# In services enable
pass in quick on $ext inet proto tcp from any to any port $inTCP modulate state flags S/SA queue std_out
pass in quick on $ext inet proto udp from any to any port $inUDP keep state queue std_out

#Out services enable
#pass out quick on $ext inet proto tcp from any to any port $outTCP keep state
#pass out quick on $ext inet proto udp from any to any port $outUDP keep state

Nem tudja valaki,hogy hogyan lehet a pf.conf-ban,egy domain tartományra hivatkozni?
Tehát:
ad.adverticum.net, imgs.adverticum.net, img.adverticum.net -helyett,pl:*.adverticum.net-re,
hogy ami az adverticum.net alá tartozik az mind pl:blokkolva legyen.
Ha simán azt írom hogy adverticum.net akkor működik?

( krissz | 2006. 12. 30., szo – 18:30 )

Felraktam a squid-ot és azzal sokkal egyszerűbben tudok tiltani domain,stb.. alapján,
tehát felesleges volt a pf.conf-ba beírogatni a domain címeket.
(Bár legalább most már domain alapján is tudok szűrni benne,mivel ez alapból nem működött az adsl miatt,
kellet egy kicsit trükközni hozzá.)

Lenne egy apró gondom:
Hogyan lehet OBSD-alatt beállítani egy null modem-es(slip,soros port) kapcsolatot?
Már 2 napja keresek vmi leírást(angol,magyar) a neten,de nem találtam semmit OBSD-hez.

Valóban a slattach volt a megoldás,köszi!
Mindkét gépen openbsd fut,belállítottam mindketőn a sl0-át:
gép 1
#cat /etc/hostname.sl0
192.168.10.1 192.168.10.2 up
# ifconfig
.
.
.
sl0: flags=c011 mtu 296
groups: sl
inet 192.168.10.1 --> 192.168.10.2 netmask 0xffffff00

gép 2
#cat /etc/hostname.sl0
192.168.10.2 192.168.10.1 up
# ifconfig
.
.
.
sl0: flags=c011 mtu 296
groups: sl
inet 192.168.10.2 --> 192.168.10.1 netmask 0xffffff00

Ha ezek után beírom minkét gépen hogy:
#/sbin/slattach -s 115200 /dev/tty00
akkor rendesen működik.
De sehogy sem sikerül úgy megcsinálni hogy indulásnál automatikusan
elinduljon a slattach.
pl hiába írom be az rc.local-ba hogy:
/sbin/slattach -s 115200 /dev/tty00
semmit sem csinál.
Pedig ez lenne a lényeg,hogy induláskor automatikusan elinduljon
ez a kapcsolat.

( krissz | 2007. 01. 02., k – 14:22 )

Hogyan lehet beállítani OpenBSD alatt az ntpd-t?
Feltelepítettem,és fut is:
#ps ax
root@router:~# ps ax
PID TT STAT TIME COMMAND
1 ?? Is 0:00.03 /sbin/init
19025 ?? Is 0:00.02 syslogd: [priv] (syslogd)
10347 ?? I 0:00.09 syslogd -a /var/named/dev/log -a /var/empty/dev/log
18664 ?? Is 0:00.04 ntpd: [priv] (ntpd)
10673 ?? I 0:00.04 ntpd: ntp engine (ntpd)
2176 ?? Is 0:00.00 /usr/sbin/dhcpd ne4
16890 ?? Is 0:00.02 inetd
9915 ?? Is 0:00.37 /usr/sbin/sshd
32175 ?? Is 0:00.12 sendmail: accepting connections (sendmail)
17593 ?? Is 0:00.68 ppp -ddial pppoe
15872 ?? I 0:00.17 /usr/sbin/pppoe -i ne3
29770 ?? Is 0:00.02 pflogd: [priv] (pflogd)
23075 ?? I 0:00.14 pflogd: [running] -s 116 -f /var/log/pflog (pflogd)
28208 ?? Is 0:00.02 named: [priv] (named)
12910 ?? I 0:00.32 /usr/sbin/named
9111 ?? Is 0:00.01 /usr/local/sbin/squid
29781 ?? I 0:01.68 (squid) (squid)
8576 ?? Is 0:00.03 cron
18275 ?? Is 0:00.03 (unlinkd) (unlinkd)
3884 ?? Is 0:00.96 sshd: root@ttyp0 (sshd)
4623 p0 Is 0:00.11 -ksh (ksh)
9026 p0 R+ 0:00.01 ps -ax
24403 C0 Is+ 0:00.03 /usr/libexec/getty Pc ttyC0
22509 C1 Is+ 0:00.02 /usr/libexec/getty Pc ttyC1
12306 C2 Is+ 0:00.02 /usr/libexec/getty Pc ttyC2
23793 C3 Is+ 0:00.02 /usr/libexec/getty Pc ttyC3
19876 C5 Is+ 0:00.03 /usr/libexec/getty Pc ttyC5

