Security Teams



:::
Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

> pf vs. VPN, требуется совет гуру
relictor's
  Дата 22.08.2007 - 12:02
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5414
Регистрация: 22.08.2007



Рейтинг:
(0%) -----


доброго всем дня

сложилась глупая ситуация, которой я не понимаю
и так имеем шлюз FreeBSD 6.2 RC2 файерволл используется pf

народ использует впн для подключения виндовых клиентов к удаленным серверам (примерно 5-7 человек)

что происходит - кто то один заходит по впн на сервер остальным полный облом
зависает на процессе проверки имени пользователя и пароля потом вываливается с ошибкой 721 или 800

вот кусок pftop'a относящегося к gre
Код

gre       In  192.168.1.13:0            85.21.ххх.ххх:0              NO_TRAFFIC:SINGLE       00:01:24  00:00:28       19     1073
gre       In  192.168.1.14:0            85.21.ххх.ххх:0              MULTIPLE:MULTIPLE     00:06:00  00:00:56     3359   415254
gre       Out 192.168.1.13:0            85.21.ххх.ххх:0                SINGLE:NO_TRAFFIC   00:01:24  00:00:28       19     1073
gre       Out 192.168.1.14:0            85.21.ххх.ххх:0              MULTIPLE:MULTIPLE     00:06:00  00:00:56     3359   415254


из него видно что если на адрес сел один пользователь остальные идут лесом
отсюда вопрос это такая фишка pf или где то стоит ограничение на кол-во gre сессий на один ip и если да то где его поправить

если нужна доп информация говорите какая именно покажу (всю кидать наверное не нужно слишком много)

заранее спасибо
PMПисьмо на e-mail пользователю
Top
Kom@nd'Or
Дата 22.08.2007 - 17:04
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


сам ща разбираюсь с vpn - так наскака я начитался некоторые vpn сервера на одного клиента используют "отдельный канал" может у тебя подобное ...


--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top
Nickolas
Дата 22.08.2007 - 19:04
Цитировать сообщение
Offline



Specialist
****

Профиль
Группа: -users-
Сообщений: 467
Пользователь №: 2842
Регистрация: 16.02.2006



Рейтинг:
(0%) -----


Во-первых, обновлем систему до -RELEASE и последнего патчлевела, это раз.
Во вторых который впн используется, пожалуйста конфиги встудию + правила pf


--------------------
И придут демоны, и будет имя им BSD
PM
Top
relictor's
Дата 23.08.2007 - 08:27
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5414
Регистрация: 22.08.2007



