URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24688
[ Назад ]

Исходное сообщение
"Все тот же gateway на FreeBSD"
Отправлено RomaTr , 04-Янв-03 10:59

Здравствуйте и с наступившим вас.
Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой области - не соображу чего я еще не доделал.
Это в ядре:
==============================================================
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         DUMMYNET
options         IPDIVERT
options         HZ=1000
==============================================================
Это в rc.conf
==============================================================
tcp_extensions="NO"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
firewall_enable="YES"
firewall_type="/usr/local/etc/firewall/firewall.conf"
defaultrouter="192.168.2.254"
named_enable="YES"
natd_enable="YES"
natd_interface="fxp0"
gateway_enable="YES"
hostname="romatr.aviti.lan"
ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
==============================================================
Это firewall.conf
==============================================================
add 1000 divert natd ip from 10.0.0.10 to any via fxp0
add 10000 divert natd ip from any to 192.168.2.10
add 65000 allow all from any to any
==============================================================
Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10 а дальше ничего не видно :(
Помогите плз. Спасибо

Содержание

RE: Все тот же gateway на FreeBSD,LinaS, 11:11 , 04-Янв-03
- RE: Все тот же gateway на FreeBSD,AlexBSD, 11:32 , 04-Янв-03
  - RE: Все тот же gateway на FreeBSD,LinaS, 11:48 , 04-Янв-03
- RE: Все тот же gateway на FreeBSD,RomaTr, 11:35 , 04-Янв-03
  - RE: Все тот же gateway на FreeBSD,LinaS, 11:59 , 04-Янв-03
    - RE: Все тот же gateway на FreeBSD,romatr, 12:35 , 04-Янв-03
      - RE: Все тот же gateway на FreeBSD,LinaS, 13:01 , 04-Янв-03
        
        RE: Все тот же gateway на FreeBSD,RomaTr, 13:52 , 04-Янв-03
        
        RE: Все тот же gateway на FreeBSD,LinaS, 14:03 , 04-Янв-03
        RE: Все тот же gateway на FreeBSD,RomaTr, 14:06 , 04-Янв-03
        
        RE: Все тот же gateway на FreeBSD,LinaS, 14:23 , 04-Янв-03
        
        RE: Все тот же gateway на FreeBSD,RomaTr, 15:49 , 04-Янв-03

Сообщения в этом обсуждении

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 11:11

>Здравствуйте и с наступившим вас.
>
>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>области - не соображу чего я еще не доделал.
>
>Это в ядре:
>==============================================================
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_VERBOSE_LIMIT=10
>
>options         DUMMYNET
>options         IPDIVERT
>options         HZ=1000
>==============================================================
>
>Это в rc.conf
>==============================================================
>tcp_extensions="NO"
>tcp_drop_synfin="YES"
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
>firewall_enable="YES"
>firewall_type="/usr/local/etc/firewall/firewall.conf"
>defaultrouter="192.168.2.254"
>
>named_enable="YES"
>
>natd_enable="YES"
>natd_interface="fxp0"
>
>gateway_enable="YES"
>
>hostname="romatr.aviti.lan"
>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>==============================================================
>
>Это firewall.conf
>==============================================================
>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>
>add 10000 divert natd ip from any to 192.168.2.10
>
>add 65000 allow all from any to any
>==============================================================
>
>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>а дальше ничего не видно :(
>
>Помогите плз. Спасибо
А зачем тебе тут НАТ?
обе сетки частные, и так все ходить должно
?

"RE: Все тот же gateway на FreeBSD"
Отправлено AlexBSD , 04-Янв-03 11:32

>>Здравствуйте и с наступившим вас.
>>
>>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>>области - не соображу чего я еще не доделал.
>>
>>Это в ядре:
>>==============================================================
>>options         IPFIREWALL
>>options         IPFIREWALL_VERBOSE
>>options         IPFIREWALL_VERBOSE_LIMIT=10
>>
>>options         DUMMYNET
>>options         IPDIVERT
>>options         HZ=1000
>>==============================================================
>>
>>Это в rc.conf
>>==============================================================
>>tcp_extensions="NO"
>>tcp_drop_synfin="YES"
>>icmp_drop_redirect="YES"
>>icmp_log_redirect="YES"
>>firewall_enable="YES"
>>firewall_type="/usr/local/etc/firewall/firewall.conf"
>>defaultrouter="192.168.2.254"
>>
>>named_enable="YES"
>>
>>natd_enable="YES"
>>natd_interface="fxp0"
>>
>>gateway_enable="YES"
>>
>>hostname="romatr.aviti.lan"
>>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>>==============================================================
>>
>>Это firewall.conf
>>==============================================================
>>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>>
>>add 10000 divert natd ip from any to 192.168.2.10
>>
>>add 65000 allow all from any to any
>>==============================================================
>>
>>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>>а дальше ничего не видно :(
>>
>>Помогите плз. Спасибо
>
>А зачем тебе тут НАТ?
>обе сетки частные, и так все ходить должно
>
>?
тоесть если шлюз имеет два ипа частных сеток то натд поднимать не нужно???
у меня поднят...вроде работает...

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 11:48

>>>Здравствуйте и с наступившим вас.
>>>
>>>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>>>области - не соображу чего я еще не доделал.
>>>
>>>Это в ядре:
>>>==============================================================
>>>options         IPFIREWALL
>>>options         IPFIREWALL_VERBOSE
>>>options         IPFIREWALL_VERBOSE_LIMIT=10
>>>
>>>options         DUMMYNET
>>>options         IPDIVERT
>>>options         HZ=1000
>>>==============================================================
>>>
>>>Это в rc.conf
>>>==============================================================
>>>tcp_extensions="NO"
>>>tcp_drop_synfin="YES"
>>>icmp_drop_redirect="YES"
>>>icmp_log_redirect="YES"
>>>firewall_enable="YES"
>>>firewall_type="/usr/local/etc/firewall/firewall.conf"
>>>defaultrouter="192.168.2.254"
>>>
>>>named_enable="YES"
>>>
>>>natd_enable="YES"
>>>natd_interface="fxp0"
>>>
>>>gateway_enable="YES"
>>>
>>>hostname="romatr.aviti.lan"
>>>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>>>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>>>==============================================================
>>>
>>>Это firewall.conf
>>>==============================================================
>>>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>>>
>>>add 10000 divert natd ip from any to 192.168.2.10
>>>
>>>add 65000 allow all from any to any
>>>==============================================================
>>>
>>>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>>>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>>>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>>>а дальше ничего не видно :(
>>>
>>>Помогите плз. Спасибо
>>
>>А зачем тебе тут НАТ?
>>обе сетки частные, и так все ходить должно
>>
>>?
>
>тоесть если шлюз имеет два ипа частных сеток то натд поднимать не
>нужно???
>у меня поднят...вроде работает...
никто не запрещает поднимать, просто НАТ нужен в общем случае для того, чтобы расшарить инет для локалки, в которой частные адреса...
ну и для других целей конечно тоже, но в первую очередь для этого
а если идет общение между двумя локалками - можно и без него обойтись
:)

"RE: Все тот же gateway на FreeBSD"
Отправлено RomaTr , 04-Янв-03 11:35

>А зачем тебе тут НАТ?
>обе сетки частные, и так все ходить должно
>
>?
Я ж для тренировки просто и его нацепил, и даже ДНС есть :)
Просто есть необходимость потихоньку в это вникать
Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но пингом не достает дальше 192.168.2.10 (внешнего интерфейса).

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 11:59

>>А зачем тебе тут НАТ?
>>обе сетки частные, и так все ходить должно
>>
>>?
>
>Я ж для тренировки просто и его нацепил, и даже ДНС есть
>:)
>Просто есть необходимость потихоньку в это вникать
>
>Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ
>к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но
>пингом не достает дальше 192.168.2.10 (внешнего интерфейса).
так а какая конечная цель?
чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника 192.168.2.10?
тогда например
ipfw add divert natd all from any to any via fxp0
ipfw add allow ip from any to any
не поможет?

"RE: Все тот же gateway на FreeBSD"
Отправлено romatr , 04-Янв-03 12:35

>так а какая конечная цель?
>чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника
>192.168.2.10?
>
>тогда например
>
>ipfw add divert natd all from any to any via fxp0
>ipfw add allow ip from any to any
>
>не поможет?
В принципе да, но и хотелось бы в инет. Но из 10 сетки не видны машины в 192 сети (тока до внешнего интерфейса 192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 13:01

>>так а какая конечная цель?
>>чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника
>>192.168.2.10?
>>
>>тогда например
>>
>>ipfw add divert natd all from any to any via fxp0
>>ipfw add allow ip from any to any
>>
>>не поможет?
>
>В принципе да, но и хотелось бы в инет. Но из 10
>сетки не видны машины в 192 сети (тока до внешнего интерфейса
>192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10
а если с машины в 10 сетке запусить пинг например
ping 192.168.2.254
и на фре посмотреть:
tcpdump -i fxp0 -n icmp
что показывает?

"RE: Все тот же gateway на FreeBSD"
Отправлено RomaTr , 04-Янв-03 13:52

>а если с машины в 10 сетке запусить пинг например
>ping 192.168.2.254
>
>и на фре посмотреть:
>tcpdump -i fxp0 -n icmp
>
>что показывает?
12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
Вот такое ....

