URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85214
[ Назад ]

Исходное сообщение
"Проблема c ipfw/natd"

Отправлено Lexx , 09-Май-09 16:16 
FreeBSD 7.0-RELIASE

Я только начал юзать эту систему.

Собрал и установил ядро с такими параметрами:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET

В /etc/rc.conf добавил:
Defaultrouter=”xxx.yyy.zzz.161”
Ifconfig_rl0=”inet xxx.yyy.zzz.164 netmask 255.255.255.240”
Ifconfig_rl1=”inet 192.168.210.39 netmask 255.255.255.128”
ipfw_enable=”YES”
ipfw_type=”etc/fw.ipfw”
natd_enable=”YES”
natd_interface=”rl0”
natd_flags=”-f /etc/natd.conf”


В fw.ipfw следующие правила:

-q add 100 allow ip from any to any via lo0
-q add 200 deny ip from any to 127.0.0.0/8
-q add 300 deny ip from 127.0.0.0/8 to any
-q add 400 allow all from any to any via rl1
-q add 500 divert natd ip from 192.168.210.0/25 to any out via rl0
-q add 600 divert natd ip from any to xxx.yyy.zzz.164 in via rl0
-q add 700 allow udp from any to any 53
-q add 800 allow udp from any 53 to any
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Далее множественное открытие портов..
-q add 5000 deny icmp from any to xxx.yyy.zzz.164 in icmptypes 8
-q add 5100 allow icmp from xxx.yyy.zzz.164 to any out icmtypes 8
-q add 5200 allow icmp from any to xxx.yyy.zzz.164 in icmptypes 0

В /etc/natd.conf:
inteface rl0

Перезагрузил...

И нет ни пинга ни инета. После выполнения “ping www.ru”, ipfw show показывает примерно следующее:
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 1 60 allow all from any to any via rl1
00500 0 0 divert 8668 ip from 192.168.210.0/25 to any out via rl0
00600 2 120 divert 8668 ip from any to xxx.yyy.zzz.164 in via rl0
00700 1 60 allow udp from any to any dst-port 53
00800 0 0 allow udp from any 53 to any
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

05000 0 0 deny icmp from any to xxx.yyy.zzz.164 in icmptypes 8
5100 4 240 allow icmp from xxx.yyy.zzz.164 to any out icmtypes 8
5200 0 0 allow icmp from any to xxx.yyy.zzz.164 in icmptypes 0

В ЧЁМ ЖЕ ПРОБЛЕМА!!!!

Если убрать
-q add 500 divert natd ip from 192.168.210.0/25 to any out via rl0
-q add 600 divert natd ip from any to xxx.yyy.zzz.164 in via rl0
то на серве есть и пинг и инет, а в локалке как небыло так и нету.
Уже третьи сутки бьюсь.
Я так понял что natd не робит...
ОЧЕНЬ НАДА!!!!


Содержание

Сообщения в этом обсуждении
"Проблема c ipfw/natd"
Отправлено Сергей , 09-Май-09 22:11 
Странно как-то у вас, по идеи  в rc.conf должно быть
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"

  Эта конфигурация практически один в один реализует вашу... ну а потом читать про ipfw...