forum.opennet.ru - "Все тот же gateway на FreeBSD" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Все тот же gateway на FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Все тот же gateway на FreeBSD"
Сообщение от RomaTr on 04-Янв-03, 10:59 (MSK)
Здравствуйте и с наступившим вас. Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой области - не соображу чего я еще не доделал. Это в ядре: ============================================================== options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET options IPDIVERT options HZ=1000 ============================================================== Это в rc.conf ============================================================== tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" firewall_enable="YES" firewall_type="/usr/local/etc/firewall/firewall.conf" defaultrouter="192.168.2.254" named_enable="YES" natd_enable="YES" natd_interface="fxp0" gateway_enable="YES" hostname="romatr.aviti.lan" ifconfig_fxp0="inet 192.168.2.10 netmask 255.255.255.0" ifconfig_ed0="inet 10.0.0.254 netmask 255.255.255.0" ============================================================== Это firewall.conf ============================================================== add 1000 divert natd ip from 10.0.0.10 to any via fxp0 add 10000 divert natd ip from any to 192.168.2.10 add 65000 allow all from any to any ============================================================== Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10 а дальше ничего не видно :( Помогите плз. Спасибо
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Все тот же gateway на FreeBSD, LinaS, 11:11 , 04-Янв-03, (1)
- RE: Все тот же gateway на FreeBSD, AlexBSD, 11:32 , 04-Янв-03, (2)
  - RE: Все тот же gateway на FreeBSD, LinaS, 11:48 , 04-Янв-03, (4)
- RE: Все тот же gateway на FreeBSD, RomaTr, 11:35 , 04-Янв-03, (3)
  - RE: Все тот же gateway на FreeBSD, LinaS, 11:59 , 04-Янв-03, (5)
    - RE: Все тот же gateway на FreeBSD, romatr, 12:35 , 04-Янв-03, (6)
      - RE: Все тот же gateway на FreeBSD, LinaS, 13:01 , 04-Янв-03, (7)
        
        RE: Все тот же gateway на FreeBSD, RomaTr, 13:52 , 04-Янв-03, (8)
        
        RE: Все тот же gateway на FreeBSD, LinaS, 14:03 , 04-Янв-03, (9)
        RE: Все тот же gateway на FreeBSD, RomaTr, 14:06 , 04-Янв-03, (10)
        
        RE: Все тот же gateway на FreeBSD, LinaS, 14:23 , 04-Янв-03, (11)
        
        RE: Все тот же gateway на FreeBSD, RomaTr, 15:49 , 04-Янв-03, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 11:11  (MSK)

>Здравствуйте и с наступившим вас.
>
>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>области - не соображу чего я еще не доделал.
>
>Это в ядре:
>==============================================================
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_VERBOSE_LIMIT=10
>
>options         DUMMYNET
>options         IPDIVERT
>options         HZ=1000
>==============================================================
>
>Это в rc.conf
>==============================================================
>tcp_extensions="NO"
>tcp_drop_synfin="YES"
>icmp_drop_redirect="YES"
>icmp_log_redirect="YES"
>firewall_enable="YES"
>firewall_type="/usr/local/etc/firewall/firewall.conf"
>defaultrouter="192.168.2.254"
>
>named_enable="YES"
>
>natd_enable="YES"
>natd_interface="fxp0"
>
>gateway_enable="YES"
>
>hostname="romatr.aviti.lan"
>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>==============================================================
>
>Это firewall.conf
>==============================================================
>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>
>add 10000 divert natd ip from any to 192.168.2.10
>
>add 65000 allow all from any to any
>==============================================================
>
>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>а дальше ничего не видно :(
>
>Помогите плз. Спасибо
А зачем тебе тут НАТ?
обе сетки частные, и так все ходить должно
?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Все тот же gateway на FreeBSD"

Сообщение от AlexBSD on 04-Янв-03, 11:32  (MSK)

