Новые ответы

конфигурационный файл natd,

rdsden, 10-Ноя-07, 11:13 [смотреть все]

Не могу понять в чем дело.. поднял шлюз на фришке, настроил ipfw и natd.
firewall_enable="yes"
firewall_script="/etc/rc.myfw"
firewall_type="my"
firewall_quiet="yes"
firewall_logging="yes"natd_enable="yes"
natd_interface="rl1"
natd_flags=""
С самого начала не стал прописвать конфигурацию NAT, ни в параметрах natd_flags="", ни в отдельном файле.
С недавнего времени появилась необходимость сконфигурировать NAT, и столкнулся с проблемой, что если в natd_flags="" прописать любые параметры конфига, будь то разрешение логов, или редирект адресов, в отдельном файле кстати тоже, то NAT напрочь отключается...
конфигурационный файл прописываю: natd_flags="-f /etc/natd.conf"
содержание /etc/natd.conf допустим такое:
log yes

Ответить | Сообщить модератору

конфигурационный файл natd, DN, 15:38 , 10-Ноя-07 (1)
>С недавнего времени появилась необходимость сконфигурировать NAT, и столкнулся с проблемой, что
>если в natd_flags="" прописать любые параметры конфига, будь то разрешение логов,
>или редирект адресов, в отдельном файле кстати тоже, то NAT напрочь
>отключается...
>конфигурационный файл прописываю: natd_flags="-f /etc/natd.conf"
>
>содержание /etc/natd.conf допустим такое:
>log yes
Если у Вас не работает должным образом связка ipfw & natd , то проблема
скорее в правилах ipfw .
Включение в natd_flags="-f /etc/natd.conf" :
log yes
допустимо , но самое последнее дело. По любому все должно логировать .
Или у Вас только эта опция и указана?
Ответить | Сообщить модератору

конфигурационный файл natd, rdsden, 14:09 , 11-Ноя-07 (2)
>Если у Вас не работает должным образом связка ipfw & natd ,
>то проблема
>скорее в правилах ipfw .
>Включение в natd_flags="-f /etc/natd.conf" :
>log yes
>допустимо , но самое последнее дело. По любому все должно логировать
>.
>Или у Вас только эта опция и указана?
Я не правильно выразился, при помещении любой опции в natd.conf, отключается не только NAT, а инетернет в целом даже на этой шлюзовой машине. Тип IPFW открытый.
Ответить | Сообщить модератору

конфигурационный файл natd, DN, 12:32 , 12-Ноя-07 (3)
>>Или у Вас только эта опция и указана?
>
>Я не правильно выразился, при помещении любой опции в natd.conf, отключается не
>только NAT, а инетернет в целом даже на этой шлюзовой машине.
>Тип IPFW открытый.
Что значит открытый ?
Думаю, у Вас проблемы с написание правил для ipfw .
Ответить | Сообщить модератору

конфигурационный файл natd,

rdsden, 13:22 , 12-Ноя-07 (4)

>
>Что значит открытый ?
>Думаю, у Вас проблемы с написание правил для ipfw .

Правила пока только в стадии написания:

[Mm][Yy]
# variable
fwcmd="/sbin/ipfw -q"# internet interface
oif="rl1"
onet="192.168.1.0/30"
oip="192.168.1.2"
# localnet interface
iif="rl0"
inet="192.168.2.0/24"
iip="192.168.2.99"
# drop old rules
${fwcmd} -f flush
# local trafic
${fwcmd} add 50 divert natd ip from any to any via ${oif}
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
# RDP
${fwcmd} add 500 allow tcp from any to any 3389
${fwcmd} add 600 allow tcp from any 3389 to any
# ICMP
${fwcmd} add 1100 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 1200 allow icmp from any to any
# SSH
${fwcmd} add 2100 allow tcp from ${inet} to me 22
${fwcmd} add 2200 allow tcp from me 22 to ${inet}
# DNS
${fwcmd} add 3100 allow udp from any to any 53
${fwcmd} add 3200 allow udp from any 53 to any
${fwcmd} add 3300 allow tcp from any to any 53
${fwcmd} add 3400 allow tcp from any 53 to any
# Web
${fwcmd} add 4100 allow tcp from any to any 80,443
${fwcmd} add 4200 allow tcp from any 80,443 to any
# Mail
${fwcmd} add 5100 allow tcp from any to any 25,110
${fwcmd} add 5200 allow tcp from any 25,110 to any
# ICQ
${fwcmd} add 6100 allow tcp from any to any 5190
${fwcmd} add 6200 allow tcp from any 5190 to any
# pptp
${fwcmd} add 7100 allow tcp from any to me 1723
${fwcmd} add 7200 allow tcp from me 1723 to any
${fwcmd} add 65000 allow ip from any to any

Ответить | Сообщить модератору

конфигурационный файл natd, DN, 13:34 , 12-Ноя-07 (5)
>inet="192.168.2.0/24"
>iip="192.168.2.99"
>
># drop old rules
>${fwcmd} -f flush
>
># local trafic
>${fwcmd} add 100 pass all from any to any via lo0
>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
${fwcmd} add 400 divert natd ip from any to any via ${oif}
># ICQ
>${fwcmd} add 6100 allow tcp from any to any 5190
>${fwcmd} add 6200 allow tcp from any 5190 to any
>
># pptp
>${fwcmd} add 7100 allow tcp from any to me 1723
>${fwcmd} add 7200 allow tcp from me 1723 to any
>
>${fwcmd} add 65000 allow ip from any to any
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
:-) Это просто песня.
${fwcmd} add 64900 deny log ip from any to any
Не включайте для natd опцию -unregistered_only
Ответить | Сообщить модератору

конфигурационный файл natd, rdsden, 14:44 , 12-Ноя-07 (6)
пасиба огромное :) все заработало
Ответить | Сообщить модератору

конфигурационный файл natd, rdsden, 16:54 , 12-Ноя-07 (7)
упс.. извиняюсь за дезинформацию.. всё осталось как и было

Ответить | Сообщить модератору

конфигурационный файл natd, DN, 17:10 , 12-Ноя-07 (8)
>упс.. извиняюсь за дезинформацию.. всё осталось как и было
Смотрите лог ipfw для правила
${fwcmd} add 64900 deny log ip from any to any
Можно временно влючть лог и для divert .

Ответить | Сообщить модератору