Az /etc/ntpd.conf:
root@router:~# cat /etc/ntpd.conf
# $OpenBSD: ntpd.conf,v 1.7 2004/07/20 17:38:35 henning Exp $
# sample ntpd configuration file, see ntpd.conf(5)

# Addresses to listen on (ntpd does not listen by default)
#listen on *

# sync to a single server
#server ntp.example.org

# use a random selection of 8 public stratum 2 servers
# see http://twiki.ntp.org/bin/view/Servers/NTPPoolServers
servers time.kfki.hu
servers swisstime.ethz.ch

De nem működik;direkt loggoltam a pf.confban minden ntp forgalmat,
és semmi.
Ha beírom hogy :

root@router:~# ntpdate -b time.kfki.hu
2 Jan 14:07:22 ntpdate[13361]: step time server 148.6.0.1 offset -0.006887 sec
akkor működik:szinkronizálja az időt.
De a ntpq -p sehogyan sem akar működni:

root@router:~# ntpq -p
ntpq: write to localhost failed: No route to host
Valmi orosz oldalon olvastam,hogy az ipv6-al van valami gond,
és az etc/hosts-ból töröltem az ipv6-os bejegyzéseket:

root@router:~# cat /etc/hosts
# $OpenBSD: hosts,v 1.11 2002/09/26 23:35:51 krw Exp $
#
# Host Database
#
# RFC 1918 specifies that these networks are "internal".
# 10.0.0.0 10.255.255.255
# 172.16.0.0 172.31.255.255
# 192.168.0.0 192.168.255.255
#
#::1 localhost
127.0.0.1 localhost
#::1 router.itthon.hu router
127.0.0.1 router.itthon.hu router
192.168.1.10 amd.itthon.hu amd
192.168.1.20 bridge.itthon.hu bridge

Igy ezt csinálja az ntpq:
root@router:~# ntpq -p
ntpq: read: Connection refused

Valaki tudna segíteni?
Köszi!

FreeBSD-n (és a te konfigod komment részében) :
- nem "servers" a kulcsszó, hanem "server"
- és az IPv6-tal semmi baj nincs, csak tudni kell, hogy (bizonyos okokból) azt akarja először használni. Szóval ha nincs (márpedig valószínűleg nincs) valódi IPv6 kapcsolatod (nem attól nincs, hogy nincs a hosts-ban, sőt az, hogy kitörölted, az a valódi helyzeten csak ront), akkor a server sor így nézzen ki:
server -4 IPv4gyel.rendelkezo.host.name
(Mellesleg van már Mo-n ennél pontosabb time-server is, keress rá itt a fórumban, tavaly már megírtam)

Ezer köszönet!
Most már megy,legalább is a pflog szerint:
root@router:~# tcpdump -e -i pflog0
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG
.
.
17:02:16.676466 rule 68/(match) pass out on tun0: adsl-187-132.globonet.hu.56670 > 84-16-235-166.internetserviceteam.com.ntp: v4 client strat 0 poll 0 prec 0 [tos 0x10]
.
.
17:04:17.775522 rule 68/(match) pass out on tun0: adsl-187-132.globonet.hu.52629 > 84-16-235-166.internetserviceteam.com.ntp: v4 client strat 0 poll 0 prec 0 [tos 0x10]

De a ntpq még mindig nem jó. :(
root@router:~# ntpq -p
ntpq: write to localhost failed: No route to host
Pedig a lo0 teljesen nyitva van :
#cat /etc/pf.conf
.
.
pass quick on lo0 all
.
.

