URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 13317
[ Назад ]

Исходное сообщение
"Прозрачный шлюз"
Отправлено B00StER , 13-Фев-02 20:02

Есть сервер FreeBSD с двумя сетевыми интерфейсами. Один с глобальным ip (смотрит наружу), второй - локальный (10.0.0.30)
Можно ли сделать так, чтобы пользователи из локальной сети имели полный доступ в инет (icq, почта, quake) без использования Socks? Если да, то каким образом?

Содержание

RE: Прозрачный шлюз,Op, 20:24 , 13-Фев-02
RE: Прозрачный шлюз,rip, 17:32 , 14-Фев-02
- RE: Прозрачный шлюз,tomikle, 17:59 , 14-Фев-02
  - RE: Прозрачный шлюз,B00StER, 10:11 , 16-Фев-02
    - RE: Прозрачный шлюз,umka, 14:31 , 17-Фев-02
      - RE: Прозрачный шлюз,dvyacheslav, 15:20 , 17-Фев-02
        
        RE: Прозрачный шлюз,B00StER, 08:58 , 18-Фев-02
      - RE: Прозрачный шлюз,B00StER, 08:43 , 18-Фев-02

Сообщения в этом обсуждении

"RE: Прозрачный шлюз"
Отправлено Op , 13-Фев-02 20:24

>Есть сервер FreeBSD с двумя сетевыми
>интерфейсами. Один с глобальным ip
>(смотрит наружу), второй - локальный
>(10.0.0.30)
>Можно ли сделать так, чтобы пользователи
>из локальной сети имели полный
>доступ в инет (icq, почта,
>quake) без использования Socks? Если
>да, то каким образом?
man natd
man ipfw
man firewall
http://www.investbank.com.ua/unix/natd/natd.html

"RE: Прозрачный шлюз"
Отправлено rip , 14-Фев-02 17:32

>Есть сервер FreeBSD с двумя сетевыми
>интерфейсами. Один с глобальным ip
read man natd
man ipfw

"RE: Прозрачный шлюз"
Отправлено tomikle , 14-Фев-02 17:59

непомню точно , но вроде ...
добавь в MYKERNEL и пересобери ядро
...
options         IPFIREWALL
options         IPDIVERT
options         IPFILTER_DEFAULT_BLOCK
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPSTEALTH
options         TCP_DROP_SYNFIN
options         ICMP_BANDLIM
...
и поддержка НАТ в rc.firewall
# Network Address Translation.  This rule is placed here deliberately
${fwcmd} add divert 8668 ip from 192.168.17.0/255.255.255.0 to any via xl0
${fwcmd} add divert 8668 ip from any to x.x.x.x via xl0

<rc.conf>
...
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="xl0"
natd_flags=""
...

"RE: Прозрачный шлюз"
Отправлено B00StER , 16-Фев-02 10:11

><rc.conf>
>...
>gateway_enable="YES"
>firewall_enable="YES"
>firewall_type="OPEN"
>firewall_script="/etc/rc.firewall"
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags=""
>...

В общем, все работает. Спасибо! Одно сомнение - насчет firewall_type="OPEN". Чем это обусловлено? И как отразится на защищенности сервера?

"RE: Прозрачный шлюз"
Отправлено umka , 17-Фев-02 14:31

а ты читал вообще, что это такое??..... поройся в rc.firewall

"RE: Прозрачный шлюз"
Отправлено dvyacheslav , 17-Фев-02 15:20

да неважно что у тебя прописано толи open толи еще что-нибудь
самое главное чтобы правила были прописаны правильно
у меня вообще не используеться rc.firewall а написаны свои правила в отдельном файле, а в rc.conf прописано
Firewall_enable="yes"
firewall_script="мойфайл"

"RE: Прозрачный шлюз"
Отправлено B00StER , 18-Фев-02 08:58

>самое главное чтобы правила были прописаны
>правильно
>у меня вообще не используеться rc.firewall
у меня они тоже правильно прописаны. Меня интересует, действительно ли NAT требует открытого файрволла, и, если да, то почему.

"RE: Прозрачный шлюз"
Отправлено B00StER , 18-Фев-02 08:43

>а ты читал вообще, что это
>такое??..... поройся в rc.firewall

конечно, читал. И rc.firewall исходном рылся. 65000 pass all from any to any не кажется оптимальным решением. Потому и вопрос задал, собственно...