https://www.opennet.ru/openforum/vsluhforumID1/91499.html Понимаю, что не оригинален со своим вопросом, и все же.. Абсолютно элементарная проблема, но почему-то похоже что все имеющиеся в сети примеры решают ее как-то странно.<br><br>Есть шлюз на FreeBSD, одна сетевуха - локалка с серыми IP, другая - Инет со статическим IP-адресом.<br><br>необходимо обеспечить исходящие сеансы из внутренней сети (хотя бы с 1-го IP-адреса) в глобальный инет.<br><br>вроде все мануалы прочитал, и хандбук и маны и примеров кучу.. делаю примерно как там (только стараюсь как можно проще, пока) <br><br>не проходят пакеты из локальной сети наружу и все тут - ни TCP, ни ICMP, ни UDP, ничего. <br><br>сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не отрабатывают, судя по ipfw show - значит проблема NATD, я так полагаю ? больше всего меня озадачивает то что ipfw show не показывает вообще никаких сработок по правилам divert. хотя судя по консоли загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в общем все (вроде) работает правильно. <br><br>все конфиги и выводы ком https://www.opennet.ru/openforum/vsluhforumID1/91499.html#8 Mon, 02 May 2011 09:08:58 GMT <br>&gt; Интересно, сколько народу будет качать зип, распаковывать, смотреть :-) <br>&gt; Ну да ладно. Не смотря в архив: <br>&gt; 1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?<br>&gt; 2) Откройте для себя пару консолек с командами tcpdump -i rl0 / <br>&gt; tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.<br>&gt; 3) man ipfw на тему "NETWORK ADDRESS TRANSLATION" <br><br>по пункту 0 - если б знал как прикрепить непосредственно файлы к вопросу, не мудрил бы с архивом...<br><br>по пункту 1 - естественно это сделано и кстати второе гарантирует первое.<br><br>по пункту 3 - да уж всю голову об этот ман разбил.. примеры которые с встроенным nat, приведены супер лапидарно, вообще ничего не понятно. <br><br>по пункту 2 - сделал так. похоже что на внешнем интерфейсе пакеты вываливаются с неизмененными адресами (если это конечно не особенность tcpdump). то есть они выходить выходят, и source у них стоит 192.168.0.x. так и должно быть или это признак проблемы ?<br><br>сейчас взял прям весь пример из handbook (которые Stateful+NAT, Example1) забаба https://www.opennet.ru/openforum/vsluhforumID1/91499.html#7 Mon, 02 May 2011 01:07:21 GMT <br>&gt;&gt; http://files.mail.ru/P1TYGH <br>&gt;&gt; Кто может помочь советом - помогите, заранее спасибо !<br>&gt; http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html <br>&gt; Я делал по этому документу.<br><br>явно прописать интерфейсы.<br>стараться не использовать конструкции "any to any", а разбить на два "any to me" и "me to any". вместо me можно использовать ip приемника или передатчика.<br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#6 Sat, 30 Apr 2011 02:39:39 GMT &gt;[оверквотинг удален]<br>&gt; сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не <br>&gt; отрабатывают, судя по ipfw show - значит проблема NATD, я так <br>&gt; полагаю ? больше всего меня озадачивает то что ipfw show не <br>&gt; показывает вообще никаких сработок по правилам divert. хотя судя по консоли <br>&gt; загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в <br>&gt; общем все (вроде) работает правильно.<br>&gt; все конфиги и выводы команд, которые я посчитал важными для этой проблемы, <br>&gt; собрал тут : <br>&gt; http://files.mail.ru/P1TYGH <br>&gt; Кто может помочь советом - помогите, заранее спасибо !<br><br>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html<br><br>Я делал по этому документу.<br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#5 Fri, 29 Apr 2011 13:36:22 GMT &gt;&gt; ipfw сам умеет делать nat. и делает это гибче и быстрее чем <br>&gt;&gt; natd.<br>&gt; пардоне прошу, как оно может работать гибче, если они оба на одной <br>&gt; и той же основе <br>&gt; libalias? :-&#124; <br><br>Гибкость != фичастость. Я имел в виду возможности настройки.<br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#4 Fri, 29 Apr 2011 13:31:42 GMT &gt; ipfw сам умеет делать nat. и делает это гибче и быстрее чем <br>&gt; natd.<br><br>пардоне прошу, как оно может работать гибче, если они оба на одной и той же основе<br>libalias? :-&#124;<br><br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#3 Fri, 29 Apr 2011 12:28:44 GMT &gt;[оверквотинг удален]<br>&gt; сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не <br>&gt; отрабатывают, судя по ipfw show - значит проблема NATD, я так <br>&gt; полагаю ? больше всего меня озадачивает то что ipfw show не <br>&gt; показывает вообще никаких сработок по правилам divert. хотя судя по консоли <br>&gt; загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в <br>&gt; общем все (вроде) работает правильно.<br>&gt; все конфиги и выводы команд, которые я посчитал важными для этой проблемы, <br>&gt; собрал тут : <br>&gt; http://files.mail.ru/P1TYGH <br>&gt; Кто может помочь советом - помогите, заранее спасибо !<br><br>ipfw сам умеет делать nat. и делает это гибче и быстрее чем natd. <br>не смотря на то, что в настройке этой связки нет ничего сложного, <br>я рекомендую все-таки сделать nat на ipfw. так вы по крайней мере<br>избавитесь лишнего звена и проблем, которые могут возникать в <br>этой связи.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#2 Fri, 29 Apr 2011 12:26:52 GMT &gt;[оверквотинг удален]<br>&gt; сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не <br>&gt; отрабатывают, судя по ipfw show - значит проблема NATD, я так <br>&gt; полагаю ? больше всего меня озадачивает то что ipfw show не <br>&gt; показывает вообще никаких сработок по правилам divert. хотя судя по консоли <br>&gt; загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в <br>&gt; общем все (вроде) работает правильно.<br>&gt; все конфиги и выводы команд, которые я посчитал важными для этой проблемы, <br>&gt; собрал тут : <br>&gt; http://files.mail.ru/P1TYGH <br>&gt; Кто может помочь советом - помогите, заранее спасибо !<br><br>Интересно, сколько народу будет качать зип, распаковывать, смотреть :-)<br><br>Ну да ладно. Не смотря в архив:<br><br>1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?<br><br>2) Откройте для себя пару консолек с командами tcpdump -i rl0 / tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.<br><br>3) man ipfw на тему "NETWORK ADDRESS TRANSLATION" <br><br> https://www.opennet.ru/openforum/vsluhforumID1/91499.html#1 Fri, 29 Apr 2011 12:24:02 GMT &gt;[оверквотинг удален]<br>&gt; сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не <br>&gt; отрабатывают, судя по ipfw show - значит проблема NATD, я так <br>&gt; полагаю ? больше всего меня озадачивает то что ipfw show не <br>&gt; показывает вообще никаких сработок по правилам divert. хотя судя по консоли <br>&gt; загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в <br>&gt; общем все (вроде) работает правильно.<br>&gt; все конфиги и выводы команд, которые я посчитал важными для этой проблемы, <br>&gt; собрал тут : <br>&gt; http://files.mail.ru/P1TYGH <br>&gt; Кто может помочь советом - помогите, заранее спасибо !<br><br>gateway_enable="YES"<br>в rc.conf не забыли?<br>