URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6861
[ Назад ]

Исходное сообщение
"nat+ipfw"
Отправлено nide , 20-Дек-04 01:28

помогите решить такой вопрос. Есть роутер(free bsd 5.1), на одно сетевухе висит локалка, на другой ADSL роутер в инет. Для того чтобы клиенты могли ходить в инет поднят natd.
Дык вот, для ipfw есть следующие правила:
#!/bin/sh ipfw='/sbin/ipfw -q'
localnet='192.168.0.0/24'
ifin='rl0'
ifout='rl1'(ip=1.2.3.4)
${ipfw} flush
${ipfw} add 100 check-state

${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow ip from me to any keep-state out via ${ifout} ${ipfw} add 320 allow ip from me to any
${ipfw} add 330 allow icmp from me to any
${ipfw} add 400 allow tcp from any to me http,ssh
${ipfw} add 600 divert natd ip from ${localnet} to any out via ${ifout} ${ipfw} add 610 divert natd ip from any to 1.2.3.4
${ipfw} add 700 allow ip from ${localnet} to me in via ${ifin}
Но почему-то с клиента, при добавлении этого шлюза(192.168.0.1) пинговался только сам локальный ип шлюза и ип внешнего интерфейса,пока я не добавил в конце allow ip from any to any.
В чем тут проблема, может внешний и внутренний интерфейсы не могут пакеты друг другу пересылать?

Содержание

nat+ipfw,fantom, 09:06 , 20-Дек-04

Сообщения в этом обсуждении

"nat+ipfw"
Отправлено fantom , 20-Дек-04 09:06

>помогите решить такой вопрос. Есть роутер(free bsd 5.1), на одно сетевухе висит
>локалка, на другой ADSL роутер в инет. Для того чтобы клиенты
>могли ходить в инет поднят natd.
>Дык вот, для ipfw есть следующие правила:
>#!/bin/sh ipfw='/sbin/ipfw -q'
>localnet='192.168.0.0/24'
>ifin='rl0'
>ifout='rl1'(ip=1.2.3.4)
>
>${ipfw} flush
>${ipfw} add 100 check-state
>
>${ipfw} add 300 allow ip from any to any via lo
>${ipfw} add 310 allow ip from me to any keep-state out via
>${ifout} ${ipfw} add 320 allow ip from me to any
>${ipfw} add 330 allow icmp from me to any
>
>${ipfw} add 400 allow tcp from any to me http,ssh
>
>${ipfw} add 600 divert natd ip from ${localnet} to any out via
>${ifout} ${ipfw} add 610 divert natd ip from any to 1.2.3.4
>
>
>${ipfw} add 700 allow ip from ${localnet} to me in via ${ifin}
>
>
>Но почему-то с клиента, при добавлении этого шлюза(192.168.0.1) пинговался только сам локальный
>ип шлюза и ип внешнего интерфейса,пока я не добавил в конце
>allow ip from any to any.
>В чем тут проблема, может внешний и внутренний интерфейсы не могут пакеты
>друг другу пересылать?
Пакет из локалки попадает сначала в ipfw, а уже навыходе - в natd.
Если ipfw пакет непропустил, в natd он и непопал....