>>Здравствуйте и с наступившим вас.
>>
>>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>>области - не соображу чего я еще не доделал.
>>
>>Это в ядре:
>>==============================================================
>>options         IPFIREWALL
>>options         IPFIREWALL_VERBOSE
>>options         IPFIREWALL_VERBOSE_LIMIT=10
>>
>>options         DUMMYNET
>>options         IPDIVERT
>>options         HZ=1000
>>==============================================================
>>
>>Это в rc.conf
>>==============================================================
>>tcp_extensions="NO"
>>tcp_drop_synfin="YES"
>>icmp_drop_redirect="YES"
>>icmp_log_redirect="YES"
>>firewall_enable="YES"
>>firewall_type="/usr/local/etc/firewall/firewall.conf"
>>defaultrouter="192.168.2.254"
>>
>>named_enable="YES"
>>
>>natd_enable="YES"
>>natd_interface="fxp0"
>>
>>gateway_enable="YES"
>>
>>hostname="romatr.aviti.lan"
>>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>>==============================================================
>>
>>Это firewall.conf
>>==============================================================
>>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>>
>>add 10000 divert natd ip from any to 192.168.2.10
>>
>>add 65000 allow all from any to any
>>==============================================================
>>
>>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>>а дальше ничего не видно :(
>>
>>Помогите плз. Спасибо
>
>А зачем тебе тут НАТ?
>обе сетки частные, и так все ходить должно
>
>?
тоесть если шлюз имеет два ипа частных сеток то натд поднимать не нужно???
у меня поднят...вроде работает...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 11:48  (MSK)

>>>Здравствуйте и с наступившим вас.
>>>
>>>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой
>>>области - не соображу чего я еще не доделал.
>>>
>>>Это в ядре:
>>>==============================================================
>>>options         IPFIREWALL
>>>options         IPFIREWALL_VERBOSE
>>>options         IPFIREWALL_VERBOSE_LIMIT=10
>>>
>>>options         DUMMYNET
>>>options         IPDIVERT
>>>options         HZ=1000
>>>==============================================================
>>>
>>>Это в rc.conf
>>>==============================================================
>>>tcp_extensions="NO"
>>>tcp_drop_synfin="YES"
>>>icmp_drop_redirect="YES"
>>>icmp_log_redirect="YES"
>>>firewall_enable="YES"
>>>firewall_type="/usr/local/etc/firewall/firewall.conf"
>>>defaultrouter="192.168.2.254"
>>>
>>>named_enable="YES"
>>>
>>>natd_enable="YES"
>>>natd_interface="fxp0"
>>>
>>>gateway_enable="YES"
>>>
>>>hostname="romatr.aviti.lan"
>>>ifconfig_fxp0="inet 192.168.2.10  netmask 255.255.255.0"
>>>ifconfig_ed0="inet 10.0.0.254  netmask 255.255.255.0"
>>>==============================================================
>>>
>>>Это firewall.conf
>>>==============================================================
>>>add 1000 divert natd ip from 10.0.0.10 to any via fxp0
>>>
>>>add 10000 divert natd ip from any to 192.168.2.10
>>>
>>>add 65000 allow all from any to any
>>>==============================================================
>>>
>>>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через
>>>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення
>>>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10
>>>а дальше ничего не видно :(
>>>
>>>Помогите плз. Спасибо
>>
>>А зачем тебе тут НАТ?
>>обе сетки частные, и так все ходить должно
>>
>>?
>
>тоесть если шлюз имеет два ипа частных сеток то натд поднимать не
>нужно???
>у меня поднят...вроде работает...
никто не запрещает поднимать, просто НАТ нужен в общем случае для того, чтобы расшарить инет для локалки, в которой частные адреса...
ну и для других целей конечно тоже, но в первую очередь для этого
а если идет общение между двумя локалками - можно и без него обойтись
:)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Все тот же gateway на FreeBSD"

Сообщение от RomaTr on 04-Янв-03, 11:35  (MSK)

>А зачем тебе тут НАТ?
>обе сетки частные, и так все ходить должно
>
>?
Я ж для тренировки просто и его нацепил, и даже ДНС есть :)
Просто есть необходимость потихоньку в это вникать
Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но пингом не достает дальше 192.168.2.10 (внешнего интерфейса).

