URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 50474
[ Назад ]
Исходное сообщение
"Проблемы с маршрутиризацией"
Отправлено KSN , 13-Ноя-04 16:20 
Провел к себе ADSL и пытаюсь теперь перенастроить BSD.

Провайдер дал "коробочку" Corecess 3115 version 1.0.5 STD у
которой телефонный jack и RJ45. У Corecess внешний-IP (к провайдеру)192.168.241.107, а внутренний(в мою сторону) 10.0.0.2
Route table "коробочки" такой:
Destination Netmask Gateway Interface
0.0.0.0 0.0.0.0 192.168.241.107 ppp1
10.0.0.0 255.255.255.0 10.0.0.2 br0
127.0.0.1 255.0.0.0 127.0.0.1 lo0
192.168.241.107 255.255.255.255 192.168.241.107 ppp1

Во FreeBSD установлены две сетевухи.
rc.conf
--------
named_enabled="YES"
defaultrouter="10.0.0.2"
ifconfig_vr0="inet 10.0.0.3 netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.223.1 netmask 255.255.255.0"
gateway_enable="YES"
natd_enabled="YES"
natd_interface="vr0"
natd_flags=""

netstat -rn, говорит следующее (вкратце)
Dest GW Flags Refs If
default 10.0.0.2 UGS 0 vr0
10/24 link#1 UC 0 vr0
10.0.0.2 00:90:a3:13:7e:8a UHLW 1 vr0
127.0.0.1 127.0.0.1 UH 0 lo0
192.168.223 link#2 UC 0 rl0
192.168.223.1 00:10:b5:d8:d6:92 UHLW 0 lo0
192.168.223.75 00:48:54:6e:e5:c0 UHLW 0 rl0
192.168.223.225 ff:ff:ff:ff:ff:ff UHLWb 0 rl0

ПРОБЛЕМА:
С машин внутренней сети (192.168.223.xxx) невозможно попасть в Инет. C bsd есть доступ и внутрь и наружу!

ПОЧЕМУ?

Содержание
Сообщения в этом обсуждении
"Проблемы с маршрутиризацией"
Отправлено Andrey , 13-Ноя-04 18:09 
>Провел к себе ADSL и пытаюсь теперь перенастроить BSD.
>
>Провайдер дал "коробочку" Corecess 3115 version 1.0.5 STD у
>которой телефонный jack и RJ45. У Corecess внешний-IP (к провайдеру)192.168.241.107, а внутренний(в
>мою сторону) 10.0.0.2
>Route table "коробочки" такой:
>Destination Netmask Gateway Interface
>0.0.0.0 0.0.0.0 192.168.241.107 ppp1
>10.0.0.0 255.255.255.0 10.0.0.2 br0
>127.0.0.1 255.0.0.0 127.0.0.1 lo0
>192.168.241.107 255.255.255.255 192.168.241.107 ppp1
>
>Во FreeBSD установлены две сетевухи.
>rc.conf
>--------
>named_enabled="YES"
>defaultrouter="10.0.0.2"
>ifconfig_vr0="inet 10.0.0.3 netmask 255.255.255.0"
>ifconfig_rl0="inet 192.168.223.1 netmask 255.255.255.0"
>gateway_enable="YES"
>natd_enabled="YES"
>natd_interface="vr0"
>natd_flags=""

Думаю, что вот сюда стоит добавить:

firewall_enable="YES"
firewall_type="OPEN"

>
>netstat -rn, говорит следующее (вкратце)
>Dest GW Flags Refs If
>default 10.0.0.2 UGS 0 vr0
>10/24 link#1 UC 0 vr0
>10.0.0.2 00:90:a3:13:7e:8a UHLW 1 vr0
>127.0.0.1 127.0.0.1 UH 0 lo0
>192.168.223 link#2 UC 0 rl0
>192.168.223.1 00:10:b5:d8:d6:92 UHLW 0 lo0
>192.168.223.75 00:48:54:6e:e5:c0 UHLW 0 rl0
>192.168.223.225 ff:ff:ff:ff:ff:ff UHLWb 0 rl0
>
>ПРОБЛЕМА:
>С машин внутренней сети (192.168.223.xxx) невозможно попасть в Инет. C bsd есть
>доступ и внутрь и наружу!
>
>ПОЧЕМУ?


