Здравствуйте,помогите пожалуйста разобраться:
решил попробовать использовать ядерный NAT, почитал про него, нашел подходящий пример для начала, подкорректировал - но не работает нат (сам я сейчас дома, но на работе оставил включенным компьютер с тим вьвером указав ему шлюзом настраиваемый сабж - в сети тимвьювер не регистрируется, сам компьютер со шлюза пингуется, интернет на шлюзе тоже есть).fxp0 - интернет
vr0 - локалкаtable(1) - для блокирования, заполняется bruteblockd
table(2) - те, кто ходит в инет на прямую (squid пока не настраивал)Правила:
00100 0 0 deny ip from table(1) to me #сюда заносит адреса bruteblockd
00200 84 18526 allow ip from any to any via lo0
00300 185 20397 allow tcp from any to me dst-port 22 keep-statenat 1 config log if fxp0 reset same_ports
00400 0 0 nat 1 ip from 192.168.101.0/24 to any dst-port 25,110,465,993,995 out via fxp0
00500 0 0 nat 1 ip from table(2) to any out via fxp0
00600 396 49003 nat 1 ip from any to 176.112.31.48 in via fxp0
00700 396 49003 nat 1 ip from any to any in via fxp0
00800 87 5633 allow ip from table(2) to not 192.168.101.0/24 in via vr0
00900 0 0 allow ip from 192.168.101.0/24 to not 192.168.101.0/24 dst-port 25,110,465,993,995 in via vr0
01000 0 0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 in via fxp0
01100 0 0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 out via vr0
65535 814 71073 allow ip from any to anyrc.conf:
gateway_enable="YES"
hostname="inet"
defaultrouter="176.XXX.XXX.XXX"
ifconfig_vr0="inet 192.168.101.174 netmask 0xffffff00"
ifconfig_fxp0="inet 176.XXX.XXX.XXX netmask 255.255.255.192"sshd_enable="YES"
ntpd_enable="YES"
sendmail_enable="NO"squid_enable="YES"
bruteblockd_enable="YES"
bruteblockd_table="1"
bruteblockd_flags="-s 5"firewall_enable="YES"
firewall_script="/etc/ipfw.rule"
firewall_type="open"ядро собрано с опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_NAT
options LIBALIASЗаранее спасибо за помощь!
Удалил правило № 600, заработало.Заменил последнее правило allow ip from any to any на deny и интернет закончился ... Что я не выпускаю?
Надо поработать, как-то кривовато все...
И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в случае пропадания сети.
Переключать планирую изменяя defaul маршрут.
Второй провайдер с PPP авторизацией.
PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не будет ли это приводить к проблемам?
> Удалил правило № 600, заработало.
> Заменил последнее правило allow ip from any to any на deny и
> интернет закончился ... Что я не выпускаю?80/tcp, dns и сам шлюз
> Надо поработать, как-то кривовато все...
> И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в
> случае пропадания сети.
> Переключать планирую изменяя defaul маршрут.
> Второй провайдер с PPP авторизацией.
> PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не
> будет ли это приводить к проблемам?интерфей же другой будет
>[оверквотинг удален]
>> интернет закончился ... Что я не выпускаю?
> 80/tcp, dns и сам шлюз
>> Надо поработать, как-то кривовато все...
>> И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в
>> случае пропадания сети.
>> Переключать планирую изменяя defaul маршрут.
>> Второй провайдер с PPP авторизацией.
>> PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не
>> будет ли это приводить к проблемам?
> интерфей же другой будетСпасибо за ответ! Теперь все работает!
P.S. Подумаешь, забыл шлюз выпустить в инет, делов то ... ;)