Mi lehet a gond?

( krissz | 2007. 01. 02., k – 17:52 )

Mi ez a microsoft-xxx,netbios-xxx,epmap?
A internet szolgáltatóm(Hungarotel) állandóan ezekkel akar kapcsolódni hozzám.
Egy rövid példa:

Az én címem:adsl-187-132.globonet.hu
A szolgáltatóé:host-191-109.globonet.hu

root@router:~# tcpdump -e -i pflog0
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG
17:41:59.615859 rule 4/(match) block in on tun0: cpc1-lewi6-0-0-cust121.bmly.cable.ntl.com.1107 > adsl-187-132.globonet.hu.411: [|tcp] (DF)
17:42:07.490891 rule 4/(match) block in on tun0: cpc1-lewi6-0-0-cust121.bmly.cable.ntl.com.1107 > adsl-187-132.globonet.hu.411: [|tcp] (DF)
17:42:13.031745 rule 4/(match) block in on tun0: host-191-109.globonet.hu.4659 > adsl-187-132.globonet.hu.netbios-ssn: [|tcp] (DF)
17:42:16.234133 rule 4/(match) block in on tun0: host-191-109.globonet.hu.4659 > adsl-187-132.globonet.hu.netbios-ssn: [|tcp] (DF)
17:42:21.301117 rule 4/(match) block in on tun0: host-174-6.globonet.hu.3970 > adsl-187-132.globonet.hu.epmap: [|tcp] (DF)
17:42:24.116988 rule 4/(match) block in on tun0: host-174-6.globonet.hu.3970 > adsl-187-132.globonet.hu.epmap: [|tcp] (DF)
17:42:25.297580 rule 4/(match) block in on tun0: adsl-178-90.globonet.hu.3871 > adsl-187-132.globonet.hu.epmap: [|tcp] (DF)
17:42:51.064634 rule 4/(match) block in on tun0: user145.c1.krsko.kabelnet.net.10288 > adsl-187-132.globonet.hu.411: udp 106
17:43:06.846684 rule 4/(match) block in on tun0: AC956499.ipt.aol.com.55355 > adsl-187-132.globonet.hu.411: udp 106
17:43:09.065398 rule 4/(match) block in on tun0: adsl-178-215.globonet.hu.3314 > adsl-187-132.globonet.hu.microsoft-ds: [|tcp] (DF)
17:43:11.070005 rule 4/(match) block in on tun0: bas12-montrealak-1167975921.dsl.bell.ca.61434 > adsl-187-132.globonet.hu.411: udp 62
17:43:11.162287 rule 4/(match) block in on tun0: adsl-178-215.globonet.hu.3482 > adsl-187-132.globonet.hu.microsoft-ds: [|tcp] (DF)
17:43:27.338955 rule 4/(match) block in on tun0: bas12-montrealak-1167975921.dsl.bell.ca.61434 > adsl-187-132.globonet.hu.411: udp 98
17:43:35.801048 rule 68/(match) pass out on tun0: adsl-187-132.globonet.hu.61839 > server30407.uk2net.com.ntp: v4 client strat 0 poll 0 prec 0 [tos 0x10]
17:43:45.933346 rule 4/(match) block in on tun0: BSN-77-248-99.dial-up.dsl.siol.net.33406 > adsl-187-132.globonet.hu.411: udp 106
17:43:48.442133 rule 4/(match) block in on tun0: host-172-156.globonet.hu.3810 > adsl-187-132.globonet.hu.netbios-ssn: [|tcp] (DF)
17:43:51.030899 rule 4/(match) block in on tun0: host-172-156.globonet.hu.3810 > adsl-187-132.globonet.hu.netbios-ssn: [|tcp] (DF)
^C
17 packets received by filter
0 packets dropped by kernel

Az én címem:adsl-187-132.globonet.hu
A szolgáltatóé:host-191-109.globonet.hu

Azért az ilyen címek (host-x-y) egyáltalán nem biztos, hogy a szolgáltatód valamelyik gépe, ugyanúgy lehet egy másvalakinek (értsd, olyan kliens, mint Te) kiosztott cím.