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 11:59  (MSK)

>>А зачем тебе тут НАТ?
>>обе сетки частные, и так все ходить должно
>>
>>?
>
>Я ж для тренировки просто и его нацепил, и даже ДНС есть
>:)
>Просто есть необходимость потихоньку в это вникать
>
>Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ
>к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но
>пингом не достает дальше 192.168.2.10 (внешнего интерфейса).
так а какая конечная цель?
чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника 192.168.2.10?
тогда например
ipfw add divert natd all from any to any via fxp0
ipfw add allow ip from any to any
не поможет?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Все тот же gateway на FreeBSD"

Сообщение от romatr on 04-Янв-03, 12:35  (MSK)

>так а какая конечная цель?
>чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника
>192.168.2.10?
>
>тогда например
>
>ipfw add divert natd all from any to any via fxp0
>ipfw add allow ip from any to any
>
>не поможет?
В принципе да, но и хотелось бы в инет. Но из 10 сетки не видны машины в 192 сети (тока до внешнего интерфейса 192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 13:01  (MSK)

>>так а какая конечная цель?
>>чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника
>>192.168.2.10?
>>
>>тогда например
>>
>>ipfw add divert natd all from any to any via fxp0
>>ipfw add allow ip from any to any
>>
>>не поможет?
>
>В принципе да, но и хотелось бы в инет. Но из 10
>сетки не видны машины в 192 сети (тока до внешнего интерфейса
>192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10
а если с машины в 10 сетке запусить пинг например
ping 192.168.2.254
и на фре посмотреть:
tcpdump -i fxp0 -n icmp
что показывает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Все тот же gateway на FreeBSD"

Сообщение от RomaTr on 04-Янв-03, 13:52  (MSK)

>а если с машины в 10 сетке запусить пинг например
>ping 192.168.2.254
>
>и на фре посмотреть:
>tcpdump -i fxp0 -n icmp
>
>что показывает?
12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
Вот такое ....

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 14:03  (MSK)

>>а если с машины в 10 сетке запусить пинг например
>>ping 192.168.2.254
>>
>>и на фре посмотреть:
>>tcpdump -i fxp0 -n icmp
>>
>>что показывает?
>
>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>
>Вот такое ....
это ты пингуешь с машины в 10 сети?
и при этом до 10 сети ответ не доходит?
так какое правило с divert у тебя в итоге прописано?
ipfw show|grep divert
тот же tcpdump но на внутреннем интерфейсе при тех же условиях что показывает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Все тот же gateway на FreeBSD"

Сообщение от RomaTr on 04-Янв-03, 14:06  (MSK)

>>а если с машины в 10 сетке запусить пинг например
>>ping 192.168.2.254
>>
>>и на фре посмотреть:
>>tcpdump -i fxp0 -n icmp
>>
>>что показывает?
>
>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>
>Вот такое ....
прописал
ipfw add divert natd all from any to any via fxp0
пинг пошел
раньше было
ipfw add divert natd ip from 10.0.0.10 to any via fxp0
(сорри еще не во всем шарю, icmp получается к ip не относится :( )
А чтоб не для any а ограничить тока для 10.0.0.10 ????
ipfw add divert natd all from 10.0.0.10 to any via fxp0
ipfw add divert natd all from any to 10.0.0.10 via fxp0 ???????
Подскажите ссылочку где про это написано подробно, а то не в хэндбуке не в своей книге с базара поюробностей я не нашел.
Спасибо!!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Все тот же gateway на FreeBSD"

Сообщение от LinaS on 04-Янв-03, 14:23  (MSK)

>>>а если с машины в 10 сетке запусить пинг например
>>>ping 192.168.2.254
>>>
>>>и на фре посмотреть:
>>>tcpdump -i fxp0 -n icmp
>>>
>>>что показывает?
>>
>>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request
>>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply
>>
>>Вот такое ....
>
>прописал
>ipfw add divert natd all from any to any via fxp0
>
>пинг пошел
>
>раньше было
>ipfw add divert natd ip from 10.0.0.10 to any via fxp0
>
>(сорри еще не во всем шарю, icmp получается к ip не относится
>:( )
>
>А чтоб не для any а ограничить тока для 10.0.0.10 ????
>
>ipfw add divert natd all from 10.0.0.10 to any via fxp0
>ipfw add divert natd all from any to 10.0.0.10 via fxp0 ???????
>
>
>Подскажите ссылочку где про это написано подробно, а то не в хэндбуке
>не в своей книге с базара поюробностей я не нашел.
>
>Спасибо!!!!
icmp  к ip как раз относится :)
all и ip - синонимы здесь
а трабла у тебя была в том, что ты дивертил пакеты ОТ 10-й сетки, а те, которые обратно шли?
попробуй например так
ipfw add divert natd ip from 10.0.0.10 to any out via fxp0
ipfw add divert natd ip from any to any in via fxp0
но это имеет смысл, когда на внешнем интерфейсе реальный ИП
а так - все равно пройдет через ipfw (просто не будет попадать на divert)
я кстати не уверена что это будет работать (напиши результат плз, если будешь пробовать)
еще вариант:
ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface
ipfw add 200 deny ip from any to any via $internal_iface
ipfw add 1000 divert natd ip from any to any via fxp0
тут пройдет только хост 10.0.0.10 и попадет в итоге на divert
остальное не пройдет еще на внутреннем интерфейсе по правилу 200
ну или как то так (тестить некогда)

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Все тот же gateway на FreeBSD"

Сообщение от RomaTr on 04-Янв-03, 15:49  (MSK)

>icmp  к ip как раз относится :)
>all и ip - синонимы здесь
>а трабла у тебя была в том, что ты дивертил пакеты ОТ
>10-й сетки, а те, которые обратно шли?
>
>попробуй например так
>ipfw add divert natd ip from 10.0.0.10 to any out via fxp0
>
>ipfw add divert natd ip from any to any in via fxp0
>
>
>но это имеет смысл, когда на внешнем интерфейсе реальный ИП
>а так - все равно пройдет через ipfw (просто не будет попадать
>на divert)
>я кстати не уверена что это будет работать (напиши результат плз, если
>будешь пробовать)
>
>еще вариант:
>ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface
>
>ipfw add 200 deny ip from any to any via $internal_iface
>ipfw add 1000 divert natd ip from any to any via fxp0
>
>
>тут пройдет только хост 10.0.0.10 и попадет в итоге на divert
>остальное не пройдет еще на внутреннем интерфейсе по правилу 200
>
>ну или как то так (тестить некогда)

Спасибо за помощь Лина!!! Если буду что-то из этого пробовать  - сообщу результат. Пока оставил
add divert natd all from any to any via fxp0

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Все тот же gateway на FreeBSD"
Сообщение от LinaS on 04-Янв-03, 11:11 (MSK)
>Здравствуйте и с наступившим вас. > >Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой >области - не соображу чего я еще не доделал. > >Это в ядре: >============================================================== >options IPFIREWALL >options IPFIREWALL_VERBOSE >options IPFIREWALL_VERBOSE_LIMIT=10 > >options DUMMYNET >options IPDIVERT >options HZ=1000 >============================================================== > >Это в rc.conf >============================================================== >tcp_extensions="NO" >tcp_drop_synfin="YES" >icmp_drop_redirect="YES" >icmp_log_redirect="YES" >firewall_enable="YES" >firewall_type="/usr/local/etc/firewall/firewall.conf" >defaultrouter="192.168.2.254" > >named_enable="YES" > >natd_enable="YES" >natd_interface="fxp0" > >gateway_enable="YES" > >hostname="romatr.aviti.lan" >ifconfig_fxp0="inet 192.168.2.10 netmask 255.255.255.0" >ifconfig_ed0="inet 10.0.0.254 netmask 255.255.255.0" >============================================================== > >Это firewall.conf >============================================================== >add 1000 divert natd ip from 10.0.0.10 to any via fxp0 > >add 10000 divert natd ip from any to 192.168.2.10 > >add 65000 allow all from any to any >============================================================== > >Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через >ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення >подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10 >а дальше ничего не видно :( > >Помогите плз. Спасибо А зачем тебе тут НАТ? обе сетки частные, и так все ходить должно ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Все тот же gateway на FreeBSD"
	Сообщение от AlexBSD on 04-Янв-03, 11:32 (MSK)
	>>Здравствуйте и с наступившим вас. >> >>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой >>области - не соображу чего я еще не доделал. >> >>Это в ядре: >>============================================================== >>options IPFIREWALL >>options IPFIREWALL_VERBOSE >>options IPFIREWALL_VERBOSE_LIMIT=10 >> >>options DUMMYNET >>options IPDIVERT >>options HZ=1000 >>============================================================== >> >>Это в rc.conf >>============================================================== >>tcp_extensions="NO" >>tcp_drop_synfin="YES" >>icmp_drop_redirect="YES" >>icmp_log_redirect="YES" >>firewall_enable="YES" >>firewall_type="/usr/local/etc/firewall/firewall.conf" >>defaultrouter="192.168.2.254" >> >>named_enable="YES" >> >>natd_enable="YES" >>natd_interface="fxp0" >> >>gateway_enable="YES" >> >>hostname="romatr.aviti.lan" >>ifconfig_fxp0="inet 192.168.2.10 netmask 255.255.255.0" >>ifconfig_ed0="inet 10.0.0.254 netmask 255.255.255.0" >>============================================================== >> >>Это firewall.conf >>============================================================== >>add 1000 divert natd ip from 10.0.0.10 to any via fxp0 >> >>add 10000 divert natd ip from any to 192.168.2.10 >> >>add 65000 allow all from any to any >>============================================================== >> >>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через >>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення >>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10 >>а дальше ничего не видно :( >> >>Помогите плз. Спасибо > >А зачем тебе тут НАТ? >обе сетки частные, и так все ходить должно > >? тоесть если шлюз имеет два ипа частных сеток то натд поднимать не нужно??? у меня поднят...вроде работает...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Все тот же gateway на FreeBSD"
	Сообщение от LinaS on 04-Янв-03, 11:48 (MSK)
	>>>Здравствуйте и с наступившим вас. >>> >>>Хочу поробовать настроить себе gateway на фрюхе, но посокльку новичек в этой >>>области - не соображу чего я еще не доделал. >>> >>>Это в ядре: >>>============================================================== >>>options IPFIREWALL >>>options IPFIREWALL_VERBOSE >>>options IPFIREWALL_VERBOSE_LIMIT=10 >>> >>>options DUMMYNET >>>options IPDIVERT >>>options HZ=1000 >>>============================================================== >>> >>>Это в rc.conf >>>============================================================== >>>tcp_extensions="NO" >>>tcp_drop_synfin="YES" >>>icmp_drop_redirect="YES" >>>icmp_log_redirect="YES" >>>firewall_enable="YES" >>>firewall_type="/usr/local/etc/firewall/firewall.conf" >>>defaultrouter="192.168.2.254" >>> >>>named_enable="YES" >>> >>>natd_enable="YES" >>>natd_interface="fxp0" >>> >>>gateway_enable="YES" >>> >>>hostname="romatr.aviti.lan" >>>ifconfig_fxp0="inet 