Для безопасности и отсутствия тормозов.

Автор, установка FreeBSD в качестве gate+firewall занимает 4-6 минут.
В установке дополнительного софте не нуждается, т.к. все есть в базе.
Ну и самое интересное ака next step настройка
PS: Собсно хотелось видеть реальные примеры и конфиги, плиз.

http://bsdportal.ru/viewtopic.php?t=7955&highlight=&sid=233496acfed42f 6fd2ffbecf0cad5698

1. Желозо:
Для "сетнки" не нужно покупать хорошую машинку. Достаточно будет 300 селерона, 64, но можно и меньше мозгов. В качестве HDD и флешка сойдет, но настройка роутера на флешке - отдельная тема, поэтому самый простой винтик на 1Гб с головой. Сеть. Покупаем самый обычный риалтек за 3$.

2. Установка:
Ставим все по минимуму. Если решили поставить 6.1, то нужно обязательно выбрать kernel, иначе после установки система скажет, что нет ядра. (Замутили спецом, для установки на разные архитектуры)

3. Настройка:
Настройка роутера находиться в одном файле /etc/rc.conf - в дальн. просто rc.conf
1) Первая сторка - будет имя роутера.
hostname="myrouter.domain.net"
2) Следующая строчка - сеть
ifconfig - эта команда покажет все сетевые интерфейсы, которые есть в системе. Т.к. поставили два риалтека, то и интерфейсы будут rl0 и rl1. Теперь на эти интерфейсы нужно "натянуть" IP адреса. Пусть rl0 - будет интерфейс, который подключен к провайдеру, его IP будет 192.168.0.2, маска 255.255.255.0(/24) и 192.168.0.1 - это шлюз провайдера. А rl1 - к домашней машине, IP которой пусть будет 10.0.0.1 и маска 255.255.255.252(/30) - это маска на 2 машины.
ifconfig_rl0="inet 192.168.0.2 netmask 255.255.255.0"
или
#ISP
ifconfig_rl0="inet 192.168.0.2/24"
эти записи равны, поэтому буду юзать последнюю, т.к. она короче.
#Home net
ifconfig_rl1="inet 10.0.0.1/30"
#Default gate
defaultrouter="192.168.0.1"
gateway_enable="YES" - говорит о том, что машинка будет роутером.
С настройками сети все. Далее нам нужен ssh, т.к. подключать монитор и клаву будет тогда, когда роутер не работает, а если замутим все верно, то вообще подключать не будем
sshd_enable="YES"
Сохраняем настройки и выходим.
rc.conf
********************************
hostname="myrouter.domain.net"
ifconfig_rl0="inet 192.168.0.2/24"
ifconfig_rl1="inet 10.0.0.1/30"
defaultrouter="192.168.0.1"
gateway_enable="YES"
sshd_enable="YES"
********************************
По умолчанию в FreeBSD идет базовый редактор vi.
Все прописали, а теперь займемся сеткой "динамически"
Пишем в консольке:
ifconfig rl0 192.168.0.2/24
и сразу проверим сеть. ping 192.168.0.1 Если gate ISP ответит, то все ок. Если нет, то проблема может быть с сетью, железом или настройками. Для проверки набьем ifconfig rl0 и enter должно быть что-то типа этого
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::2c1:28ff:fe01:5124%rl0 prefixlen 64 scopeid 0x2
inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:c1:28:01:51:24
media: Ethernet autoselect (10baseT/UTP)
status: active
После того, как добились связи с гейтом прова создаем вайлик /etc/resolv.conf и внем пропишим одну строчку
nameserver xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx - IP адрес DNS сервера. Save & Exit.
ping mail.ru
ping mail.ru
PING mail.ru (194.67.57.26): 56 data bytes
64 bytes from 194.67.57.26: icmp_seq=0 ttl=116 time=107.987 ms
Ура, работает.
Таким же образом подымаем внутр. сеть
ifconfig rl1 10.0.0.1/30
Этот интерфейс подключен к интерфейсу домашней машинке, но которой прописан IP 10.0.0.2, mask 255.255.255.252 и шлюз 10.0.0.1, а DNS можно оставить xxx.xxx.xxx.xxx, который выдал Вам ISP и который прописан на роутере.
С роутера пингуем 10.0.0.2. Запинговался? Отлично
Все, на этом с сетью окончили.

