Провел к себе ADSL и пытаюсь теперь перенастроить BSD.Провайдер дал "коробочку" Corecess 3115 version 1.0.5 STD у
которой телефонный jack и RJ45. У Corecess внешний-IP (к провайдеру)192.168.241.107, а внутренний(в мою сторону) 10.0.0.2
Route table "коробочки" такой:
Destination Netmask Gateway Interface
0.0.0.0 0.0.0.0 192.168.241.107 ppp1
10.0.0.0 255.255.255.0 10.0.0.2 br0
127.0.0.1 255.0.0.0 127.0.0.1 lo0
192.168.241.107 255.255.255.255 192.168.241.107 ppp1Во FreeBSD установлены две сетевухи.
rc.conf
--------
named_enabled="YES"
defaultrouter="10.0.0.2"
ifconfig_vr0="inet 10.0.0.3 netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.223.1 netmask 255.255.255.0"
gateway_enable="YES"
natd_enabled="YES"
natd_interface="vr0"
natd_flags=""netstat -rn, говорит следующее (вкратце)
Dest GW Flags Refs If
default 10.0.0.2 UGS 0 vr0
10/24 link#1 UC 0 vr0
10.0.0.2 00:90:a3:13:7e:8a UHLW 1 vr0
127.0.0.1 127.0.0.1 UH 0 lo0
192.168.223 link#2 UC 0 rl0
192.168.223.1 00:10:b5:d8:d6:92 UHLW 0 lo0
192.168.223.75 00:48:54:6e:e5:c0 UHLW 0 rl0
192.168.223.225 ff:ff:ff:ff:ff:ff UHLWb 0 rl0ПРОБЛЕМА:
С машин внутренней сети (192.168.223.xxx) невозможно попасть в Инет. C bsd есть доступ и внутрь и наружу!ПОЧЕМУ?
>Провел к себе ADSL и пытаюсь теперь перенастроить BSD.
>
>Провайдер дал "коробочку" Corecess 3115 version 1.0.5 STD у
>которой телефонный jack и RJ45. У Corecess внешний-IP (к провайдеру)192.168.241.107, а внутренний(в
>мою сторону) 10.0.0.2
>Route table "коробочки" такой:
>Destination Netmask Gateway Interface
>0.0.0.0 0.0.0.0 192.168.241.107 ppp1
>10.0.0.0 255.255.255.0 10.0.0.2 br0
>127.0.0.1 255.0.0.0 127.0.0.1 lo0
>192.168.241.107 255.255.255.255 192.168.241.107 ppp1
>
>Во FreeBSD установлены две сетевухи.
>rc.conf
>--------
>named_enabled="YES"
>defaultrouter="10.0.0.2"
>ifconfig_vr0="inet 10.0.0.3 netmask 255.255.255.0"
>ifconfig_rl0="inet 192.168.223.1 netmask 255.255.255.0"
>gateway_enable="YES"
>natd_enabled="YES"
>natd_interface="vr0"
>natd_flags=""Думаю, что вот сюда стоит добавить:
firewall_enable="YES"
firewall_type="OPEN">
>netstat -rn, говорит следующее (вкратце)
>Dest GW Flags Refs If
>default 10.0.0.2 UGS 0 vr0
>10/24 link#1 UC 0 vr0
>10.0.0.2 00:90:a3:13:7e:8a UHLW 1 vr0
>127.0.0.1 127.0.0.1 UH 0 lo0
>192.168.223 link#2 UC 0 rl0
>192.168.223.1 00:10:b5:d8:d6:92 UHLW 0 lo0
>192.168.223.75 00:48:54:6e:e5:c0 UHLW 0 rl0
>192.168.223.225 ff:ff:ff:ff:ff:ff UHLWb 0 rl0
>
>ПРОБЛЕМА:
>С машин внутренней сети (192.168.223.xxx) невозможно попасть в Инет. C bsd есть
>доступ и внутрь и наружу!
>
>ПОЧЕМУ?
>Думаю, что вот сюда стоит добавить:
>
>firewall_enable="YES"
>firewall_type="OPEN"Такое ощущение что после включения файервалла ещё и BIND перестал работать :(
Вот ситуация на данный момент после изменения rc.conf и перезагркзки
Итак, рабочая станция KSNATHOME (192.168.223.75) [Win XP Prof]
ping bsd - работает
ping 192.168.223.1 - работает
ping rambler.ru - При проверке связи не удалось обнаружить узел
ping 81.19.66.131 - Превышен интервал ожидания запроса
(отправлено = 4, получено = 0, 100% потерь)Сервер(он же гейт) bsd (192.168.223.1) [5.2 RELEASE]
ping ksnathome - 76 transmited, 0 received, 100% LOSS
ping 192.168.223.75 - аналогично
ping rambler.ru - cannot resolve rambler.ru: Host name lookup failure
ping 81.19.66.131 - ping: sendto: permission denied
>>Думаю, что вот сюда стоит добавить:
>>
>>firewall_enable="YES"
>>firewall_type="OPEN"
>
>Такое ощущение что после включения файервалла ещё и BIND перестал работать :(
>
>
>Вот ситуация на данный момент после изменения rc.conf и перезагркзки
>
>Итак, рабочая станция KSNATHOME (192.168.223.75) [Win XP Prof]
>ping bsd - работает
>ping 192.168.223.1 - работает
>ping rambler.ru - При проверке связи не удалось обнаружить узел
>ping 81.19.66.131 - Превышен интервал ожидания запроса
>(отправлено = 4, получено = 0, 100% потерь)
>
>Сервер(он же гейт) bsd (192.168.223.1) [5.2 RELEASE]
>ping ksnathome - 76 transmited, 0 received, 100% LOSS
>ping 192.168.223.75 - аналогично
>ping rambler.ru - cannot resolve rambler.ru: Host name lookup failure
>ping 81.19.66.131 - ping: sendto: permission deniedХммм, а вы случайной не правили /etc/rc.firewall, или в /etc/rc.conf нету параметра firewall_script указывающего на другой файл?
Независимо от ответов на вопросы, на консоли маршрутизатора нужно сделать следующее:
/sbin/ipfw add 50 divert natd ip from any to any via vr0
/sbin/ipfw add 100 allow ip from any to any via lo0
/sbin/ipfw add 200 deny ip from any to 127.0.0.0/8
/sbin/ipfw add 200 deny ip from 127.0.0.0/8 to any
/sbin/ipfw add 65000 allow ip from any to anyЕсли natd запускается при запуске, то должно заработать.
>Хммм, а вы случайной не правили /etc/rc.firewall, или в /etc/rc.conf нету параметра
>firewall_script указывающего на другой файл?Нет.
>Независимо от ответов на вопросы, на консоли маршрутизатора нужно сделать следующее:
Такой же список правил даёт после загрузки ipfw show
Единственно у меня ещё стоит правило 65535 deny ip from any to any>Если natd запускается при запуске, то должно заработать.
natd: Unable to create divert socket.: Protocol not supported.
И что-бы это значило?
>>Если natd запускается при запуске, то должно заработать.
>
>natd: Unable to create divert socket.: Protocol not supported.
>
>И что-бы это значило?Я тормоз! Прошу прощения.
Надо просто пересобрать ядро.