Рейтинг:
(0%) -----


правила pf мои, сервак ВПН на той стороне конфигов нет и не дают

Код
# network interface and macros
#
prov_if="em0"
int_if="em1"
my_net="{192.168.1.0/24}"
my_ip="192.168.1.1"
ftp_serv="{20, 21}"
#
set loginterface $prov_if
#
scrub in all
# translate all packet's
nat on $prov_if from $my_net to any -> $prov_if
table <spamd> persist
rdr pass on $prov_if inet proto tcp from <spamd> to any port smtp -> 127.0.0.1 port spamd
#
set skip on lo0
#       incoming packet's on $prov_if
#
#
# block internal connection
block in on $prov_if from any to any
block in quick on $prov_if from 67.15.0.0/16 to any
block in quick on $prov_if from 89.19.0.0/19 to any
block in quick on $prov_if from 196.15.132.0/24 to any
block in quick on $prov_if from 209.200.224.0/19 to any
block in quick on $prov_if from 165.138.0.0/16 to any
block in quick on $prov_if from 202.143.128.0/18 to any
block in quick on $prov_if from 12.0.0.0/8 to any
block in quick on $prov_if from 140.109.0.0/16 to any
#
pass in quick on $prov_if inet proto tcp from any to lo0 port spamd synproxy state flags S/SA
# allowed internal ping's
pass in quick on $prov_if inet proto icmp from any to $prov_if icmp-type 8 keep state
# allowed internal ssh connection
pass in quick on $prov_if inet proto tcp from хх.хх.хх.хх to $prov_if port 22 keep state
# access to WWW
pass in quick on $prov_if inet proto tcp from any to $prov_if port 80 keep state
# allowed mail connection
pass in quick on $prov_if inet proto tcp from any to $prov_if port 25 keep state
pass in quick on $prov_if inet proto tcp from any to $prov_if port 110 keep state
# allowed FTP connections
pass in quick on $prov_if inet proto tcp from any to $prov_if port {20, 21} keep state
pass in quick on $prov_if inet proto tcp from any to $prov_if port 49151 >< 65535 keep state
#
#
pass in quick on $prov_if inet proto udp from any to $prov_if port 53 keep state
pass in quick on $prov_if inet proto tcp from any to $prov_if port 53 keep state
#
pass in quick on $prov_if inet proto gre from any to any keep state
pass out quick on $prov_if inet proto gre from any to any keep state
#
#       outcoming packet's on $prov_if
# access to FTP
pass out quick on $prov_if inet proto tcp from $prov_if to any port {20, 21} keep state
pass out quick on $prov_if inet proto tcp from $prov_if to any port 49152 >< 65535 keep state
#
# block all connection
block out on $prov_if from any to any
# allow out ping & traceroute
pass out quick on $prov_if inet proto icmp from $prov_if to any icmp-type 8 keep state
pass out quick on $prov_if inet proto udp from $prov_if to any keep state
# access to WWW
pass out quick on $prov_if inet proto tcp from $prov_if to any port 80 keep state
# allow SSH connection
pass out quick on $prov_if inet proto tcp from $prov_if to any port 22 keep state
#accept DNS query
pass out quick on $prov_if inet proto udp from $prov_if to any port 53 keep state
pass out quick on $prov_if inet proto tcp from $prov_if to any port 53 keep state
# access to MAIL port's 25,110,995
pass out quick on $prov_if inet proto tcp from $prov_if to any port 25 keep state
pass out quick on $prov_if inet proto tcp from $prov_if to any port 110 keep state
pass out quick on $prov_if inet proto tcp from $prov_if to any port 995 keep state
# access to https
pass out quick on $prov_if inet proto tcp from $prov_if to any port 443 keep state
#
pass out quick on $prov_if inet proto tcp from $prov_if to any port 5190 keep state
#
pass out quick on $prov_if inet proto tcp from $prov_if to any port 1723 keep state
#
pass out quick on $prov_if inet proto tcp from $prov_if to any port 3389 keep state
pass out on $prov_if inet proto tcp from $prov_if to any port 1352 keep state
#
#
#       incoming packet's on $int_if interfaces
#
# access to FTP from local net
pass in quick on $int_if inet proto tcp from $my_net to $my_ip port {20, 21} keep state
pass in quick on $int_if inet proto tcp from $my_net to $my_ip port 49152 >< 65535 keep state
# block all connection's
block in  on $int_if from $my_net to $my_ip
# access to SSH from local net
pass in on $int_if inet proto tcp from $my_net to $my_ip port 22 keep state
# allowed's ping from localnet
pass in on $int_if inet proto icmp from $my_net to $my_ip icmp-type 8 keep state
# access DNS server from localnet
pass in on $int_if inet proto udp from $my_net to $my_ip port 53 keep state
# access to mail from local net
pass in on $int_if proto tcp from $my_net to $my_ip port 25 keep state
pass in on $int_if proto tcp from $my_net to $my_ip port 110 keep state
pass in on $int_if proto tcp from $my_net to $my_ip port 995 keep state
#
pass in on $int_if proto tcp from $my_net to $my_ip port 80 keep state
pass in on $int_if inet proto tcp from $my_net to $my_ip port 1723 keep state
pass in on $int_if inet proto gre from $my_net to any keep state
#
#       outcoming packet's on $int_if interfaces
#
# access FTP to $int_net
pass out quick on $int_if proto tcp from $my_ip to $my_net port {20, 21} keep state
# block all connection to $int_net
block out on $int_if from $my_ip to $my_net
# access PING from $my_ip to $int_net
pass out on $int_if inet proto icmp from $my_ip to $my_net icmp-type 8 keep state
# pass out ssh connect to $int_net
pass out on $int_if proto tcp from $my_ip to $my_net port 22 keep state


