URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67966
[ Назад ]

Исходное сообщение
"Реализация NAT на FreeBSD"
Отправлено Hammer , 01-Авг-06 12:59

Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
В /etc/rc.conf ничего не прописываем

в ядре
options IPFIREWALL
options IPDIVERT
optiond DUMMYNET

nat.sh ------->
#!/bin/sh
oif=ed1                - внешний интерфейс
oip=222.222.222.222    - внешний IP
iip=192.168.1.0/24     - сеть которую натим
/sbin/natd -n $oif
/sbin/ipfw add 10 divert natd all from $iip to any out via $oif
/sbin/ipfw add 20 divert natd all from any to $oip in via $oif
/sbin/ipfw add 30 allow all from any to any

Простота! Никакой защиты, но нат работать будет!

Содержание

Реализация NAT на FreeBSD,mezantrop, 14:29 , 01-Авг-06
- Реализация NAT на FreeBSD,Zont, 16:23 , 01-Авг-06
- Реализация NAT на FreeBSD,Hammer, 13:32 , 02-Авг-06
  - Реализация NAT на FreeBSD,Azazelo, 14:24 , 02-Авг-06
    - Реализация NAT на FreeBSD,Hammer, 08:29 , 09-Авг-06
      - Реализация NAT на FreeBSD,Rivalryzerg, 11:15 , 09-Авг-06
        
        Реализация NAT на FreeBSD,Hammer, 13:54 , 09-Авг-06
        Реализация NAT на FreeBSD,mmm, 14:27 , 09-Авг-06
        
        Реализация NAT на FreeBSD,mummy, 14:45 , 09-Авг-06
        
        Реализация NAT на FreeBSD,mmm, 18:58 , 10-Авг-06
      - Реализация NAT на FreeBSD,Azazelo, 17:09 , 10-Авг-06
Реализация NAT на FreeBSD,mummy, 14:46 , 09-Авг-06
- Реализация NAT на FreeBSD,Rivalryzerg, 15:08 , 09-Авг-06
  - Реализация NAT на FreeBSD,mummy, 15:21 , 09-Авг-06
    - Реализация NAT на FreeBSD,Zont, 16:34 , 09-Авг-06
      - Реализация NAT на FreeBSD,Rivalryzerg, 16:54 , 09-Авг-06
        
        Реализация NAT на FreeBSD,mummy, 17:16 , 09-Авг-06
        
        Реализация NAT на FreeBSD,mummy, 17:20 , 09-Авг-06
        
        Реализация NAT на FreeBSD,Rivalryzerg, 17:32 , 09-Авг-06
        
        Реализация NAT на FreeBSD,mummy, 18:16 , 09-Авг-06
- Реализация NAT на FreeBSD,Hammer, 06:08 , 10-Авг-06
  - Реализация NAT на FreeBSD,ichard, 10:29 , 10-Авг-06

Сообщения в этом обсуждении

"Реализация NAT на FreeBSD"
Отправлено mezantrop , 01-Авг-06 14:29

>Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
>Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
>
>В /etc/rc.conf ничего не прописываем
>
>
>в ядре
>options IPFIREWALL
>options IPDIVERT
>optiond DUMMYNET
>
>
>nat.sh ------->
>#!/bin/sh
>oif=ed1
>    - внешний интерфейс
>oip=222.222.222.222    - внешний IP
>iip=192.168.1.0/24     - сеть которую натим
>
>/sbin/natd -n $oif
>/sbin/ipfw add 10 divert natd all from $iip to any out via
>$oif
>/sbin/ipfw add 20 divert natd all from any to $oip in via
>$oif
>/sbin/ipfw add 30 allow all from any to any
>
>
>Простота! Никакой защиты, но нат работать будет!
А в чем фишка?

"Реализация NAT на FreeBSD"
Отправлено Zont , 01-Авг-06 16:23

>А в чем фишка?
Открыл для себя америку... не мешай - идёт по верному пути познания ;-)

"Реализация NAT на FreeBSD"
Отправлено Hammer , 02-Авг-06 13:32

>>Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
>>Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
>>
>>В /etc/rc.conf ничего не прописываем
>>
>>
>>в ядре
>>options IPFIREWALL
>>options IPDIVERT
>>optiond DUMMYNET
>>
>>
>>nat.sh ------->
>>#!/bin/sh
>>oif=ed1
>>    - внешний интерфейс
>>oip=222.222.222.222    - внешний IP
>>iip=192.168.1.0/24     - сеть которую натим
>>
>>/sbin/natd -n $oif
>>/sbin/ipfw add 10 divert natd all from $iip to any out via
>>$oif
>>/sbin/ipfw add 20 divert natd all from any to $oip in via
>>$oif
>>/sbin/ipfw add 30 allow all from any to any
>>
>>
>>Простота! Никакой защиты, но нат работать будет!
>
>А в чем фишка?
А фишка, бля, в том что заебали уже спрашивать как сделать нат! Потому как некоторые особо тупорылые не могут пользоваться поиском!

"Реализация NAT на FreeBSD"
Отправлено Azazelo , 02-Авг-06 14:24

>>>Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
>>>Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
>>>
>>>В /etc/rc.conf ничего не прописываем
>>>
>>>
>>>в ядре
>>>options IPFIREWALL
>>>options IPDIVERT
>>>optiond DUMMYNET
>>>
>>>
>>>nat.sh ------->
>>>#!/bin/sh
>>>oif=ed1
>>>    - внешний интерфейс
>>>oip=222.222.222.222    - внешний IP
>>>iip=192.168.1.0/24     - сеть которую натим
>>>
>>>/sbin/natd -n $oif
>>>/sbin/ipfw add 10 divert natd all from $iip to any out via
>>>$oif
>>>/sbin/ipfw add 20 divert natd all from any to $oip in via
>>>$oif
>>>/sbin/ipfw add 30 allow all from any to any
>>>
>>>
>>>Простота! Никакой защиты, но нат работать будет!
>>
>>А в чем фишка?
>
>А фишка, бля, в том что заебали уже спрашивать как сделать нат!
>Потому как некоторые особо тупорылые не могут пользоваться поиском!

нда , парад школьнегов продолжается ...

"Реализация NAT на FreeBSD"
Отправлено Hammer , 09-Авг-06 08:29

>>>>Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
>>>>Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
>>>>
>>>>В /etc/rc.conf ничего не прописываем
>>>>
>>>>
>>>>в ядре
>>>>options IPFIREWALL
>>>>options IPDIVERT
>>>>optiond DUMMYNET
>>>>
>>>>
>>>>nat.sh ------->
>>>>#!/bin/sh
>>>>oif=ed1
>>>>    - внешний интерфейс
>>>>oip=222.222.222.222    - внешний IP
>>>>iip=192.168.1.0/24     - сеть которую натим
>>>>
>>>>/sbin/natd -n $oif
>>>>/sbin/ipfw add 10 divert natd all from $iip to any out via
>>>>$oif
>>>>/sbin/ipfw add 20 divert natd all from any to $oip in via
>>>>$oif
>>>>/sbin/ipfw add 30 allow all from any to any
>>>>
>>>>
>>>>Простота! Никакой защиты, но нат работать будет!
>>>
>>>А в чем фишка?
>>
>>А фишка, бля, в том что заебали уже спрашивать как сделать нат!
>>Потому как некоторые особо тупорылые не могут пользоваться поиском!
>
>
>нда , парад школьнегов продолжается ...
А ты тут ниябатсо гуру по бсд?
Сам, небось, все конфиги с сайтов берешь.

"Реализация NAT на FreeBSD"
Отправлено Rivalryzerg , 09-Авг-06 11:15

Сори за оффтоп.
Зря вы так все. Для новичков весьма полезны подобные темы. Допустим сейчас она 6-я по списку при запросе "NAT FREEBSD". А именно так я в первый раз давал поиск при настройке NAT.
Канечно есть хендбук, но почему то многих он пугает и ответ они ищут именно на этих форумах.
Лучше б добавили чего-нибудь, если считаете это необходимым.
>Простота! Никакой защиты, но нат работать будет!
Почему нет защиты? =) Уже небольшая защита от внешних соединений
С уважением,
Баженов Андрей

"Реализация NAT на FreeBSD"
Отправлено Hammer , 09-Авг-06 13:54

>Сори за оффтоп.
>Зря вы так все. Для новичков весьма полезны подобные темы. Допустим сейчас
>она 6-я по списку при запросе "NAT FREEBSD". А именно так
>я в первый раз давал поиск при настройке NAT.
>Канечно есть хендбук, но почему то многих он пугает и ответ они
>ищут именно на этих форумах.
>Лучше б добавили чего-нибудь, если считаете это необходимым.
>
>>Простота! Никакой защиты, но нат работать будет!
>Почему нет защиты? =) Уже небольшая защита от внешних соединений
>
>С уважением,
>Баженов Андрей

И на том спасибо.

"Реализация NAT на FreeBSD"
Отправлено mmm , 09-Авг-06 14:27

>Почему нет защиты? =) Уже небольшая защита от внешних соединений
в каком месте?

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 14:45

Виртуальные адреса защищены по определению

"Реализация NAT на FreeBSD"
Отправлено mmm , 10-Авг-06 18:58

Дык так страусы прячутся, голова в песке и хАрАшо!
На фиг никому не нужны внутренние адреса! Что обычно хотят (по моим наблюдениям за 10 серверами):
1. хотят 25 порт - 90% пытаются переслать через меня спам
2. хотят 1234 порт - 5% думают что ВО рулез и есть везде
3. хотят поподбирать пароли в ssh - 3%
4. хотят за DoS-ить сервер - 1%
5. хотят всякой ерунды - 2%
от пп.1,2,3 спасет (если руки не из ж. да и знает что перво-наперво надо прописать "sendmail_enable NONE" 8)), а вот п.4 завалят сервер.

"Реализация NAT на FreeBSD"
Отправлено Azazelo , 10-Авг-06 17:09

>>>>>Сей скрипт я ложу в файл /usr/local/etc/rc.d/nat.sh
>>>>>Фйл nat.sh делаю исполняемым chmod 755 /usr/local/etc/rc.d/nat.sh
>>>>>
>>>>>В /etc/rc.conf ничего не прописываем
>>>>>
>>>>>
>>>>>в ядре
>>>>>options IPFIREWALL
>>>>>options IPDIVERT
>>>>>optiond DUMMYNET
>>>>>
>>>>>
>>>>>nat.sh ------->
>>>>>#!/bin/sh
>>>>>oif=ed1
>>>>>    - внешний интерфейс
>>>>>oip=222.222.222.222    - внешний IP
>>>>>iip=192.168.1.0/24     - сеть которую натим
>>>>>
>>>>>/sbin/natd -n $oif
>>>>>/sbin/ipfw add 10 divert natd all from $iip to any out via
>>>>>$oif
>>>>>/sbin/ipfw add 20 divert natd all from any to $oip in via
>>>>>$oif
>>>>>/sbin/ipfw add 30 allow all from any to any
>>>>>
>>>>>
>>>>>Простота! Никакой защиты, но нат работать будет!
>>>>
>>>>А в чем фишка?
>>>
>>>А фишка, бля, в том что заебали уже спрашивать как сделать нат!
>>>Потому как некоторые особо тупорылые не могут пользоваться поиском!
>>
>>
>>нда , парад школьнегов продолжается ...
>
>А ты тут ниябатсо гуру по бсд?
>
>Сам, небось, все конфиги с сайтов берешь.
извини что обидел , но man ipfw + man natd хватает вполне .
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ne...
http://www.erudition.net/freebsd/NAT-HOWTO
имхо новичков которые "заебали" стоит отсылать к официальной документации , а не к своим выводам . хотябы потому , что прочитав этот топик они нихера не поймут , а прочитав мануалы будут понимать смысл.

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 14:46

Компилировать ядро не обязательно, время деньги

"Реализация NAT на FreeBSD"
Отправлено Rivalryzerg , 09-Авг-06 15:08

>Компилировать ядро не обязательно, время деньги
В GENERIC по умолчанию нет этих опций. Или я ошибаюсь?

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 15:21

действительно нет. нужно использовать модули ядра
/boot/loader.conf :
ipfw_load="YES"
dummynet_load="YES"
ipdivert_load="YES"

"Реализация NAT на FreeBSD"
Отправлено Zont , 09-Авг-06 16:34

>действительно нет. нужно использовать модули ядра
>/boot/loader.conf :
>ipfw_load="YES"
>dummynet_load="YES"
>ipdivert_load="YES"

su-2.05b# grep divert /boot/defaults/loader.conf
su-2.05b# ls /modules/ip*
/modules/ip6fw.ko       /modules/ipl.ko
/modules/ipfw.ko        /modules/ips.ko
su-2.05b# uname -a
FreeBSD gate.zonov.ru 4.11-STABLE FreeBSD 4.11-STABLE #3: Thu Apr 21 19:35:47 MSD 2005     root@test.zonov.ru:/usr/obj/usr/src/sys/Test  i386

"Реализация NAT на FreeBSD"
Отправлено Rivalryzerg , 09-Авг-06 16:54

>>действительно нет. нужно использовать модули ядра
>>/boot/loader.conf :
>>ipfw_load="YES"
>>dummynet_load="YES"
>>ipdivert_load="YES"
У меня там только ipfw_load (FreeBSD 6.0, 6.1)
Для какой версии эти опции?

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 17:16

Для 6.x
ls -la /boot/kernel/|grep divert
-r-xr-xr-x 1 root wheel 13263 May 7 07:38 ipdivert.ko

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 17:20

В 5.x есть только
ipfw_load="YES"
dummynet_load="YES"

"Реализация NAT на FreeBSD"
Отправлено Rivalryzerg , 09-Авг-06 17:32

На 6.0 сервере ipdivert.ko нет =)
На 6.1 имеется.
В любом случае я привык в основном следовать хендбуку. Пересобрать ядро не такая уж и долгая операция с учетом современного железа и отключения массы лишних опций в GENERIC. Это по крайней мере делается один раз при первой установке системы.

"Реализация NAT на FreeBSD"
Отправлено mummy , 09-Авг-06 18:16

>На 6.0 сервере ipdivert.ko нет =)
>На 6.1 имеется.
на 6.0 есть, в исошнике 6.0 тоже есть:
#uname -v
FreeBSD 6.0-SECURITY #0: Tue Apr 18 08:56:09 UTC 2006 root@builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC
#ls -la /boot/kernel/|grep divert
-r-xr-xr-x 1 root wheel 13263 Nov 3 2005 ipdivert.ko

Если не компилировать ядро, то можно использовать freebsd-update, чтобы быстро применять бинарные security updates.

"Реализация NAT на FreeBSD"
Отправлено Hammer , 10-Авг-06 06:08

>Компилировать ядро не обязательно, время деньги
Мне теперь чё, описать как компилить ядро?

"Реализация NAT на FreeBSD"
Отправлено ichard , 10-Авг-06 10:29

Что касается статей "для новичков", скажу слудующее: для новичка - необходима простая статья по стандартной установке NAT'a, к примеру, с более ли менее нормалным описанием на каком нить примере того, как работает NAT, чтобы не возникало лишних вопросов...
Ведь примеры в нашей жизни - штука очень полезная...