URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69769
[ Назад ]

Исходное сообщение
"NATD"
Отправлено yankee , 24-Окт-06 14:34

#!/bin/sh
fw=ipfw
${fw} -f flush
${fw} add pass all from me to any via any
${fw} add pass all from any to any via xl0
${fw} add pass all from any to any via tun0
${fw} add divert natd all from any to any in recv ng0
${fw} add divert natd all from any to any in recv ng1
${fw} add divert natd all from any to any in recv ng2
${fw} add divert natd all from any to any in recv ng3
${fw} add divert natd all from any to any in recv ng4
${fw} add divert natd all from any to any in recv tun0
-
ng0,ng1,ng2,ng3,ng4 vpn интерфейсы
веб работает, аська нет. игры тоже нет..
что с правилами не так?
Нужно чтоб в инет дивертилось только приходящее от vpn клиентов..

Содержание

NATD,yankee, 01:14 , 25-Окт-06
- NATD,yankee, 23:47 , 25-Окт-06
NATD,bANAn, 12:09 , 26-Окт-06

Сообщения в этом обсуждении

"NATD"
Отправлено yankee , 25-Окт-06 01:14

Заметил интересную вещь..
ipfw show говорит что пакетов по всем пунктам "0 0" ..
только в последнем правиле (allow all from any to any, прописано в кернеле) - траффик есть..
залез в rc.conf, нашел там gateway_enable..
отключил.. инет не работает совсем :)
как будто оно игнорирует правила..
как не пытался - не получается написать правила так чтоб дивертилось приходящее из ng интерфейсов :-(
и вообще.. заметил интересную вещь.. когда к vpn подключен не был, gateway_enable было YES - просто прописал ip сервера как гейтвей на компе - в инет бздя меня выпускала ;-/

"NATD"
Отправлено yankee , 25-Окт-06 23:47

Готов убить себя больно йадом об стену))
wtf..
убрал все правила.
сделал только allow all from any to any
если gateway_enable = YES - все кто ставят меня шлюзом легко ходят в инет..
никаких натов не надо..
если ставлю = NO, то никакие рулесы в ipfw не пускают никого в инет..
уже столько всего перепробовал.....

"NATD"
Отправлено bANAn , 26-Окт-06 12:09

>${fw} add pass all from me to any via any
и это работает? типа any к интерфейсам применимо?
>${fw} add divert natd all from any to any in recv ng0
>${fw} add divert natd all from any to any in recv ng1
>${fw} add divert natd all from any to any in recv ng2
>${fw} add divert natd all from any to any in recv ng3
>${fw} add divert natd all from any to any in recv ng4
>${fw} add divert natd all from any to any in recv tun0
а где обратка? типа add allow ip from not me to ип(сеть)клиента out (via ng0)
без этого не будет ходить.