впн соеденение настраивается на клиенте по умолчанию

Это сообщение отредактировал relictor's - 23.08.2007 - 08:28
PMПисьмо на e-mail пользователю
Top
Fenrir
Дата 23.08.2007 - 15:10
Цитировать сообщение




Unregistered












imho pf тут вообще не причем, думается мне что в конфиге vpn сервера всего 1 бандл, без этого конфига больше сказать сложнее
Top
relictor's
Дата 23.08.2007 - 16:02
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5414
Регистрация: 22.08.2007



Рейтинг:
(0%) -----


Цитата (Fenrir @ 23.08.2007 - 15:10)
imho pf тут вообще не причем, думается мне что в конфиге vpn сервера всего 1 бандл, без этого конфига больше сказать сложнее

я думаю что нет, если залезать по резервному каналу MTU
или через гейт с исой то все нормально и одновременно работают человек 5

кстати был произведен опыт по замене pf на рабочий конфиг ipfw
там таже хрень один и все тут

крыша постепенно съезжает tease.gif
PMПисьмо на e-mail пользователю
Top
Fenrir
Дата 27.08.2007 - 16:59
Цитировать сообщение




Unregistered












Цитата (relictor's @ 23.08.2007 - 16:02)
Цитата (Fenrir @ 23.08.2007 - 15:10)
imho pf тут вообще не причем, думается мне что в конфиге vpn сервера всего 1 бандл, без этого конфига больше сказать сложнее

я думаю что нет, если залезать по резервному каналу MTU
или через гейт с исой то все нормально и одновременно работают человек 5

кстати был произведен опыт по замене pf на рабочий конфиг ipfw
там таже хрень один и все тут

крыша постепенно съезжает tease.gif

а если именно на этот канал поставить тот гейт с исой ситуация меняется?
Top
relictor's
Дата 29.08.2007 - 12:05
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5414
Регистрация: 22.08.2007



Рейтинг:
(0%) -----


Цитата (Fenrir @ 27.08.2007 - 16:59)
а если именно на этот канал поставить тот гейт с исой ситуация меняется?


не пробовали, но имхо ничего не поменяется, это один провайдер просто 2 разных ипа

вопрос, в правилах pf ни кто ничего криминального не нашел
мож я что накосячил
PMПисьмо на e-mail пользователю
Top
Fenrir
Дата 30.08.2007 - 11:36
Цитировать сообщение




Unregistered












Цитата (relictor's @ 29.08.2007 - 12:05)
Цитата (Fenrir @ 27.08.2007 - 16:59)
а если именно на этот канал поставить тот гейт с исой ситуация меняется?


не пробовали, но имхо ничего не поменяется, это один провайдер просто 2 разных ипа

вопрос, в правилах pf ни кто ничего криминального не нашел
мож я что накосячил

в правилах все нормально , правда я бы малость их оптимизировал, ну а все таки попробуйте поменять местами тазы с исой и фрей
Top
relictor's
Дата 3.09.2007 - 08:22
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5414
Регистрация: 22.08.2007



Рейтинг:
(0%) -----


Цитата (Fenrir @ 30.08.2007 - 11:36)
в правилах все нормально , правда я бы малость их оптимизировал, ну а все таки попробуйте поменять местами тазы с исой и фрей

спасибо, как тока выдасться свободное время поэкспериментируем
PMПисьмо на e-mail пользователю
Top

Опции темы Страницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса