URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93580
[ Назад ]

Исходное сообщение
"IPFW+NATD"
Отправлено Romkins , 20-Июл-12 13:11

день всем добрый
не совсем понятна ситуация с NATD. Freebsd 9.0
система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а дальше провайдер сам натит за реальным адресом.
rc.conf, лишнее вырезано
ifconfig_sk0=" inet 10.3.1.66 netmask 255.255.255.252"
ifconfig_rl0=" inet 192.168.1.3 netmask 255.255.255.0"
gateway_enable=YES
firewall_enable="YES"
firewall_script="/etc/firewall"
firewall_logging="YES"
natd_enable="YES"
natd.conf
port 8669
same_ports
use_sockets yes
#unregistered_only
interface sk0
log
firewall
#!/bin/sh -
cmd="/sbin/ipfw -q add"
/sbin/ipfw -f flush
$cmd 100 allow ip from any to any via lo0
$cmd 100 deny ip from any to 127.0.0.0/8
$cmd 100 deny ip from 127.0.0.0/8 to any
$cmd 101 deny ip from me to table$1$
$cmd 101 deny ip from table$1$ to me
$cmd 102 divert natd ip from 192.168.1.0/24 to any 110,25 out via sk0
$cmd 102 divert natd ip from any to 82.200.x.x in via sk0
$cmd 102 divert natd ip from any 110 to 10.3.1.66 in via sk0
$cmd 102 divert natd ip from any 25 to 10.3.1.66 in via sk0
killall -9 natd
/sbin/natd -config /etc/natd.conf -log_denied
ipfw show 102
00102     99     4752 divert 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
00102      0        0 divert 8668 ip from any to 82.200.68.114 in via sk0
00102      0        0 divert 8668 ip from any 110 to 10.3.1.66 in via sk0
00102      0        0 divert 8668 ip from any 25 to 10.3.1.66 in via sk0
выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
спасибо

Содержание

IPFW+NATD,PavelR, 13:48 , 20-Июл-12
- IPFW+NATD,Romkins, 05:55 , 21-Июл-12
  - IPFW+NATD,PavelR, 08:56 , 21-Июл-12
IPFW+NATD,DN, 14:25 , 20-Июл-12
- IPFW+NATD,nagual, 17:04 , 20-Июл-12
IPFW+NATD,михалыч, 18:27 , 20-Июл-12
- IPFW+NATD,Аноним, 21:37 , 20-Июл-12
  - IPFW+NATD,Romkins, 05:56 , 21-Июл-12
    - IPFW+NATD,михалыч, 08:15 , 21-Июл-12
      - IPFW+NATD,Romkins, 05:29 , 23-Июл-12
    - IPFW+NATD,DN, 00:33 , 22-Июл-12
      - IPFW+NATD,Romkins, 05:28 , 23-Июл-12

Сообщения в этом обсуждении

"IPFW+NATD"
Отправлено PavelR , 20-Июл-12 13:48

> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
у вас отсутствует шлюз по умоланию.
> спасибо

"IPFW+NATD"
Отправлено Romkins , 21-Июл-12 05:55

>> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
>> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
>> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
> у вас отсутствует шлюз по умоланию.
>> спасибо
он присутствует, я его просто вырезал здесь, как лишнее.

"IPFW+NATD"
Отправлено PavelR , 21-Июл-12 08:56

>>> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
>>> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
>>> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
>> у вас отсутствует шлюз по умоланию.
>>> спасибо
> он присутствует, я его просто вырезал здесь, как лишнее.
Обращаю ваше внимание, что вы лишним посчитали и весь вывод "ipfw show", а значит точно знаете, что там лишнее, а что нет. С такой уверенностью вы без проблем справитесь со всеми своими сложностями. (собственно, думаю, что решение в этой теме уже озвучено).
"развлекайтесь" дальше сами.

"IPFW+NATD"
Отправлено DN , 20-Июл-12 14:25

> natd.conf
> port 8669
^^^^^^^^^^^^^^^^^^
8668  по default

> ipfw show 102
> 00102     99     4752 divert
> 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
> 00102      0
>   0 divert 8668 ip from any to 82.200.68.114 in
> via sk0
> 00102      0

"IPFW+NATD"
Отправлено nagual , 20-Июл-12 17:04

>[оверквотинг удален]
>> port 8669
> ^^^^^^^^^^^^^^^^^^
> 8668  по default
>> ipfw show 102
>> 00102     99     4752 divert
>> 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
>> 00102      0
>>   0 divert 8668 ip from any to 82.200.68.114 in
>> via sk0
>> 00102      0
NATD ? простите а какой год на дворе ? :-))

"IPFW+NATD"
Отправлено михалыч , 20-Июл-12 18:27

> день всем добрый
Добрый
> не совсем понятна ситуация с NATD. Freebsd 9.0
Угу ))
> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
> дальше провайдер сам натит за реальным адресом.
А зачем тогда натд?
> rc.conf, лишнее вырезано
Точно лишнее? ))
действительно, почему именно натд, а не просто ядреный нат?

"IPFW+NATD"
Отправлено Аноним , 20-Июл-12 21:37

>> день всем добрый
> Добрый
>> не совсем понятна ситуация с NATD. Freebsd 9.0
> Угу ))
>> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
>> дальше провайдер сам натит за реальным адресом.
> А зачем тогда натд?
>> rc.conf, лишнее вырезано
> Точно лишнее? ))
> действительно, почему именно натд, а не просто ядреный нат?
Потому что начитаются всяких хау-ту лохматых годов и тупо делают по ним, совершенно не разбираясь в теме

"IPFW+NATD"
Отправлено Romkins , 21-Июл-12 05:56

>[оверквотинг удален]
>>> не совсем понятна ситуация с NATD. Freebsd 9.0
>> Угу ))
>>> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
>>> дальше провайдер сам натит за реальным адресом.
>> А зачем тогда натд?
>>> rc.conf, лишнее вырезано
>> Точно лишнее? ))
>> действительно, почему именно натд, а не просто ядреный нат?
> Потому что начитаются всяких хау-ту лохматых годов и тупо делают по ним,
> совершенно не разбираясь в теме
ребята, я же не просил выносить на обсуждение, что кому нравится, а кому нет. это дело личное каждого, ядрёный или не ядрёный нат использовать. просил помочь

"IPFW+NATD"
Отправлено михалыч , 21-Июл-12 08:15

> ребята, я же не просил выносить на обсуждение, что кому нравится, а
> кому нет. это дело личное каждого, ядрёный или не ядрёный нат
> использовать. просил помочь
Ну-ну.. ))
Конфиг нат и натд почти не отличаются друг от друга.
Ман нат и натд.
Нат быстрее, менее прожорливый и тд и тп
Протестируйте самый простейший конфиг,
если он работает, то потом и добавляйте свои таблицы, порты
и отдельные хосты.
А то, вроде как, получается вы в таблице 1 (правило 101)
блокируете нужный вам хост (вашего прова?)
50 divert 8668 ip from any to any via sk0
100 allow ip from any to any via lo0
200 deny ip from any to 127.0.0.0/8
300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any

"IPFW+NATD"
Отправлено Romkins , 23-Июл-12 05:29

>[оверквотинг удален]
> Протестируйте самый простейший конфиг,
> если он работает, то потом и добавляйте свои таблицы, порты
> и отдельные хосты.
> А то, вроде как, получается вы в таблице 1 (правило 101)
> блокируете нужный вам хост (вашего прова?)
> 50 divert 8668 ip from any to any via sk0
> 100 allow ip from any to any via lo0
> 200 deny ip from any to 127.0.0.0/8
> 300 deny ip from 127.0.0.0/8 to any
> 65000 allow ip from any to any
спасибо, попробую

"IPFW+NATD"
Отправлено DN , 22-Июл-12 00:33

> использовать. просил помочь
> natd.conf
> port 8669
8668 должен быть. У Вас правила ipfw на него дивертят.

"IPFW+NATD"
Отправлено Romkins , 23-Июл-12 05:28

>> использовать. просил помочь
>> natd.conf
>> port 8669
> 8668 должен быть. У Вас правила ipfw на него дивертят.
большое вам спасибо, по невнимательности ;(