URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86445
[ Назад ]
Исходное сообщение
"не запускается NAT в PF"
Отправлено gerram , 31-Авг-09 13:20 
FreeBSD 7.1
le0 - смотрит в интернет
le1 - смотрит в локалку (192.168.20.0/24)

если отключаю PF, то на машине из локалки (192.168.20.22) интернет работает, а вот при включении PF и запуске NAT не срабатывает команда nat pass:

scrub in all
nat pass on le0 from 192.168.20.22 to any -> (le0)
block all

и интернет пропал...

я понимаю так, что фильтрация пакетов (block all) должна применяться после применения nat, а после nat pass к этому трафику вообще не применяются никакие правила фильтрации.... но у меня в этом случае (block all) интернет на машине 192.168.20.22 исчезает
куда рыть?

Содержание
Сообщения в этом обсуждении
"не запускается NAT в PF"
Отправлено reader , 31-Авг-09 16:01 
а на le1 наверно ничего разрешать не нужно
"не запускается NAT в PF"
Отправлено gerram , 01-Сен-09 06:08 
то есть в такой конфигурации NAT не работает? тогда в какой работает?


"не запускается NAT в PF"
Отправлено reader , 01-Сен-09 10:30 
>то есть в такой конфигурации NAT не работает? тогда в какой работает?
>

причем тут NAT если через le1 все запрещено.

в pf.conf
block log all

в rc.conf
pflog_logfile="/var/log/pf.log"

и смотрите что блокируете
tcpdump -n -tttt -e -r /var/log/pf.log | more

добавте pass on le1 all и потом проверяйте.

"не запускается NAT в PF"
Отправлено gerram , 03-Сен-09 10:43 
открыл и le0 и le1, но убрал правило nat pass, на других машинах появился интернет... вот и думаю, как такое возможно без nat? выключаю PF на других машинах интернет остается... может во FreeBSD какой-нибудь еще демон автоматом nat запускает?
"не запускается NAT в PF"
Отправлено gerram , 01-Сен-09 12:18 
использование pass в правилах фильтрации мне понятно... я не могу заставить работать вариант nat pass при котором пакеты не должны обрабатываться фильтрами и тогда block all на него не влияет потому, что это уже правило фильтрации

"не запускается NAT в PF"
Отправлено reader , 01-Сен-09 12:33 
>использование pass в правилах фильтрации мне понятно... я не могу заставить работать
>вариант nat pass при котором пакеты не должны обрабатываться фильтрами и
>тогда block all на него не влияет потому, что это уже
>правило фильтрации

еще раз, nat на le0, но прежде чем до него дойдет дело, пакет из сети должен пройти через le1, а на нем у вас все запрещено, вот и разрешите прохождение через le1, а потом проверяйте nat

"не запускается NAT в PF"
Отправлено gerram , 03-Сен-09 10:45 
открыл и le0 и le1, но убрал правило nat pass, на других машинах появился интернет... вот и думаю, как такое возможно без nat? выключаю PF на других машинах интернет остается... может во FreeBSD какой-нибудь еще демон автоматом nat запускает?

"не запускается NAT в PF"
Отправлено reader , 03-Сен-09 11:27 
>открыл и le0 и le1, но убрал правило nat pass, на других
>машинах появился интернет... вот и думаю, как такое возможно без nat?
>выключаю PF на других машинах интернет остается... может во FreeBSD какой-нибудь
>еще демон автоматом nat запускает?

автоматом нет, но pf не единственный кто может nat.
может там и прокси есть.

"не запускается NAT в PF"
Отправлено gerram , 03-Сен-09 11:33 
как мне узнать, через что моя FreeBSD каким-то образом раздает интернет другим машинам, если NAT не включен?

"не запускается NAT в PF"
Отправлено reader , 03-Сен-09 12:07 
>как мне узнать, через что моя FreeBSD каким-то образом раздает интернет другим
>машинам, если NAT не включен?

смотрите в /etc/rc.conf что запускается, и что именно работает на машинах и как настроено

"не запускается NAT в PF"
Отправлено gerram , 03-Сен-09 12:31 
в /etc/rc.conf загружается только PF и PPPoE соединение
на клиентских машинах для шлюза прописан адрес FreeBSD роутера, никаких proxy на клиентах и на шлюзе не поднято...