192.168.2.10 netmask 255.255.255.0" >>>ifconfig_ed0="inet 10.0.0.254 netmask 255.255.255.0" >>>============================================================== >>> >>>Это firewall.conf >>>============================================================== >>>add 1000 divert natd ip from 10.0.0.10 to any via fxp0 >>> >>>add 10000 divert natd ip from any to 192.168.2.10 >>> >>>add 65000 allow all from any to any >>>============================================================== >>> >>>Внешний соответсвенно интерфес fxp0 (192.168.2.10) - это в мою локалку офисную. Через >>>ed0 (10.0.0.254) перевертышем подключена еще одна машина (ну типа моя внутрення >>>подсеть). С этой машины 10.0.0.10 виден и интерфейс 10.0.0.254 и 192.168.2.10 >>>а дальше ничего не видно :( >>> >>>Помогите плз. Спасибо >> >>А зачем тебе тут НАТ? >>обе сетки частные, и так все ходить должно >> >>? > >тоесть если шлюз имеет два ипа частных сеток то натд поднимать не >нужно??? >у меня поднят...вроде работает... никто не запрещает поднимать, просто НАТ нужен в общем случае для того, чтобы расшарить инет для локалки, в которой частные адреса... ну и для других целей конечно тоже, но в первую очередь для этого а если идет общение между двумя локалками - можно и без него обойтись :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Все тот же gateway на FreeBSD"
	Сообщение от RomaTr on 04-Янв-03, 11:35 (MSK)
	>А зачем тебе тут НАТ? >обе сетки частные, и так все ходить должно > >? Я ж для тренировки просто и его нацепил, и даже ДНС есть :) Просто есть необходимость потихоньку в это вникать Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но пингом не достает дальше 192.168.2.10 (внешнего интерфейса).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Все тот же gateway на FreeBSD"
	Сообщение от LinaS on 04-Янв-03, 11:59 (MSK)
	>>А зачем тебе тут НАТ? >>обе сетки частные, и так все ходить должно >> >>? > >Я ж для тренировки просто и его нацепил, и даже ДНС есть >:) >Просто есть необходимость потихоньку в это вникать > >Даже Squid есть ;-) Кстати в нем забыл прописать разрешение на доступ >к сети 10.0.0.0/255.255.255.0 Теперь инет через проксик на 10.0.0.10 ЕСТЬ!!! Но >пингом не достает дальше 192.168.2.10 (внешнего интерфейса). так а какая конечная цель? чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника 192.168.2.10? тогда например ipfw add divert natd all from any to any via fxp0 ipfw add allow ip from any to any не поможет?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Все тот же gateway на FreeBSD"
	Сообщение от romatr on 04-Янв-03, 12:35 (MSK)
	>так а какая конечная цель? >чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника >192.168.2.10? > >тогда например > >ipfw add divert natd all from any to any via fxp0 >ipfw add allow ip from any to any > >не поможет? В принципе да, но и хотелось бы в инет. Но из 10 сетки не видны машины в 192 сети (тока до внешнего интерфейса 192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Все тот же gateway на FreeBSD"
	Сообщение от LinaS on 04-Янв-03, 13:01 (MSK)
	>>так а какая конечная цель? >>чтобы комп из 10-й сетки ходил в 192-ю сетку с адресом источника >>192.168.2.10? >> >>тогда например >> >>ipfw add divert natd all from any to any via fxp0 >>ipfw add allow ip from any to any >> >>не поможет? > >В принципе да, но и хотелось бы в инет. Но из 10 >сетки не видны машины в 192 сети (тока до внешнего интерфейса >192.168.2.10 fxp0), а инет тока получается через проксик на 192.168.2.10 а если с машины в 10 сетке запусить пинг например ping 192.168.2.254 и на фре посмотреть: tcpdump -i fxp0 -n icmp что показывает?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Все тот же gateway на FreeBSD"
	Сообщение от RomaTr on 04-Янв-03, 13:52 (MSK)
	>а если с машины в 10 сетке запусить пинг например >ping 192.168.2.254 > >и на фре посмотреть: >tcpdump -i fxp0 -n icmp > >что показывает? 12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request 12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply 12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request 12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply 12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request 12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply 12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request 12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply Вот такое ....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Все тот же gateway на FreeBSD"
	Сообщение от LinaS on 04-Янв-03, 14:03 (MSK)
