https://www.opennet.ru/openforum/vsluhforumID1/83313.html FreeBSD 6.2-RELEASE<br>Пытаюсь настроить двойной nat. Срабатывает только nat на порту 8668. По умолчанию маршрутом прописан шлюз второг канала, wan2_gw<br>#NATD<br>${fwcmd} add divert 8778 ip from ${wan1_nat} to any out via ${wan1_if}<br>${fwcmd} add fwd ${wan1_gw} ip from ${wan1_ip} to any out via ${wan1_if}<br><br>${fwcmd} add divert 8668 log ip from ${wan2_nat} to any out via ${wan2_if}<br>${fwcmd} add fwd ${wan2_gw} log ip from ${wan2_ip} to any out via ${wan2_if}<br><br>${fwcmd} add divert 8778 ip from any to ${wan1_ip} in via ${wan1_if}<br>${fwcmd} add divert 8668 ip from any to ${wan2_ip} in via ${wan2_if}<br><br>В логах <br>Dec 10 15:27:34 user kernel: ipfw: 5201 Forward to 10.0.7.7 UDP 10.0.7.15:60895 194.87.0.50:33448 out via rl1<br><br>Как понимаю на шлюз первого канала , идет через интерфейс второго канала, по этому ничего и не срабатывает.<br><br>В ядре включено.<br>options NETGRAPH<br>options NETGRAPH_BPF<br>options NETGRAPH_IFACE<br>options NETGRAPH_KSOCKET<br>options NETGRAPH_MPPC_ENCRYPTION<br>opti https://www.opennet.ru/openforum/vsluhforumID1/83313.html#22 Sat, 27 Dec 2008 09:52:19 GMT &gt;<br>&gt;&gt;пропиши роутинг в ppp.conf для подмены при поднятии <br>&gt;<br>&gt;или пропиши роутинг, как в статье!! <br><br>Вот так оно и заработало :) И работает две недели.<br><br>05205 divert 8669 log logamount 100 ip from 192.168.11.0/24 to any out xmit rl1<br>05245 fwd 10.0.7.7 log logamount 100 ip from 10.0.7.5 to any out xmit rl1<br>05265 divert 8669 ip from any to 10.0.7.5 in via rl0<br><br>05301 divert 8668 ip from 192.168.10.0/24 to any out via rl1<br>05401 fwd 84.22.13*.1 ip from 84.22.13*.** to any out via rl1<br>05601 divert 8668 ip from any to 84.22.13*.** in via rl1<br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#21 Sat, 13 Dec 2008 16:10:48 GMT <br>&gt;пропиши роутинг в ppp.conf для подмены при поднятии <br><br>или пропиши роутинг, как в статье!!<br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#20 Sat, 13 Dec 2008 16:06:10 GMT <br>&gt;<br>&gt;Без out via ${wan1_if} в логе я вижу, что пакет пытается идти <br>&gt;через шлюз по умолчанию. Как я понимаю не работает из-за того, <br>&gt;что я использую vpn. Все клиенты подключаются через впн. <br>&gt;Сегодня попробую реализовать все без pptp на тестовой машине . <br><br>пропиши роутинг в ppp.conf для подмены при поднятии<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#19 Sat, 13 Dec 2008 15:07:46 GMT <br>&gt;ну и где там написано про "in via" или "out via"? Если <br>&gt;ошибаюсь, пусть меня поправят, но Ваше правило типа <br>&gt; {fwcmd} add divert 8778 ip from ${wan1_nat} to any out via <br>&gt;${wan1_if} <br>&gt;никогда не сработает, потому что фря все равно будет пихать пакет в <br>&gt;шлюз по-умолчанию. <br><br>Без out via ${wan1_if} в логе я вижу, что пакет пытается идти через шлюз по умолчанию. Как я понимаю не работает из-за того, что я использую vpn. Все клиенты подключаются через впн.<br>Сегодня попробую реализовать все без pptp на тестовой машине .<br>&gt;<br>&gt;статья 100% рабочая и опробована на 5, 6 и 7 фре. https://www.opennet.ru/openforum/vsluhforumID1/83313.html#18 Sat, 13 Dec 2008 15:03:01 GMT &gt;Да, ещё в ядре должна быть опция IPFIREWALL_FORWARD_EXTENDED, или её кажись можно <br>&gt;задать через sysctl <br><br>В моем версии freebsd данная опция отсутсвует. <br> The IPFIREWALL_FORWARD_EXTENDED option is gone and the behaviour<br> for IPFIREWALL_FORWARD is now as it was before when it was first<br> committed and for years after. The behaviour is now ON.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#17 Sat, 13 Dec 2008 13:25:12 GMT Да, ещё в ядре должна быть опция IPFIREWALL_FORWARD_EXTENDED, или её кажись можно задать через sysctl <br><br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#16 Fri, 12 Dec 2008 21:58:35 GMT &gt;по статье http://ipfw.ism.kiev.ua/pbr.html , слегка изучил man. <br>&gt;<br><br>ну и где там написано про "in via" или "out via"? Если ошибаюсь, пусть меня поправят, но Ваше правило типа<br> {fwcmd} add divert 8778 ip from ${wan1_nat} to any out via ${wan1_if}<br>никогда не сработает, потому что фря все равно будет пихать пакет в шлюз по-умолчанию. <br><br>статья 100% рабочая и опробована на 5, 6 и 7 фре. <br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#15 Fri, 12 Dec 2008 17:23:28 GMT &gt;Вообщем я о том, к чему пустые слова? <br>&gt;Жду мнения экспертов о моей проблеме :) <br><br>Да, я точно не эксперт, но всётаки гляньте на http://www.unixdoc.ru/print.php?print_id=15<br>синтаксис у ната несколько другой, просто в 7-ой ядерный нат и сантаксис отличается от 6-ой, но как оказалось не столь сильно, запрет на входящие (могу предположить) делается в natd.conf а не в правилах чем-нить типа deny_incoming yes <br><br>что по Вашему должна делать: <br>&gt;05201 0 0 fwd 10.0.7.7 ip from 10.0.7.15 to any out via rl2<br><br>я тоже без понятия, если это попытка роутинга или проброса, то это делается не так.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83313.html#14 Fri, 12 Dec 2008 16:22:54 GMT &gt;&gt;net.inet.ip.fw.one_pass: 1 <br>&gt;&gt;pipe в конфиге файрвола присутствуют(точнее abills добавляет pipe), срабатывают нормально. <br>&gt;<br>&gt;переставь в 0 -- тогда работа фаервола станет более очивидной <br>&gt;<br>&gt;теперь в краце: <br>&gt;когда <br>&gt;ipfw show <br><br>Спасибо за помощь. Как будет возможность проверю.<br>Описание принципа работы ipfw - не к чему, ибо я прочитал не одну статью на эту тему. Понравилась - http://www.lissyara.su/?id=1536 , pbr настраивал по статье http://ipfw.ism.kiev.ua/pbr.html , слегка изучил man.<br><br>&gt;после add ставится номер правила<br><br>и перед add ставится номер правила.<br><br>&gt;правила можно увидить командой ipfw show<br><br>Правила можно увидеть ipfw list, а ipfw show показывает правила и счётчики пакетов (2 и 3 колонка), которые совпали с этими правилами. <br><br>Вообщем я о том, к чему пустые слова? <br>Жду мнения экспертов о моей проблеме :)<br>