URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 60894
[ Назад ]

Исходное сообщение
"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 14:05

Прошу сразу прощения за измыленный вопрос, но очень прошу ответить.
FreeBSD 5.4
хочу сделать nat.
в ядре все опции есть.По умолчанию все отбрасывается.natd -поднят,интерфейс внешний ему указан.
первым правилом пишу
ipfw add allow ip from any to any
все из внутренней сетки пингуемся до шлюза и до внешнего интерфейса.теперь нужен сам инет соответсвенно.
пишу вторым
ipfw add divert natd ip from 192.168.11.2(моя машина внутри) to any
но ната после этого не происходит..
ткните меня носом пожалуйста...

Содержание

и опять про ipfw =(,Вадим, 15:07 , 13-Окт-05
- и опять про ipfw =(,Volk, 15:31 , 13-Окт-05
  - и опять про ipfw =(,Wraith, 16:08 , 13-Окт-05
    - и опять про ipfw =(,Volk, 16:14 , 13-Окт-05
      - и опять про  ipfw =(,Volk, 16:28 , 13-Окт-05
        
        и опять про  ipfw =(,Simps, 16:36 , 13-Окт-05
        
        и опять про  ipfw =(,Volk, 16:56 , 13-Окт-05
        
        и опять про  ipfw =(,Simps, 17:13 , 13-Окт-05
        
        и опять про  ipfw =(,Volk, 17:24 , 13-Окт-05
        
        и опять про  ipfw =(,Simps, 18:47 , 13-Окт-05

Сообщения в этом обсуждении

"и опять про ipfw =("
Отправлено Вадим , 13-Окт-05 15:07

>Прошу сразу прощения за измыленный вопрос, но очень прошу ответить.
>FreeBSD 5.4
>хочу сделать nat.
>в ядре все опции есть.По умолчанию все отбрасывается.natd -поднят,интерфейс внешний ему указан.
>
>первым правилом пишу
>
>ipfw add allow ip from any to any
>все из внутренней сетки пингуемся до шлюза и до внешнего интерфейса.теперь нужен
>сам инет соответсвенно.
>пишу вторым
>
>ipfw add divert natd ip from 192.168.11.2(моя машина внутри) to any
>
>но ната после этого не происходит..
>ткните меня носом пожалуйста...
пакет уходит по первому правилу и до второго не доходит

"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 15:31

спасибо за ответ
только я тогда не понял
если я поставлю divert на natd первым правилом - пакет вообще на интерфейс даже не попадет ни на какой,поскольку по умолчанию все отбрасывается.
или перед этим нужно разрешить пускать пакеты через 2 интерфейса например так :
ipfw add allow all from any to any via ste0 (внешний)
ipfw add allow all from any to any via ste1 (внутренний)
а потом уже правило с divert
ipfw add divert natd all from 192.168.11.2(я внутри сети) to any
так что ли?

"и опять про ipfw =("
Отправлено Wraith , 13-Окт-05 16:08

>спасибо за ответ
>
>только я тогда не понял
>если я поставлю divert на natd первым правилом - пакет вообще на
>интерфейс даже не попадет ни на какой,поскольку по умолчанию все отбрасывается.
>
>или перед этим нужно разрешить пускать пакеты через 2 интерфейса например так
>:
>ipfw add allow all from any to any via ste0 (внешний)
>ipfw add allow all from any to any via ste1 (внутренний)
>
>а потом уже правило с divert
>
>ipfw add divert natd all from 192.168.11.2(я внутри сети) to any
>
>так что ли?

Ты читал что делает Divert? кто сказал что он отбрасывает пакеты?

"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 16:14

да я и не сказал, что он отбрасывает.
divert передает пакеты natd
ну не получается у меня.
не пойму никак.все на всех и-фейсах разрешено.
net.inet.ip.forwarding: 1
natd сидит на внешнем интерфейсе
в чем еще может быть дело?

"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 16:28

запустил natd в verbose mode, пингую из внутренней сети www.ru....вижу что натд фиксирует пакеты приходящие с такой то машины из внутренней сети к днс серверу. а от днс сервера ответов нет...опять же повторюсь все разрешено.
не понимаю в чем тут дело...=(

"и опять про ipfw =("
Отправлено Simps , 13-Окт-05 16:36

>запустил natd в verbose mode, пингую из внутренней сети www.ru....вижу что натд
>фиксирует пакеты приходящие с такой то машины из внутренней сети к
>днс серверу. а от днс сервера ответов нет...опять же повторюсь все
>разрешено.
>не понимаю в чем тут дело...=(
Млин ... А в обратку кто будет дивертить ?

"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 16:56

хех..ну не настолько же я вроде глуп.
правило выглядит как
ipfw add 100 divert natd all from any to any via ste0 (внешний ифейс)
т.е пакеты через него ходят как туда так и обратно.
ни фига не работает. =(((

"и опять про ipfw =("
Отправлено Simps , 13-Окт-05 17:13

>хех..ну не настолько же я вроде глуп.
>правило выглядит как
>ipfw add 100 divert natd all from any to any via ste0
>(внешний ифейс)
>
>т.е пакеты через него ходят как туда так и обратно.
>ни фига не работает. =(((
Сделай через два диверта
divert 8668 ip from 192.168.0.0/24 to any out xmit ste0
divert 8668 ip from any to $ext_ip in recv ste0

"и опять про ipfw =("
Отправлено Volk , 13-Окт-05 17:24

ураааа...завелось!!!!
спасибо тебе Simps!! век помнить буду=))))
только вот непонятно мне почему же from any to any via ste0 - не работает.
ведь в принципе то одно и тоже...в принципе...
еще раз спасибо!!!

"и опять про ipfw =("
Отправлено Simps , 13-Окт-05 18:47

>ураааа...завелось!!!!
>спасибо тебе Simps!! век помнить буду=))))
>
>только вот непонятно мне почему же from any to any via ste0
>- не работает.
Нууу .... verbosity,log,tail -f security и долго,долго куришь
>ведь в принципе то одно и тоже...в принципе...
>
>еще раз спасибо!!!