"Проблемы с маршрутиризацией"
Отправлено KSN , 13-Ноя-04 18:14 
>Думаю, что вот сюда стоит добавить:
>
>firewall_enable="YES"
>firewall_type="OPEN"

Такое ощущение что после включения файервалла ещё и BIND перестал работать :(

Вот ситуация на данный момент после изменения rc.conf и перезагркзки

Итак, рабочая станция KSNATHOME (192.168.223.75) [Win XP Prof]
ping bsd - работает
ping 192.168.223.1 - работает
ping rambler.ru - При проверке связи не удалось обнаружить узел
ping 81.19.66.131 - Превышен интервал ожидания запроса
(отправлено = 4, получено = 0, 100% потерь)

Сервер(он же гейт) bsd (192.168.223.1) [5.2 RELEASE]
ping ksnathome - 76 transmited, 0 received, 100% LOSS
ping 192.168.223.75 - аналогично
ping rambler.ru - cannot resolve rambler.ru: Host name lookup failure
ping 81.19.66.131 - ping: sendto: permission denied

"Проблемы с маршрутиризацией"
Отправлено Andrey , 13-Ноя-04 19:13 
>>Думаю, что вот сюда стоит добавить:
>>
>>firewall_enable="YES"
>>firewall_type="OPEN"
>
>Такое ощущение что после включения файервалла ещё и BIND перестал работать :(
>
>
>Вот ситуация на данный момент после изменения rc.conf и перезагркзки
>
>Итак, рабочая станция KSNATHOME (192.168.223.75) [Win XP Prof]
>ping bsd - работает
>ping 192.168.223.1 - работает
>ping rambler.ru - При проверке связи не удалось обнаружить узел
>ping 81.19.66.131 - Превышен интервал ожидания запроса
>(отправлено = 4, получено = 0, 100% потерь)
>
>Сервер(он же гейт) bsd (192.168.223.1) [5.2 RELEASE]
>ping ksnathome - 76 transmited, 0 received, 100% LOSS
>ping 192.168.223.75 - аналогично
>ping rambler.ru - cannot resolve rambler.ru: Host name lookup failure
>ping 81.19.66.131 - ping: sendto: permission denied

Хммм, а вы случайной не правили /etc/rc.firewall, или в /etc/rc.conf нету параметра firewall_script указывающего на другой файл?

Независимо от ответов на вопросы, на консоли маршрутизатора нужно сделать следующее:

/sbin/ipfw add 50 divert natd ip from any to any via vr0
/sbin/ipfw add 100 allow ip from any to any via lo0
/sbin/ipfw add 200 deny ip from any to 127.0.0.0/8
/sbin/ipfw add 200 deny ip from 127.0.0.0/8 to any
/sbin/ipfw add 65000 allow ip from any to any

Если natd запускается при запуске, то должно заработать.

"Проблемы с маршрутиризацией"
Отправлено KSN , 13-Ноя-04 20:02 
>Хммм, а вы случайной не правили /etc/rc.firewall, или в /etc/rc.conf нету параметра
>firewall_script указывающего на другой файл?

Нет.

>Независимо от ответов на вопросы, на консоли маршрутизатора нужно сделать следующее:

Такой же список правил даёт после загрузки ipfw show
Единственно у меня ещё стоит правило 65535 deny ip from any to any

>Если natd запускается при запуске, то должно заработать.

natd: Unable to create divert socket.: Protocol not supported.

И что-бы это значило?

"Проблемы с маршрутиризацией"
Отправлено KSN , 13-Ноя-04 20:33 
>>Если natd запускается при запуске, то должно заработать.
>
>natd: Unable to create divert socket.: Protocol not supported.
>
>И что-бы это значило?

Я тормоз! Прошу прощения.
Надо просто пересобрать ядро.