Az meg, hogy a szolgáltatód szűrje a tefeléd menő forgalmat, erősen kérdéses, hogy jó-e. Én például erőteljesen anyáznék, ha belefutnék egy ilyenbe: mi van, ha én azt használni akarom, amit ő szűr?

Ugy néz ki hogy igazad van :
root@router:~# ifconfig
lo0: flags=8049 mtu 33224
groups: lo
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
ne3: flags=8863 mtu 1500
lladdr 00:50:bf:6e:89:0c
media: Ethernet autoselect (10baseT)
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
inet6 fe80::250:bfff:fe6e:890c%ne3 prefixlen 64 scopeid 0x1
ne4: flags=8863 mtu 1500
lladdr 00:50:ba:cd:a4:29
media: Ethernet autoselect (10baseT)
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::250:baff:fecd:a429%ne4 prefixlen 64 scopeid 0x2
pflog0: flags=141 mtu 33224
pfsync0: flags=0<> mtu 1460
groups: carp
enc0: flags=0<> mtu 1536
tun0: flags=8011 mtu 1492
groups: tun egress
inet 82.144.187.132 --> 82.144.179.73 netmask 0xffffffff
root@router:~# traceroute 82.144.179.73
traceroute to 82.144.179.73 (82.144.179.73), 64 hops max, 40 byte packets
1 adsl-179-73.globonet.hu (82.144.179.73) 16.25 ms * 15.821 ms

Ez a szolgáltató ip-je:adsl-179-73.globonet.hu (82.144.179.73)
(bár én még soha nem kaptam olyan domaint ami host-al kezdődött volna.
Mindig adsl-el kezdődik)
Akkor az összes kliens ennél a szolgáltatónál egy alhálózaton van?
Hogy lehet(ne) kideríteni,hogy ki próbálkozik?

Ja, bocs, rohantam, nem neztem a logot.
Nalam is probalkoznak ssh-n, de amilyen gyakran jon egy proba (asszem par tized sec kulonbseggel), nyilvanvalo, hoyg valami bot az. Szoval nem kulonosebben izgat. A root jelszot nem egyszeru kitalalni, azt sem, hogy mi az egyetlen usernev, amivel csatlakozni lehet, ha az ssh-ban nincs hiba, akkor nyugodt vagyok. Ha meg van benne, es elobb kerul ki exploit, mint en frissitem, akkor meg ugyis megette a fene az egeszet.

( krissz | 2007. 01. 02., k – 18:02 )

Sőt!
Most meg ez:
17:57:44.996376 rule 4/(match) block in on tun0: host-172-156.globonet.hu.44782 > adsl-187-132.globonet.hu.ssh: udp 10
Ez még nekem is gyanús.

( krissz | 2007. 01. 09., k – 00:33 )

Valaki el tudná magyarázni a lényegét ennek: http://www.openbsd.org/faq/pf/tagging.html
És ennek: http://www.openbsd.org/faq/pf/filter.html#state
Esetleg még ezeket is:
1.Stateful Tracking Options: http://www.openbsd.org/faq/pf/filter.html#stateopts
2.TCP Flags: http://www.openbsd.org/faq/pf/filter.html#tcpflags
Elég nekem ha a lényeget tőmondatokban leírja valaki.
Ezer köszönet előre is!

( krissz | 2007. 02. 21., sze – 22:27 )

Nos a trunk volt a megoldás a "több hálókártya" problémára.

root@router:~$ cat /etc/hostname.trunk0
trunkproto roundrobin trunkport fxp0 trunkport fxp1 trunkport rl0 192.168.1.1 255.255.255.0

root@router:~$
A többi hálókártának pedig:
root@router:~$ cat /etc/hostname."if"
up

root@router:~$

Igy olyan mintha egy switch-en lennének a kliensek.