есть FreeBSD 5.2.1, настраиваю NAT+firewall:
rc.conf
hostname="gateway"
network_interfaces="lo0 vr0 vr1"
defaultrouter="2.2.2.2"ifconfig_lo0="inet 127.0.0.1"
ifconfig_vr0="inet 1.1.1.1 netmask 255.255.255.248"
ifconfig_vr1="inet 192.168.0.10 netmask 255.255.255.0"gateway_enable="YES"
firewall_enable="YES"
firewall_type="ROUTER-NET"natd_enable="YES"
natd_interface="vr0"в resolv.conf ДНСы провайдера
search 4.4.4.4
nameserver 4.4.4.4
search 4.4.4.1
nameserver 4.4.4.1rc. firewall - взял конфиг от сюда http://bsd.opennet.ru/base/net/ipfw_setup.txt.html
пример тот что наз. ROUTER-NET
изменил только
# Set these to your outside interface network and netmask and ip.
oif="vr0"
onet="1.1.1.0"
omask="255.255.255.248"
oip="1.1.1.1"# Set these to your inside interface network and netmask and ip.
iif="vr1"
inet="192.168.0.0"
imask="255.255.255.0"
iip="192.168.0.10"
вот, при этом конфиге нефига неработает, даже шлюз 2.2.2.2 непингуется.а в /var/log/security увидел вот чего:
Aug 24 21:31:34 gateway kernel: ipfw: 2700 Deny UDP 1.1.1.1:49152 4.4.4.4:53 out via vr0
ну и так дале Deny TCP.
в чем проблема? надеюсь не в ДНК :)
1. У тя ядро с поддержкой фаирвола ?
2. покажи `ipfw show`
скорее всего у тя там одно правило deny ip from any to any
3. rc.conf
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/usr/local/etc/firewall.conf"
firewall_quiet="YES"
создай файл /usr/local/etc/firewall.conf и в нем пиги свои правила фаира:
типа того:
add 100 allow ip from any to any
add 200 ...
add 210 ...
и т.д.
потом sh /etc/rc.firewall
и смотри что у тя будет в фаире ipfw show
>1. У тя ядро с поддержкой фаирвола ?
да
>2. покажи `ipfw show`
выводит все правила кторорые и были назначены
>скорее всего у тя там одно правило deny ip from any to
>any
>3. rc.conf
>firewall_enable="YES"
>firewall_script="/etc/rc.firewall"
>firewall_type="/usr/local/etc/firewall.conf"
>firewall_quiet="YES"
>создай файл /usr/local/etc/firewall.conf и в нем пиги свои правила фаира:
>типа того:
>add 100 allow ip from any to any
>add 200 ...
>add 210 ...
>и т.д.
>потом sh /etc/rc.firewall
>и смотри что у тя будет в фаире ipfw showпопробую сделать так.
может кто подкинет конфиг файрвола, чтоб все входы кроме SSH были закрыты и был NAT :)
#local net
ipfw add allow all from any to any via vr1
#natd
ipfw add divert natd all from 192.168.0.0/24 to any via vr0 out
ipfw add divert natd all from any to 1.1.1.1 via vr0 in
#allow ssh
ipfw add allow tcp from any to 1.1.1.1 22 via vr0 setup
ipfw add allow tcp from 1.1.1.1 22 to any via vr0 established
ipfw add allow tcp from any to 1.1.1.1 22 via vr0 established
#deny other connect
ipfw add deny tcp from any to 1.1.1.1 via vr0 setup
#allow all other
ipfw add allow tcp from 1.1.1.1 to any via vr0 out established
ipfw add allow tcp from any to 1.1.1.1 via vr0 in established
#dat' net for local net
ipfw add allow tcp from any to 192.168.0.0/24 in
#deny for all
ipfw add deny log all from any to any