Прошу помощи. Уже весь мозг сломал.Почему при замене правила
ipfw add 50 divert 8668 ip from any to any via re1
на
ipfw add 50 divert 8668 ip4 from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1
ipfw add 51 divert 8668 ip4 from not 192.168.211.0/24 to 81.23.1.1 in recv re1
Перестают работать рекурсивные запросы на Bind ???192.168.211.0/24 - локалка
81.23.1.1 - внешний Ip
FreeBSD 9.1-RELEASEBIND 9.8.3-P4
listen-on { 127.0.0.1;192.168.211.1;81.23.1.1; };
ipfw add 52 ip4 from me to any out via re1
Без разницы.
правила заменяются т.е. 50 удаляю, 50 и 51 добавляю.
Разницы между ip и ip4 я не заметил.при divert 8668 ip from any to any via re1
рекурсивные запросы в bind работают.при divert 8668 ip from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1
divert 8668 ip from not 192.168.211.0/24 to 81.23.1.1 in recv re1Bind отдает на запросы только данные из зон прописанных в named.conf
Э-э-э, друг, что-то намудрил, с этими самыми not'ами.
Если хочется указывать конкретно out xmit и in recv то в данном конкретном случае смысл с not отпадает.Но, вроде как такие конструкции уже не практикуются, типа устарели морально.
Рекомендуют использовать именно конструкцию via (а там уж система сама разберётся, что откуда и куда, чай не дурнее паровоза)
Это называется сам себя перехитрил. )) Зачем?Зачем разбивать первое правило на два других?
Какой-такой смысл потаённый? Счетчики срабатывания этих правил посмотреть? Ну, и чего?
Посмотрел? ))Тогда уж так:
ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1
> Тогда уж так:
> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1И так тоже Bind перестает работать по рекурсивным запросам.
Вопрос, почему???
>> Тогда уж так:
>> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
>> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1
> И так тоже Bind перестает работать по рекурсивным запросам.
> Вопрос, почему???Используйте tcpdump, netstat и sockstat для определении логики работы bind.
Нам сложно телепатировать ваш конфиг бинда, firewall'a и версии bind'a.
>> Тогда уж так:
>> ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
>> ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1
> И так тоже Bind перестает работать по рекурсивным запросам.
> Вопрос, почему???Продолжаете отжигать?
Вы спрашиваете, почему перестаёт работать?
Может надо явно разрешить?Что у вас в правилах файервола, нам сие неизвестно, об этом история,
как в прочем и вы, к сожалению, умалчивает.. ))Ну, да ладно, попробую как-нибудь, наощупь.
Вот минимальный джентльменский набор правил.
ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1
ipfw add 60 divert natd all from any to 81.23.1.1/32 in recv re1
ipfw add 100 llow all from any to any via lo0
ipfw add 200 deny all from any to 127.0.0.0/8
ipfw add 300 deny all from 127.0.0.0/8 to any
ipfw add 400 allow all from 81.23.1.1/32 to any
ipfw add 500 allow all from any to 81.23.1.1/32
ipfw add 600 allow all from 192.168.211.0/24 to any
ipfw add 700 allow all from any to 192.168.211.0/24можно, конечно, посмотреть конкретно по 53 порту, что у вас там бегает
ipfw add 350 allow log udp from any to any 53
ipfw add 360 allow log udp from any 53 to anyну и как счетчики на правилах 350 и 360 изменятся, смотрите логи в файле
/var/log/security на срабатывание этих правил, там будет видно кто, кого, куда и где ))
Михалыч, можно с вами посоватоваться по ipfw?
Есть почта? ;)
> Михалыч, можно с вами посоватоваться по ipfw?
> Есть почта? ;)man ipfw
для начала освой ...
> Михалыч, можно с вами посоватоваться по ipfw?
> Есть почта? ;)да есть конечно )), куда ж без неё, почтальон исправно приносит журнал мурзилку и барвинок ))
а если серьезно, то понимание ipfw (или чего-то другого) - это не является сакральным знанием
и я далеко не знаток и не знаю всех тонкостей, но при необходимости буду вникать в нюансы,
а чего знаю - подскажу, мне не жалко ))есть же, действительно, куча инфы, и на этом сервере и других (хабр, лисяра, хоть и не хвалят его, типа он думать не дает, а готовые рецепты предлагает, но я не согласен с этим )), самому думать никто не запрещает)
вот, свеженький man, ещё не протух
http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sekt...ежели сразу на "ненашинском" трудно, то
набираем в яше (гугле) man ipfw на русском, получаем кучу сцылокhttp://www.opennet.me/man.shtml?topic=ipfw&category=8&russian=0
http://bugreev.ru/blog:2011:12:08-freebsd_-_ipfw
http://bezopasnik.org/unix/dok/FreeBSD/dok/36.htmможно в учебниках посмотреть
http://bezopasnik.org/unix/dok/BSDA-course/ape.html
http://www.g0l.ru/blog/htmls/BSDA-course/ape.htmlпогнали, посмотрим на лисяре
http://www.lissyara.su/articles/freebsd/tuning/ipfw/
http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/
http://www.lissyara.su/articles/freebsd/tuning/memoranda_abo.../на хабре есть
http://www.hub.ru/archives/4637забьем в поиск "ipfw примеры" (нат, таблицы) и получим ещё кучу линков
увлекательное чтиво на ночь!
а если что-то не понятно, то лучше здесь же на форуме и спрашивать, кто-нибудь что-нибудь да и поможет, на то он и форум, голова хорошо, а сто - лучше ))
как там говорил Глеб Жеглов, всегда найдётся человечек, который что-либо видел, что-либо слышал, что-либо знает ))
так и тут, да и другие с аналогичными вопросами потом на этом же форуме и для себя ответы найдутчето я буков много накидал уже, устал однако ))
короче, если есть вопросы - не стесняйся, спрашивай, ищущий да обрящет
Ой, спасибо, что вы есть! :)
Можете глянуть? http://www.opennet.me/openforum/vsluhforumID1/95957.html#0