URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72787
[ Назад ]

Исходное сообщение
"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Dorlas , 12-Мрт-07 10:15

Всем добрый день!
Обращаюсь вот с какой проблемой - настраивал работу с двумя каналами в Интернет в FreeBSD 6.1 - чтобы все работало, в ядре должны были быть опции:
IPFIREWALL_FORWARD
IPFIREWALL_FORWARD_EXTENDED
Все работает как часы!
Теперь в FreeBSD 6.2 второй опции нет - как я понял, функционал был включен в первую опцию.
ОК, ставлю сервер, все делаю так же, как и в предыдущем решении....не работает форвард!
Причем как то странно - стоит указать ipfw fwd x.x.x.x proto from any to any - работает на ура (для указанного в proto протокола - например, icmp), а вот если начинаешь детализировать (вместо any ставить конкретику - IP-ки, порты) - все, правило не срабатывает :(
Кто сталкивался, подскажите - все ли у Вас в FreeBSD 6.2 работает (Forward т.е.).
Заранее спасибо!

Содержание

IPFIREWALL_FORWARD в FreeBSD 6.2,Dorlas, 14:54 , 15-Мрт-07
- IPFIREWALL_FORWARD в FreeBSD 6.2,Dorlas, 07:14 , 19-Мрт-07
- IPFIREWALL_FORWARD в FreeBSD 6.2,idle, 10:56 , 19-Мрт-07
  - IPFIREWALL_FORWARD в FreeBSD 6.2,Dorlas, 11:38 , 19-Мрт-07
    - IPFIREWALL_FORWARD в FreeBSD 6.2,idle, 12:27 , 19-Мрт-07
IPFIREWALL_FORWARD в FreeBSD 6.2,Kos, 16:18 , 19-Мрт-07
- IPFIREWALL_FORWARD в FreeBSD 6.2,Dorlas, 07:57 , 20-Мрт-07
  - IPFIREWALL_FORWARD в FreeBSD 6.2,A Clockwork Orange, 08:40 , 20-Мрт-07
  - IPFIREWALL_FORWARD в FreeBSD 6.2,AZ, 16:15 , 24-Мрт-07
IPFIREWALL_FORWARD в FreeBSD 6.2,Владимир, 13:43 , 29-Авг-07
IPFIREWALL_FORWARD в FreeBSD 6.2,MaxX, 16:38 , 27-Май-08

Сообщения в этом обсуждении

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Dorlas , 15-Мрт-07 14:54

UP.
Неужели никто не сталкивался?

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Dorlas , 19-Мрт-07 07:14

UP - надежда умирает последней.

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено idle , 19-Мрт-07 10:56

>UP.
>
>Неужели никто не сталкивался?
Возможно потому-что в 6 ветке все переходят на pf. Чего и Вам советую.

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Dorlas , 19-Мрт-07 11:38

А можете проверить сами?
Я уже в себе сомневаться начал :(

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено idle , 19-Мрт-07 12:27

>А можете проверить сами?
>
>Я уже в себе сомневаться начал :(
Ну нету у меня ipfw на 6.

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Kos , 19-Мрт-07 16:18

>Всем добрый день!
>
>Обращаюсь вот с какой проблемой - настраивал работу с двумя каналами в
>Интернет в FreeBSD 6.1 - чтобы все работало, в ядре должны
>были быть опции:
>
>IPFIREWALL_FORWARD
>IPFIREWALL_FORWARD_EXTENDED
>Все работает как часы!
>
>Теперь в FreeBSD 6.2 второй опции нет - как я понял, функционал
>был включен в первую опцию.
>ОК, ставлю сервер, все делаю так же, как и в предыдущем решении....не
>работает форвард!
>
>Причем как то странно - стоит указать ipfw fwd x.x.x.x proto from
>any to any - работает на ура (для указанного в proto
>протокола - например, icmp), а вот если начинаешь детализировать (вместо any
>ставить конкретику - IP-ки, порты) - все, правило не срабатывает :(
>
>
>Кто сталкивался, подскажите - все ли у Вас в FreeBSD 6.2 работает
>(Forward т.е.).
>
>Заранее спасибо!
ipfw add fwd x.x.x.x all from y.y.y.y to any
точно работает

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Dorlas , 20-Мрт-07 07:57

Вот именно такая конструкция у меня и не работает :( :( :(

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено A Clockwork Orange , 20-Мрт-07 08:40

>Вот именно такая конструкция у меня и не работает :( :( :(
>
точно не скажу, помнится в момент выхода пятой ветки такой вопрос возникал у людей, и решение было в том что эту опция теперь включается не в ядре, а через переменную sysctl.

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено AZ , 24-Мрт-07 16:15

>Вот именно такая конструкция у меня и не работает :( :( :(
>
Я использую fwd у себя на FreeBSD 6.2
Все работает нормально. Возможно пакеты просто не попадают в это правило.
Поставь log, посмотри какие пакеты попадают.
Учти, что fwd должен обрабатывать исходящие пакеты (out).
Если самому не получится разобраться, давай больше информации по конфигурации и настройке ipfw.

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено Владимир , 29-Авг-07 13:43

>[оверквотинг удален]
>Причем как то странно - стоит указать ipfw fwd x.x.x.x proto from
>any to any - работает на ура (для указанного в proto
>протокола - например, icmp), а вот если начинаешь детализировать (вместо any
>ставить конкретику - IP-ки, порты) - все, правило не срабатывает :(
>
>
>Кто сталкивался, подскажите - все ли у Вас в FreeBSD 6.2 работает
>(Forward т.е.).
>
>Заранее спасибо!
http://www.freebsd.org/releases/6.2R/relnotes-alpha.html
пункт 2.2.3
а там:
-The IPFIREWALL_FORWARD_EXTENDED kernel option has been removed. This option was used to permit ipfw(4) to redirect packets with local destinations. This behavior is now always enabled when the IPFIREWALL_FORWARD kernel option is enabled.-
это было в альфе, но я думаю и в релизе тоже сохранилось

"IPFIREWALL_FORWARD в FreeBSD 6.2"
Отправлено MaxX , 27-Май-08 16:38

>[оверквотинг удален]
>Причем как то странно - стоит указать ipfw fwd x.x.x.x proto from
>any to any - работает на ура (для указанного в proto
>протокола - например, icmp), а вот если начинаешь детализировать (вместо any
>ставить конкретику - IP-ки, порты) - все, правило не срабатывает :(
>
>
>Кто сталкивался, подскажите - все ли у Вас в FreeBSD 6.2 работает
>(Forward т.е.).
>
>Заранее спасибо!
Приходилось на 6.2 встречаться с такой ситуацией.
ipfw fwd x.x.x.x proto from any to y.y.y.y
Если хост не знает маршрута в y.y.y.y и у него нет маршрута по умолчанию, то он будет отвечать 'no route to host y.y.y.y' (это если трафик пускать с этого же компа). Если трафик пришел с другого компа (пинг например), то хост ответит источнику, что y.y.y.y не достижим. При этом в правиле fwd эти пакеты учтутся, но реально они не будут отфорвардены.
Решение. Назначить маршрут по умолчанию на хосте, где в фаерволе есть fwd.