Добрый день!
Есть сервер на нем поднят ipnat.
Необходимо настроить на ipfw правила для пользователей который ходят через ipnat. Как я понял правила типа :
allow ip from 10.0.0.1/32 to 200.200.200.200 не прокатят ,
т.е. надо завернуть ipnat на ipfw, а как не могу сообразить.
Может кто сталкивался с такой проблемой?Заранее благодарствую.
>Добрый день!
>Есть сервер на нем поднят ipnat.
>Необходимо настроить на ipfw правила для пользователей который ходят через ipnat. Как
>я понял правила типа :
>allow ip from 10.0.0.1/32 to 200.200.200.200 не прокатят ,
>
>т.е. надо завернуть ipnat на ipfw, а как не могу сообразить.
>Может кто сталкивался с такой проблемой?
>
>Заранее благодарствую.поиск по сайту рулит
Ядро надо собирать options DIVERT
allow divert че-то - так можно сделать
>Ядро надо собирать options DIVERT
СОБРАНО
>allow divert че-то - так можно сделать
такая штука вроде для natd ,
мне нужен ipnat.
схема такая :
rl0______xl0
INT-----| Router |----- EXT
rl0 - 10.0.0.1
xl0(прим.) - 200.200.200.200
____________
ipnat :
map xl0 10.0.0.2/32 -> 200.200.200.201/32
rc.firewall:
allow ip from 10.0.0.2/32 to 194.87.0.50/32 via xl0поидее должно работать, а не работает!
>>Ядро надо собирать options DIVERT
>СОБРАНО
>>allow divert че-то - так можно сделать
>такая штука вроде для natd ,
>мне нужен ipnat.
>схема такая :
> rl0______xl0
>INT-----| Router |----- EXT
>
>
>rl0 - 10.0.0.1
>xl0(прим.) - 200.200.200.200
>____________
>ipnat :
>map xl0 10.0.0.2/32 -> 200.200.200.201/32
>rc.firewall:
>allow ip from 10.0.0.2/32 to 194.87.0.50/32 via xl0
>
>поидее должно работать, а не работает!Всегда считал, что прохождение транзитного пакета через ipnat, ipf, ipfw происходит следующим образом
ipfw -> ipf (in) -> ipnat -> ipf (out) -> ipfw
т.е. ipnat работает раньше чем ipfw => разрешать прхождение, в товем случае, уже надо заначеным пакетам.
Может я ошибаюсь, тогда всезнающий ALL поправит.
>>Ядро надо собирать options DIVERT
>СОБРАНО
>>allow divert че-то - так можно сделать
>такая штука вроде для natd ,
>мне нужен ipnat.
>схема такая :
> rl0______xl0
>INT-----| Router |----- EXT
>
>
>rl0 - 10.0.0.1
>xl0(прим.) - 200.200.200.200
>____________
>ipnat :
>map xl0 10.0.0.2/32 -> 200.200.200.201/32
>rc.firewall:
>allow ip from 10.0.0.2/32 to 194.87.0.50/32 via xl0
>
>поидее должно работать, а не работает!
"По идее" не катитipfw sh
cat твой_ipnat_конфиг
И тогда можно думать
оригинальные конфиги:
------
root@freebsd:/etc#ifconfig -au
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
inet 1.1.1.250 netmask 0xffffff00 broadcast 1.1.1.255
ether 00:02:b3:39:55:fc
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
xl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
inet 10.96.40.10 netmask 0xfffffc00 broadcast 10.96.43.255
ether 00:60:97:3a:22:3a
media: Ethernet 10baseT/UTP (10baseT/UTP <half-duplex>)
-------------------------------
fxp0 - внутрен.
xl0 - внешняя
-------------------------------
ipnat.conf:
map xl0 1.1.1.24/32 -> 10.96.40.31/32
map xl0 1.1.1.25/32 -> 10.96.40.32/32
-------------------------------
rc.firewall:
root@freebsd:/etc#ipfw sh
00100 101 9240 allow ip from 1.1.1.24 to me
00200 123 11384 allow ip from me to 1.1.1.24
00300 45 2160 allow tcp from 1.1.1.24 to 10.96.40.254 3128
00400 0 0 allow tcp from 10.96.40.254 to 10.96.40.31
00500 0 0 allow tcp from 1.1.1.27 to 10.96.40.254 3128
00600 0 0 allow tcp from 10.96.40.254 to 10.96.40.31
00700 347 28341 deny ip from any to any
65535 21037311 2689775853 allow ip from any to any* правило 100,200- для администр.
10.96.40.254,3128 - прокси
-------------------
собственно все!
при таком раскладе нефига не пашет, т.е. на прокси не попадает.
хотя по правилу 300 видно что пакеты туда идут