URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92661
[ Назад ]
Исходное сообщение
"IPFW NAT"
Отправлено nix , 28-Ноя-11 10:42 
Прошу помощи. Никак не могу настроить IPFW_NAT.
Всего три правила.

# ipfw show
00301 159 17680 allow ip from any to any via em0
00401   0     0 nat 1 ip from any to any via em0
65535  10   591 deny ip from any to any

# ipfw nat show
nat 1:

Правила ваервола:

ipfw add 301 allow ip from any to any via em0
ipfw nat 1 config log if em0 same_ports
ipfw add 401 nat 1 ip from any to any via em0

em0 - внешний интерфейс

Содержание
Сообщения в этом обсуждении
"IPFW NAT"
Отправлено PavelR , 28-Ноя-11 11:08 
> Прошу помощи. Никак не могу настроить IPFW_NAT.
> Всего три правила.
> # ipfw show
> 00301 159 17680 allow ip from any to any via em0
> 00401   0     0 nat 1 ip
> from any to any via em0
> 65535  10   591 deny ip from any to any

Ну если в трех правилах не разобрались, значит вам надо еще почитать теорию.

"IPFW NAT"
Отправлено nix , 28-Ноя-11 12:23 
>> Прошу помощи. Никак не могу настроить IPFW_NAT.
>> Всего три правила.
>> # ipfw show
>> 00301 159 17680 allow ip from any to any via em0
>> 00401   0     0 nat 1 ip
>> from any to any via em0
>> 65535  10   591 deny ip from any to any
> Ну если в трех правилах не разобрались, значит вам надо еще почитать
> теорию.

А нельзя просто показать где я не прав. Нужно обязательно показать свой уровень развития? Уважаемый, я с этим фаерволом работаю впервые. В какой-то другой области ИТ может оказаться что вы лузер, а я знаю больше вас. Так что не торопитесь с выводами.
Учитесь как надо у DeadLoco...

"IPFW NAT"
Отправлено Pahanivo , 28-Ноя-11 13:15 
>  А нельзя просто показать где я не прав. Нужно обязательно показать
> свой уровень развития?

тут еще большОООООй вопрос кто "демонстрирует" свой уровень развития )))

"IPFW NAT"
Отправлено DeadLoco , 28-Ноя-11 11:44 
> Прошу помощи. Никак не могу настроить IPFW_NAT.
> Всего три правила.
> # ipfw show
> 00301 159 17680 allow ip from any to any via em0
> 00401   0     0 nat 1 ip
> from any to any via em0
> 65535  10   591 deny ip from any to any

Правила проверяются по порядку номеров, при совпадении условия выполняются, дальнейшая проверка прекращается.

Ваш файрволл прекрасно работает, в строгом соответствии с конфигом.

"IPFW NAT"
Отправлено nix , 28-Ноя-11 12:27 
>> Прошу помощи. Никак не могу настроить IPFW_NAT.
>> Всего три правила.
>> # ipfw show
>> 00301 159 17680 allow ip from any to any via em0
>> 00401   0     0 nat 1 ip
>> from any to any via em0
>> 65535  10   591 deny ip from any to any
> Правила проверяются по порядку номеров, при совпадении условия выполняются, дальнейшая
> проверка прекращается.
> Ваш файрволл прекрасно работает, в строгом соответствии с конфигом.

Т.е. он работает? Просто у меня запущен тестовый стенд на VirtualBoxe. Мир и ядро пересобран. У меня подозрение, что просто не работает НАТ.
Смущает вот это
# ipfw nat show
nat 1:

Правила для NAT нет?

"IPFW NAT"
Отправлено _sirius_ , 28-Ноя-11 12:34 
Вам же ответили проверяються по порядку нумерации до первого совпадения
ipfw add 301 allow ip from any to any via em0
ipfw nat 1 config log if em0 same_ports
ipfw add 401 nat 1 ip from any to any via em0

правило 301 совпало и прошло и все, до 401 не доходит, поменяйте их местами и заработает.

"IPFW NAT"
Отправлено PavelR , 28-Ноя-11 12:38 

> Правила проверяются по порядку номеров, при совпадении условия выполняются, дальнейшая
> проверка прекращается.

.... но в некоторых случаях (конечно же это не allow/deny ;-) ) это зависит от значения one_pass...


"IPFW NAT"
Отправлено DeadLoco , 28-Ноя-11 12:45 
> .... но в некоторых случаях (конечно же это не allow/deny ;-) )
> это зависит от значения one_pass...

Человек, путающийся в трех правилах, вряд ли способен поменять системную переменную. Вероятностью подобного смело можем пренебречь.