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 14:03

>>а если с машины в 10 сетке запусить пинг например
>>ping 192.168.2.254
>>
>>и на фре посмотреть:
>>tcpdump -i fxp0 -n icmp
>>
>>что показывает?
>
>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>
>Вот такое ....
это ты пингуешь с машины в 10 сети?
и при этом до 10 сети ответ не доходит?
так какое правило с divert у тебя в итоге прописано?
ipfw show|grep divert
тот же tcpdump но на внутреннем интерфейсе при тех же условиях что показывает?

"RE: Все тот же gateway на FreeBSD"
Отправлено RomaTr , 04-Янв-03 14:06

>>а если с машины в 10 сетке запусить пинг например
>>ping 192.168.2.254
>>
>>и на фре посмотреть:
>>tcpdump -i fxp0 -n icmp
>>
>>что показывает?
>
>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>
>Вот такое ....
прописал
ipfw add divert natd all from any to any via fxp0
пинг пошел
раньше было
ipfw add divert natd ip from 10.0.0.10 to any via fxp0
(сорри еще не во всем шарю, icmp получается к ip не относится :( )
А чтоб не для any а ограничить тока для 10.0.0.10 ????
ipfw add divert natd all from 10.0.0.10 to any via fxp0
ipfw add divert natd all from any to 10.0.0.10 via fxp0 ???????
Подскажите ссылочку где про это написано подробно, а то не в хэндбуке не в своей книге с базара поюробностей я не нашел.
Спасибо!!!!

"RE: Все тот же gateway на FreeBSD"
Отправлено LinaS , 04-Янв-03 14:23

>>>а если с машины в 10 сетке запусить пинг например
>>>ping 192.168.2.254
>>>
>>>и на фре посмотреть:
>>>tcpdump -i fxp0 -n icmp
>>>
>>>что показывает?
>>
>>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>
>>Вот такое ....
>
>прописал
>ipfw add divert natd all from any to any via fxp0
>
>пинг пошел
>
>раньше было
>ipfw add divert natd ip from 10.0.0.10 to any via fxp0
>
>(сорри еще не во всем шарю, icmp получается к ip не относится
>:( )
>
>А чтоб не для any а ограничить тока для 10.0.0.10 ????
>
>ipfw add divert natd all from 10.0.0.10 to any via fxp0
>ipfw add divert natd all from any to 10.0.0.10 via fxp0 ???????
>
>
>Подскажите ссылочку где про это написано подробно, а то не в хэндбуке
>не в своей книге с базара поюробностей я не нашел.
>
>Спасибо!!!!
icmp к ip как раз относится :)
all и ip - синонимы здесь
а трабла у тебя была в том, что ты дивертил пакеты ОТ 10-й сетки, а те, которые обратно шли?
попробуй например так
ipfw add divert natd ip from 10.0.0.10 to any out via fxp0
ipfw add divert natd ip from any to any in via fxp0
но это имеет смысл, когда на внешнем интерфейсе реальный ИП
а так - все равно пройдет через ipfw (просто не будет попадать на divert)
я кстати не уверена что это будет работать (напиши результат плз, если будешь пробовать)
еще вариант:
ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface
ipfw add 200 deny ip from any to any via $internal_iface
ipfw add 1000 divert natd ip from any to any via fxp0
тут пройдет только хост 10.0.0.10 и попадет в итоге на divert
остальное не пройдет еще на внутреннем интерфейсе по правилу 200
ну или как то так (тестить некогда)

"RE: Все тот же gateway на FreeBSD"
Отправлено RomaTr , 04-Янв-03 15:49

>icmp к ip как раз относится :)
>all и ip - синонимы здесь
>а трабла у тебя была в том, что ты дивертил пакеты ОТ
>10-й сетки, а те, которые обратно шли?
>
>попробуй например так
>ipfw add divert natd ip from 10.0.0.10 to any out via fxp0
>
>ipfw add divert natd ip from any to any in via fxp0
>
>
>но это имеет смысл, когда на внешнем интерфейсе реальный ИП
>а так - все равно пройдет через ipfw (просто не будет попадать
>на divert)
>я кстати не уверена что это будет работать (напиши результат плз, если
>будешь пробовать)
>
>еще вариант:
>ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface
>
>ipfw add 200 deny ip from any to any via $internal_iface
>ipfw add 1000 divert natd ip from any to any via fxp0
>
>
>тут пройдет только хост 10.0.0.10 и попадет в итоге на divert
>остальное не пройдет еще на внутреннем интерфейсе по правилу 200
>
>ну или как то так (тестить некогда)

Спасибо за помощь Лина!!! Если буду что-то из этого пробовать - сообщу результат. Пока оставил
add divert natd all from any to any via fxp0