URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96016
[ Назад ]

Исходное сообщение
"FreeBSD 10.1 и IPFW + NAT"

Отправлено Barbos , 24-Фев-15 19:12 
Здравствуйте,

помогите пожалуйста разобраться:
решил попробовать использовать ядерный NAT, почитал про него, нашел подходящий пример для начала, подкорректировал - но не работает нат (сам я сейчас дома, но на работе оставил включенным компьютер с тим вьвером указав ему шлюзом настраиваемый сабж - в сети тимвьювер не регистрируется, сам компьютер со шлюза пингуется, интернет на шлюзе тоже есть).

fxp0 - интернет
vr0 - локалка

table(1) - для блокирования, заполняется bruteblockd
table(2) - те, кто ходит в инет на прямую (squid пока не настраивал)

Правила:

00100   0     0 deny ip from table(1) to me #сюда заносит адреса bruteblockd
00200  84 18526 allow ip from any to any via lo0
00300 185 20397 allow tcp from any to me dst-port 22 keep-state

nat 1 config log if fxp0 reset same_ports

00400   0     0 nat 1 ip from 192.168.101.0/24 to any dst-port 25,110,465,993,995 out via fxp0
00500   0     0 nat 1 ip from table(2) to any out via fxp0
00600 396 49003 nat 1 ip from any to 176.112.31.48 in via fxp0
00700 396 49003 nat 1 ip from any to any in via fxp0
00800  87  5633 allow ip from table(2) to not 192.168.101.0/24 in via vr0
00900   0     0 allow ip from 192.168.101.0/24 to not 192.168.101.0/24 dst-port 25,110,465,993,995 in via vr0
01000   0     0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 in via fxp0
01100   0     0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 out via vr0
65535 814 71073 allow ip from any to any

rc.conf:

gateway_enable="YES"
hostname="inet"
defaultrouter="176.XXX.XXX.XXX"
ifconfig_vr0="inet 192.168.101.174 netmask 0xffffff00"
ifconfig_fxp0="inet 176.XXX.XXX.XXX netmask 255.255.255.192"

sshd_enable="YES"
ntpd_enable="YES"
sendmail_enable="NO"

squid_enable="YES"

bruteblockd_enable="YES"
bruteblockd_table="1"
bruteblockd_flags="-s 5"

firewall_enable="YES"
firewall_script="/etc/ipfw.rule"
firewall_type="open"

ядро собрано с опциями:
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_NAT
options         LIBALIAS

Заранее спасибо за помощь!


Содержание

Сообщения в этом обсуждении
"FreeBSD 10.1 и IPFW + NAT"
Отправлено Barbos , 24-Фев-15 19:43 
Удалил правило № 600, заработало.

Заменил последнее правило allow ip from any to any на deny и интернет закончился ... Что я не выпускаю?

Надо поработать, как-то кривовато все...

И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в случае пропадания сети.

Переключать планирую изменяя defaul маршрут.

Второй провайдер с PPP авторизацией.
PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не будет ли это приводить к проблемам?


"FreeBSD 10.1 и IPFW + NAT"
Отправлено reader , 24-Фев-15 21:27 
> Удалил правило № 600, заработало.
> Заменил последнее правило allow ip from any to any на deny и
> интернет закончился ... Что я не выпускаю?

80/tcp, dns и сам шлюз
> Надо поработать, как-то кривовато все...
> И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в
> случае пропадания сети.
> Переключать планирую изменяя defaul маршрут.
> Второй провайдер с PPP авторизацией.
> PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не
> будет ли это приводить к проблемам?

интерфей же другой будет


"FreeBSD 10.1 и IPFW + NAT"
Отправлено Barbos , 24-Фев-15 22:05 
>[оверквотинг удален]
>> интернет закончился ... Что я не выпускаю?
> 80/tcp, dns и сам шлюз
>> Надо поработать, как-то кривовато все...
>> И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в
>> случае пропадания сети.
>> Переключать планирую изменяя defaul маршрут.
>> Второй провайдер с PPP авторизацией.
>> PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не
>> будет ли это приводить к проблемам?
> интерфей же другой будет

Спасибо за ответ! Теперь все работает!

P.S. Подумаешь, забыл шлюз выпустить в инет, делов то ... ;)