URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 49816
[ Назад ]

Исходное сообщение
"ipfw + ipnat local"
Отправлено new , 27-Окт-04 07:46

хай вери гуд!
не поучается осилить сабж - как с самого рутера куда-ть ходить?
не пингов, ни пакетов (ipfw s) :|
ipfw pass all from any to any.
fBSD 4.10
в ядре всё есть (дени всё по дефолту)

Содержание

ipfw + ipnat local,A Clockwork Orange, 09:18 , 27-Окт-04
- ipfw + ipnat local,new, 09:35 , 27-Окт-04
  - ipfw + ipnat local,A Clockwork Orange, 09:49 , 27-Окт-04
    - ipfw + ipnat local,new, 10:58 , 27-Окт-04
      - ipfw + ipnat local,A Clockwork Orange, 11:43 , 27-Окт-04
        
        ipfw + ipnat local,new, 12:27 , 27-Окт-04
        
        ipfw + ipnat local,A Clockwork Orange, 14:07 , 27-Окт-04
        
        ipfw + ipnat local,new, 15:47 , 27-Окт-04

Сообщения в этом обсуждении

"ipfw + ipnat local"
Отправлено A Clockwork Orange , 27-Окт-04 09:18

все же все опции из ядра касательно
ipfw
ipfilter

"ipfw + ipnat local"
Отправлено new , 27-Окт-04 09:35

прошу:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPFIREWALL_FORWARD
options    IPDIVERT
options IPSTEALTH
options    TCP_DROP_SYNFIN
options    ICMP_BANDLIM
options    DUMMYNET
options    BRIDGE
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
мост пока не используется на этой тачке.

"ipfw + ipnat local"
Отправлено A Clockwork Orange , 27-Окт-04 09:49

options IPFILTER_DEFAULT_BLOCK
открой ipfilter
pass in all
pass out all

"ipfw + ipnat local"
Отправлено new , 27-Окт-04 10:58

>options IPFILTER_DEFAULT_BLOCK
>
>открой ipfilter
>pass in all
>pass out all
это понятно, но секурити?
никогда так не делал, чтобы ВСЁ было по дефолту расшарено!
есть ли другой способ?
или в принципе если ipfw по умолчанию денит - тогда можно и ипнат разрешать всё.
всё-таки интересен БЛОК-вариант.

"ipfw + ipnat local"
Отправлено A Clockwork Orange , 27-Окт-04 11:43

Стоп стоп
читаем пост

хай вери гуд!
не поучается осилить сабж - как с самого рутера куда-ть ходить?
не пингов, ни пакетов (ipfw s) :|
ipfw pass all from any to any.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ а это типа "секьюрно"?
fBSD 4.10
в ядре всё есть (дени всё по дефолту)
Тогда не верен вопрос.
Что тебе надо?
Спрашиваешь почему не ходят, отвечаем потому, что все закрыто ipfilter по-умолчанию.

"ipfw + ipnat local"
Отправлено new , 27-Окт-04 12:27

ok.
ipfw pass all - для теста.
делаем так:
ipfw pass all from me to any keep-state
ipfw pass all from 1.1.1.1 to me (грубо - его ипнатитть баду)
ипнат:
map em0 1.1.1.1/24 -> 192.168.0.100/32
после компиляции kernel + ipnat = нет даже пингов никуда (ipfw s = 0/0 пакетов\байт)
я в локалке - сам цепляюсь к рутеру напрямую, и через меня людям (своим :) надоть дать инету - через ipnat (не natd = чоб src <-> dst, типа сам).
нат работает ок, но треба именно так.

"ipfw + ipnat local"
Отправлено A Clockwork Orange , 27-Окт-04 14:07

ничего не понятно.
для начала
ipfw
ipfw add allow from any to any
ipfilter
pass in all
pass out all
ipnat
map em0 1.1.1.1/24 -> 192.168.0.100/32
тут смотри сам с адресами.
Если работает там уж начинай фильтровать или ipfilter или ipfw, или двумя сразу.

"ipfw + ipnat local"
Отправлено new , 27-Окт-04 15:47

спа, наверное, я много в GISH (ИГРУШКА) погонял - не выспался.
конечно, надо ещё И IPFILTER по правилам включать ;)))