	>>а если с машины в 10 сетке запусить пинг например >>ping 192.168.2.254 >> >>и на фре посмотреть: >>tcpdump -i fxp0 -n icmp >> >>что показывает? > >12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply > >Вот такое .... это ты пингуешь с машины в 10 сети? и при этом до 10 сети ответ не доходит? так какое правило с divert у тебя в итоге прописано? ipfw show\|grep divert тот же tcpdump но на внутреннем интерфейсе при тех же условиях что показывает?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Все тот же gateway на FreeBSD"
	Сообщение от RomaTr on 04-Янв-03, 14:06 (MSK)
	>>а если с машины в 10 сетке запусить пинг например >>ping 192.168.2.254 >> >>и на фре посмотреть: >>tcpdump -i fxp0 -n icmp >> >>что показывает? > >12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply >12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request >12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply > >Вот такое .... прописал ipfw add divert natd all from any to any via fxp0 пинг пошел раньше было ipfw add divert natd ip from 10.0.0.10 to any via fxp0 (сорри еще не во всем шарю, icmp получается к ip не относится :( ) А чтоб не для any а ограничить тока для 10.0.0.10 ???? ipfw add divert natd all from 10.0.0.10 to any via fxp0 ipfw add divert natd all from any to 10.0.0.10 via fxp0 ??????? Подскажите ссылочку где про это написано подробно, а то не в хэндбуке не в своей книге с базара поюробностей я не нашел. Спасибо!!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Все тот же gateway на FreeBSD"
	Сообщение от LinaS on 04-Янв-03, 14:23 (MSK)
	>>>а если с машины в 10 сетке запусить пинг например >>>ping 192.168.2.254 >>> >>>и на фре посмотреть: >>>tcpdump -i fxp0 -n icmp >>> >>>что показывает? >> >>12:54:22.284626 192.168.2.10 > 192.168.2.254: icmp: echo request >>12:54:22.284913 192.168.2.254 > 192.168.2.10: icmp: echo reply >>12:54:23.712852 192.168.2.10 > 192.168.2.254: icmp: echo request >>12:54:23.713081 192.168.2.254 > 192.168.2.10: icmp: echo reply >>12:54:24.729189 192.168.2.10 > 192.168.2.254: icmp: echo request >>12:54:24.729421 192.168.2.254 > 192.168.2.10: icmp: echo reply >>12:54:25.750331 192.168.2.10 > 192.168.2.254: icmp: echo request >>12:54:25.750563 192.168.2.254 > 192.168.2.10: icmp: echo reply >> >>Вот такое .... > >прописал >ipfw add divert natd all from any to any via fxp0 > >пинг пошел > >раньше было >ipfw add divert natd ip from 10.0.0.10 to any via fxp0 > >(сорри еще не во всем шарю, icmp получается к ip не относится >:( ) > >А чтоб не для any а ограничить тока для 10.0.0.10 ???? > >ipfw add divert natd all from 10.0.0.10 to any via fxp0 >ipfw add divert natd all from any to 10.0.0.10 via fxp0 ??????? > > >Подскажите ссылочку где про это написано подробно, а то не в хэндбуке >не в своей книге с базара поюробностей я не нашел. > >Спасибо!!!! icmp к ip как раз относится :) all и ip - синонимы здесь а трабла у тебя была в том, что ты дивертил пакеты ОТ 10-й сетки, а те, которые обратно шли? попробуй например так ipfw add divert natd ip from 10.0.0.10 to any out via fxp0 ipfw add divert natd ip from any to any in via fxp0 но это имеет смысл, когда на внешнем интерфейсе реальный ИП а так - все равно пройдет через ipfw (просто не будет попадать на divert) я кстати не уверена что это будет работать (напиши результат плз, если будешь пробовать) еще вариант: ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface ipfw add 200 deny ip from any to any via $internal_iface ipfw add 1000 divert natd ip from any to any via fxp0 тут пройдет только хост 10.0.0.10 и попадет в итоге на divert остальное не пройдет еще на внутреннем интерфейсе по правилу 200 ну или как то так (тестить некогда)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Все тот же gateway на FreeBSD"
	Сообщение от RomaTr on 04-Янв-03, 15:49 (MSK)
	>icmp к ip как раз относится :) >all и ip - синонимы здесь >а трабла у тебя была в том, что ты дивертил пакеты ОТ >10-й сетки, а те, которые обратно шли? > >попробуй например так >ipfw add divert natd ip from 10.0.0.10 to any out via fxp0 > >ipfw add divert natd ip from any to any in via fxp0 > > >но это имеет смысл, когда на внешнем интерфейсе реальный ИП >а так - все равно пройдет через ipfw (просто не будет попадать >на divert) >я кстати не уверена что это будет работать (напиши результат плз, если >будешь пробовать) > >еще вариант: >ipfw add 100 skipto 1000 ip from 10.0.0.10 to any via $internal_iface > >ipfw add 200 deny ip from any to any via $internal_iface >ipfw add 1000 divert natd ip from any to any via fxp0 > > >тут пройдет только хост 10.0.0.10 и попадет в итоге на divert >остальное не пройдет еще на внутреннем интерфейсе по правилу 200 > >ну или как то так (тестить некогда) Спасибо за помощь Лина!!! Если буду что-то из этого пробовать - сообщу результат. Пока оставил add divert natd all from any to any via fxp0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх