URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62688
[ Назад ]

Исходное сообщение
"Ipfw Squid NAT"
Отправлено SFinkS , 14-Дек-05 16:42

Привет! никак не удается решить проблему! Не проходят пинги во внешний мир с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip адрес шлюза нормально бегают в инет. Попытка поднять нат ни к чему не приводит! Вот что писал:
ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0 (rl0-смотрит в инет)
ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0
ipfw -q add allow icmp from any to any
Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите?
Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень долго борюсь и никак не получается :( Help please

Содержание

Ipfw Squid NAT,Garet, 07:27 , 15-Дек-05
Ipfw Squid NAT,logka, 14:57 , 17-Дек-05
- Ipfw Squid NAT,barma, 18:25 , 29-Дек-05
  - Ipfw Squid NAT,antoshkin, 16:38 , 30-Дек-05
    - Ipfw Squid NAT,Серей, 21:30 , 08-Ноя-06
      - Ipfw Squid NAT,saraceen, 01:46 , 21-Окт-09

Сообщения в этом обсуждении

"Ipfw Squid NAT"
Отправлено Garet , 15-Дек-05 07:27

>Привет! никак не удается решить проблему! Не проходят пинги во внешний мир
>с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip
>адрес шлюза нормально бегают в инет. Попытка поднять нат ни к
>чему не приводит! Вот что писал:
>
>ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0
>(rl0-смотрит в инет)
>ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0
>
>ipfw -q add allow icmp from any to any
>
>Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите?
>Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень
>долго борюсь и никак не получается :( Help please
добавь в свой фаервол в конце перед deny any to any следующие:
ipfw add allow icmp from any to {Внешний IP адрес} in via {Внешний интерфес} icmptype 0,3,4,11,12
ipfw add allow icmp from any to {Внутрения сеть} in via {Внешний интерфейс} icmptype 0,3,4,11,12
ipfw add allow icmp from {внешний IP адрес} to any out via {внешний интерфейс} icmptype 3,8,12
ipfw add allow icmp from {внешний IP адрес} to any out via {внешний интерфейс} frag
все очень просто этими правилами ты разрешаеш проход icmp пакетам спомощью которых и работает команда ping почитай ман по ipfw там помойму это описанно, но я могу и ошибаться

"Ipfw Squid NAT"
Отправлено logka , 17-Дек-05 14:57

>Привет! никак не удается решить проблему! Не проходят пинги во внешний мир
>с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip
>адрес шлюза нормально бегают в инет. Попытка поднять нат ни к
>чему не приводит! Вот что писал:
>
>ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0
>(rl0-смотрит в инет)
>ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0
>
>ipfw -q add allow icmp from any to any
>
>Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите?
>Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень
>долго борюсь и никак не получается :( Help please
Запусти сам нат nat -n rl0
то что по nslookup видит айпишники - говорит о работоспособности твоего днс.
то что в инет можно бегать - говорит о работоспособности сквида.
Включи нат и все.

"Ipfw Squid NAT"
Отправлено barma , 29-Дек-05 18:25

а не подскажите если внешний аф-пи динамический как его правильно в правилах указать?

"Ipfw Squid NAT"
Отправлено antoshkin , 30-Дек-05 16:38

me
Ну типа:
allow icmp from any to me
И правильно тебе говорят.
Включи сам НАТ:
В /etc/rc.conf:
natd_enable="YES"
natd_interface="rl0" - подставь свой интерфейс.

#/etc/rc.d/natd start

"Ipfw Squid NAT"
Отправлено Серей , 08-Ноя-06 21:30

Нашел!!!!
До..л меня этот вопрос. Уникальность проблемы заключается в том что разрешающее правило в фаерволе запрещает!!!!!!!!
При возврате пинга от любого внешнего сервера и при существующем разрешающем icmp правиле, пакет просто не возвращается в нат, поскольку он разрешен и прекращает дальнейшее движение по правилах фаервола. Хух :)

"Ipfw Squid NAT"
Отправлено saraceen , 21-Окт-09 01:46

>Нашел!!!!
>До..л меня этот вопрос. Уникальность проблемы заключается в том что разрешающее правило
>в фаерволе запрещает!!!!!!!!
>При возврате пинга от любого внешнего сервера и при существующем разрешающем icmp
>правиле, пакет просто не возвращается в нат, поскольку он разрешен и
>прекращает дальнейшее движение по правилах фаервола. Хух :)
аналогичная проблема, за исключением того что все и нат нормально работает, кроме пингов
подскажите пожалуйста как лечится?
после этой строчки в полностью открытом фаерволе пинги перестают идти
add 216 allow log icmp from any to any icmptypes 0,8,11
P.S.
сам разобрался с пингами! правило для icmp надо писать после правила divert natd и все будет пучком!