ReAdmin aka ssh
Идем в vi /etc/ssh/sshd_config и дописываем строчку
ListenAddress 10.0.0.1
Этой строчкой мы говорим демону, а под виндой это звучит сервером, ssh работать тока на внутр. интерфейсе(rl1), т.к. на наружном он не нужен. И запускаем sshd следующей командой:
/etc/rc.d/sshd start
При первом запуске нужно будет сгенерировать ключи, утилиты для генерации запустяться сами, а Вам нужно будет тока понажимать на разные кнопки в течении 60 секунд, вроде.
Как проверить, стартонул ли ssh?
sockstat -4
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root sendmail 535 4 tcp4 127.0.0.1:25 *:*
root sshd 529 4 tcp4 10.0.0.1:22 *:*
root syslogd 371 7 udp4 *:514 *:*
Стартонул
Теперь нам нужно завести учетку, чтобы подключаться к серверу. Можно конечно у рутовую использовать, но я не советую.
adduser
Username: support
Full name:
Uid (Leave empty for default):
Login group [support]: wheel
Login group is wheel. Invite support into other groups? []:
Login class [default]:
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/support]:
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : support
Password : *****
Full Name :
Uid : 1001
Class :
Groups : wheel
Home : /home/support
Shell : /bin/tcsh
Locked : no
Длжно получиться что-то типа этого.
После создания новой учетки идем на другую консоль(alt+Fx, где x - это цифры от 1 и до 12 F1,F2, etc..) и логинимся. Если все прошло отлично, значит можно перезагрузить роутер. Это будет наша первая перезагрузка, после установки. Вообще можно и дальше настраивать, но обычно на этом деалю финиш "физике". Дальнейшая настройка будет удаленной
shutdown -r now
После загрузки роутера подключаемся к ниму виндой/other OS и проверяем, все ли работает. Т.е. есть ли связь между роутером и ISP, если да - то переходим к нату и защите, иначе проверяем настройки в rc.conf'е

4. NAT & Firewall aka PF
В качестве ната и фаервола будет юзать пакет фильтр pf, который был портирован с OpenBSD.
Настройки этого "зверька" храняться в /etc/pf.conf
*****************************************
#Макросы
ext_if = "rl0"
int_if = "rl1"
Me = "10.0.0.2"

#NAT
nat pass on $ext_if inet from $Me -> ($ext_if)

# Все, что не разрешино - блочим
block return log
block in from no-route
#quick - говорит о том, что это если это правило выполняется, то дальше не идем. Т.к. lo0 - это я )), то меня везде пропускаем
pass quick on lo0

#ICMP этот протокол нужен для диагностики сети (ping)
pass in inet proto icmp to {$ext_if $int_if } icmp-type echoreq keep state
#SSH
pass in on $int_if inet proto tcp from $Me to $int_if port ssh keep state
# Разрешим нашему роутеру ходить куда угодно, но тока от рута
pass out inet from {$ext_if $int_if } user 0 keep state
*****************************************
Эти правила делаю следующее:
1. Ваша машина (10.0.0.2) будет выходить в локалку/интернет с IP адреса 192.168.0.2
2. На вход с интерфейса ISP будет доступен тока пинг и тока к роутеру и все.
3. Тока на внутренем интерфейсе и тока с IP адреса 10.0.0.2 будет доступ к роутеру по ssh
4. Тока пользователь рут можешь "выходить" с роутера в любом направлении, обычно использую это для диагностики, а потом оставляю тока icmp

vi /etc/rc.conf и дописываем еще пару строчек в конец это для того, чтобы pf стартовал при старте роутера
***********************
pf_enable="YES" # Set to YES to enable packet filter (pf)
pflog_enable="YES" # Set to YES to enable packet filter logging
***********************
Save & Exit
Ну и стартуем нашего "зверька"
pfctl -e && pfctl -f /etc/pf.conf
На домашней машинке должен появиться инет

PS: Ой, уже Sat Sep 16 00:15:22 EEST 2006. Сорри, если есть ошибки/опечатки, с работы да и день 5-й )) Если что - поправим

Такс, забыл еще дописать пару строчек, одна из которых обязательна отмечу красным.
*************************
/etc/pf.conf
#Макросы
ext_if = "rl0"
int_if = "rl1"
Me = "10.0.0.2"

table <router> {ext_if int_if }

nat pass on $ext_if inet from $Me -> ($ext_if)

antispoof quick for rl0 inet
antispoof quick for rl1 inet

block return log
block in from no-route
pass quick on lo0

pass in on $int_if inet from $Me to !<router> keep state
pass in inet proto icmp to <router> icmp-type echoreq keep state
pass in on $int_if inet proto tcp from $Me to $int_if port ssh keep state
pass out inet from {$ext_if $int_if } user 0 keep state
*************************
Добавил таблицу <router>, корорая содержит IP адреса нашего роутера (192.168.0.2 и 10.0.0.1). Для того, чтобы правила конкретней выгляд.
Добавил antispoof
Ну и самое главно, пропускать на вход весь трафик с IP 10.0.0.2 на внутренем интерфейсе через роутер.
Есть? Теперь перезагрузим pf следующей командой:
pfctl -Fr && pfctl -f /etc/pf.conf
pfctl -Fr - Flush the filter rules (Очищаем правила фаера)
pfctl -f /etc/pf.conf - Load the rules contained in file (Загружаем правила с файла)

PS: Перед перезагрузкой фаера рекомендую запускать pfctl -nf /etc/pf.conf - Do not actually load rules, just parse them (Не загружатет правила, а только проверяет на наличие ошибок)
Ну и pfctl -sr Show the currently loaded filter rules (Показывает текущие правила фильтра)
pfctl -sn Show the currently loaded NAT rules (Показывает текущие правила ната)
И для диагностики:
ping, tcpdump
tcpdump -n -e -ttt -i pflog0 - на интерфейс pflog0 сбрасываются логи правил, которые были отмечены log.
У нас это одно правило block return log, т.е. все, что запрещено будет сыпаться в лог (/var/log/pflog). Для просмотра лога тоже нужо юзать tcpdump с ключиком "-r"
tcpdmp -r /var/log/pflog
--------------------------------------------------
Этот пример можно назвать "настройка роутера за 10-15 минут"

2 lo0
спасибо большое, пригодится. но есть несколько НО.

НО первое:
У меня не реалтек карты =)))

НО второе:
Инет не из локалки корбины, а с VPN. Как раз локалку то я уже настроил и затык был только в сетевой карте, как только поставил новую - все встало как надо. Сейчас затык именно в VPN.

Part II, VPN
pkg_add -r mpd4-4.0b4 - скачает сам с инета и утсановит. Или pkg_add /cdrom/../../packages/All/mpd4-xxx-x-x.tbz - установка с CD-ROM'a. Таким же макаром можно и с винта установить.
Кста, mpd4-4.0b4 Depends on:
Dependency: expat-2.0.0_1
Dependency: libpdel-0.5.3_1
Установили

Настройка mpd:
Скипт для запуска mpd лежит там, где и все скрипты
/usr/local/etc/rc.d/ с неймом mpd4.sh.simple
Переименуем его в mpd4.sh (cd /usr/local/etc/rc.d/ && mv mpd4.sh.simple mpd4.sh). Скрипт для запуска готов
Конфиги. Все конфиги лежат здесь /usr/local/etc/, а конфиг mpd - в /usr/local/etc/mpd4/ соответственно, идем туда и переименовываем все, а их 3, файла формата mpd.xxxx.simple в mpd.xxxx. Если файлы уже в таком формате, то тогда делаем копию cp mpd.xxxx mpd.xxxx-default (Всегда так делаю, т.к. в этих файлах храняться дефаултные настройки и примеры), а Вам не обязательно.

О себе:
uname -a
FreeBSD freebsd.datasvit.net 6.1-STABLE FreeBSD 6.1-STABLE #14: Tue Jun 27 21:37:59 EEST 2006 root@freebsd.datasvit.net:/usr/obj/usr/src/sys/HOME i386
pkg_info | grep mpd
mpd4-4.0b4 Multi-link PPP daemon based on netgraph(4) [development ver
Т.к. мой пров не раздает инет по VPN, поднял сервак на линуксе. (Пробовал подключиться, в качестве клиента юзал Linux и FreeBSD, оба клиента заработали на ура )
Сразу хочу огорчить, но 99%, что у Вас не получ. установить соединение, т.к. много параметров не известны. Мой mpd4.conf:
*************************************
#VPN
default:
load pptp0

pptp0:
new -i ng0 pptp0 pptp0
set iface disable on-demand
set iface idle 0
set iface route default
set bundle disable multilink
set auth authname "mak"
set auth password "********"
set link yes acfcomp protocomp
set link disable chap
set link accept chap
set link enable no-orig-auth
set link keep-alive 10 75
set ipcp yes vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
open
*************************************
Внимание! default: и pptp0: нужно писать сразу, без пробелов, остальные опции "через" Tab. Иначе не будет работать, типа синтаксис левый
У mpd.links синтаксис такой же pptp0: - без пробела, а остальное "через" Tab
*************************************
pptp0:
set link type pptp
set pptp self MY_IP_ADDR
set pptp peer ISP_IP_VPN_SERVER_ADDR
set pptp enable originate incoming outcall
*************************************
MY_IP_ADDR - здесь будет наш IP 192.168.0.2, который выдал нам ISP, ISP_IP_VPN_SERVER_ADDR - будет IP VPN-сервера нашего ISP
mpd.secret - у меня пустой.
Если есть возможность - позвоните в support и уточните метод авторизации на VPN сервере, т.е. нужно получить как можно больше инфы. Если support или админ отморозились, как обычно, то будем спрашивать у сервера.
Правим vi /etc/syslog.conf
Дописываем в конец строчку:
!mpd
*.* <Tab> ... <Tab> /var/log/mpd.log
Save & Exit
touch /var/log/mpd.log - создаем пустой файлик mpd.log и заставим перечитать настройки syslog'a
/etc/rc.d/syslogd reload
Если в pf'е нет строчки
pass out inet from {$ext_if $int_if } user 0 keep state
т.е. запрет на исход, то можно, временно, отключить pf командой pfctl -d
Готово, можно пробовать
tail -f /var/log/mpd.log - для просмотра логов в on-line
Открываем вторую консоль/новую ssh сессию и стартуем mpd
/usr/local/etc/rc.d/mpd4.sh start
И сново идем к tail'у, у него для нас очень много инфы

PS: У мя кернел HOME, но в нем включена опция для тоннеля (VPN). По умаолчанию в GENERIC она тоже включена.
Если не удалось установить соединение - лог можно сюда бросать, если да, то нужно поправить pf.conf под VPN

Какая карта, чип?

да карты то я настроил без проблем. Одна 3ком гигабитная, вторая длинк гигобитная. 3ком опозналась сразу, длинк опозналась после установки дров. Их сконфигурил, все путем. с впн проблемы и пока нет времени разобраться. пару дней на другие дела, потом продолжу =)

на форуме корбины видел доку по 'freebsd + vpn corbina'