URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94446
[ Назад ]

Исходное сообщение
"и снова ядреный нат на фряхе 9"

Отправлено 999 , 09-Мрт-13 21:46 
и так, есть фря 9 и есть скомпиленное ядро с натом.
также, есть файл с правилами firewall.conf
nat 1 config if rl0 log redirect_port tcp 1.1.1.2:20-30 20-30
add 00051 nat 1 ip from any to any
в rc.conf
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="rl0"
firewall_type="firewall.conf"
firewall_logging="YES"
dummynet_enable="YES"
для работы должно быть достаточно.
однако редирект не работает.
где смотреть, подскажите.

Содержание

Сообщения в этом обсуждении
"и снова ядреный нат на фряхе 9"
Отправлено sirius , 10-Мрт-13 02:19 
>[оверквотинг удален]
> в rc.conf
> firewall_enable="YES"
> firewall_nat_enable="YES"
> firewall_nat_interface="rl0"
> firewall_type="firewall.conf"
> firewall_logging="YES"
> dummynet_enable="YES"
> для работы должно быть достаточно.
> однако редирект не работает.
> где смотреть, подскажите.

тут два варианта, если все в ядре, то можно просто в rc.local прописать правила типа
cmd=/sbin/ipfw -q
$cmd nat 1 config if rl0 log redirect_port tcp 1.1.1.2:20-30 20-30
$cmd add 00051 nat 1 ip from any to any

если через rc.conf, то достаточно сделать
firewall_enable="YES"
firewall_script="/etc/firewall.conf"

в файле firewall.conf правила должны быть прописаны так же
cmd=/sbin/ipfw -q
$cmd nat 1 config if rl0 log redirect_port tcp 1.1.1.2:20-30 20-30
$cmd add 00051 nat 1 ip from any to any


"и снова ядреный нат на фряхе 9"
Отправлено 999 , 10-Мрт-13 03:11 
>[оверквотинг удален]
> cmd=/sbin/ipfw -q
> $cmd nat 1 config if rl0 log redirect_port tcp 1.1.1.2:20-30 20-30
> $cmd add 00051 nat 1 ip from any to any
> если через rc.conf, то достаточно сделать
> firewall_enable="YES"
> firewall_script="/etc/firewall.conf"
> в файле firewall.conf правила должны быть прописаны так же
> cmd=/sbin/ipfw -q
> $cmd nat 1 config if rl0 log redirect_port tcp 1.1.1.2:20-30 20-30
> $cmd add 00051 nat 1 ip from any to any

а это имеет значение откуда она правила берет?
правила она лопает из firewall.conf в том виде, как писано. и нат, как нат работает.
вопрос именно в редиректе.
можно как-то посмотреть что происходит? пытаюсь, скажем, соединиться по ftp с 1.1.2.2 (внешний ИП) - не выходит.


"и снова ядреный нат на фряхе 9"
Отправлено sirius , 10-Мрт-13 13:10 
> а это имеет значение откуда она правила берет?
> правила она лопает из firewall.conf в том виде, как писано. и нат,
> как нат работает.
> вопрос именно в редиректе.
> можно как-то посмотреть что происходит? пытаюсь, скажем, соединиться по ftp с 1.1.2.2
> (внешний ИП) - не выходит.

посмотреть можно - tcpdump на внешнем и внутреннем интерфейсе и будет все понятно.


"и снова ядреный нат на фряхе 9"
Отправлено 999 , 10-Мрт-13 14:34 
>> а это имеет значение откуда она правила берет?
>> правила она лопает из firewall.conf в том виде, как писано. и нат,
>> как нат работает.
>> вопрос именно в редиректе.
>> можно как-то посмотреть что происходит? пытаюсь, скажем, соединиться по ftp с 1.1.2.2
>> (внешний ИП) - не выходит.
> посмотреть можно - tcpdump на внешнем и внутреннем интерфейсе и будет все
> понятно.

Точно, забыл. )
ну вообщем глухо как в танке. т.е. пусто. никаких телодвижений. при этом пускаю redir на тот же 21 порт и все работает. но хочется таки с натом разобраться, да и диапазон портов прокинуть.
Кстати, вдогонку. а нат часом не может не любить jail или несколько IP на один интерфейс или может еще к чему неравнодушен..?


"и снова ядреный нат на фряхе 9"
Отправлено Miha , 10-Мрт-13 16:46 
>[оверквотинг удален]
>>> можно как-то посмотреть что происходит? пытаюсь, скажем, соединиться по ftp с 1.1.2.2
>>> (внешний ИП) - не выходит.
>> посмотреть можно - tcpdump на внешнем и внутреннем интерфейсе и будет все
>> понятно.
> Точно, забыл. )
> ну вообщем глухо как в танке. т.е. пусто. никаких телодвижений. при этом
> пускаю redir на тот же 21 порт и все работает. но
> хочется таки с натом разобраться, да и диапазон портов прокинуть.
> Кстати, вдогонку. а нат часом не может не любить jail или несколько
> IP на один интерфейс или может еще к чему неравнодушен..?

1.Лучше не прописывать нат в rc.conf (firewall_nat_interface="rl0"). Настраивайте прямо в конфиг-файле.
2. А где разрешающие правила? Что с one_pass?


"и снова ядреный нат на фряхе 9"
Отправлено 999 , 10-Мрт-13 19:26 
>[оверквотинг удален]
>>> понятно.
>> Точно, забыл. )
>> ну вообщем глухо как в танке. т.е. пусто. никаких телодвижений. при этом
>> пускаю redir на тот же 21 порт и все работает. но
>> хочется таки с натом разобраться, да и диапазон портов прокинуть.
>> Кстати, вдогонку. а нат часом не может не любить jail или несколько
>> IP на один интерфейс или может еще к чему неравнодушен..?
> 1.Лучше не прописывать нат в rc.conf (firewall_nat_interface="rl0"). Настраивайте прямо
> в конфиг-файле.
> 2. А где разрешающие правила? Что с one_pass?

тогда если можно подробнее. везде в интернетах видел, что достаточно тех правил.


"и снова ядреный нат на фряхе 9"
Отправлено arachnid , 11-Мрт-13 09:24 
что говорит sysctl net.inet.ip.forwarding ?

а то я что-то не вижу упоминания об установленном gateway_enable="yes"


"и снова ядреный нат на фряхе 9"
Отправлено 999 , 11-Мрт-13 10:15 
> что говорит sysctl net.inet.ip.forwarding ?
> а то я что-то не вижу упоминания об установленном gateway_enable="yes"

поверь на слово оно там где нужно есть.


"и снова ядреный нат на фряхе 9"
Отправлено arachnid , 11-Мрт-13 13:50 
>> что говорит sysctl net.inet.ip.forwarding ?
>> а то я что-то не вижу упоминания об установленном gateway_enable="yes"
> поверь на слово оно там где нужно есть.

к сожалению, не телепат. а так бы несомненно догадался :)


"и снова ядреный нат на фряхе 9"
Отправлено 999 , 13-Мрт-13 17:53 
>>> что говорит sysctl net.inet.ip.forwarding ?
>>> а то я что-то не вижу упоминания об установленном gateway_enable="yes"
>> поверь на слово оно там где нужно есть.
> к сожалению, не телепат. а так бы несомненно догадался :)

согласен, бывает )