forum.opennet.ru - "Посоветуйте: DNS + NATD + IPFW" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Посоветуйте: DNS + NATD + IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Посоветуйте: DNS + NATD + IPFW"
Сообщение от RSRuslan on 13-Фев-04, 12:10 (MSK)
Уважаемые участники форума! Помогите в решении следующей проблемы! Вроде всё правильно настроил, но не иогу понять в чём дело? Стандартная ситуация: на компьютере стоит два интерфейса, один смотрит во внешний мир, другой смотрит в локальную сеть. Выход по HTTP осуществляется через прокси-сервер 'Squid'. Провайдер назначает постоянный IP-adress с помощью DHCP. ICMP, TCP пакеты идут во внешний мир из локальной сети на ура, тоесть можно минуя сервер обращаться к любым другим машинам во внешнем мире. А теперь сама проблема: ping на DNS с локальных машин не идёт, другими словами всегда нужно указывать реальный IP-adress. К примеру, с локальной машины ping rammbler.ru не проходит! Моя конфигурация: /etc/rc.firewall: my_net='10.10.9.0/24' ifout='rl0' ifin='rl1' ${fwcmd} add 10 check-state ${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} ${fwcmd} add 40 deny ip from not ${my_net} to any in via ${ifin} ${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} ${fwcmd} add 500 divert natd all from ${my_net} to any out recv ${ifin} xmit ${ifout} ${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in recv ${ifout} - здесь IP-шка провайдера ${fwcmd} add 700 allow icmp from any to any ${fwcmd} add 800 allow udp from me to any domain keep-state ${fwcmd} add 900 allow ip from me to any ${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} xmit ${ifout} ${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} ${fwcmd} add 1200 allow ip from any to any via ${ifin} /etc/rc.conf: gateway_enable="YES" firewall_enable="YES" firewall_type="CLOSED" hostname="inet.xxx.xxx.ua" ifconfig_rl0="DHCP" ifconfig_rl1="inet 10.10.9.1 netmask 255.255.255.0" inetd_enable="YES" kern_securelevel_enable="NO" keymap="ru.koi8-r" linux_enable="YES" mousechar_start="3" nfs_reserved_port_only="YES" scrnmap="koi8-r2cp866" sendmail_enable="YES" sshd_enable="YES" usbd_enable="YES" natd_enable="YES" natd_interface="rl0" saver="daemon" Помогите с проблемой! Зараннее благодарю за любую помощь!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Посоветуйте: DNS + NATD + IPFW, flusher, 12:24 , 13-Фев-04, (1)
- Посоветуйте: DNS + NATD + IPFW, RSRuslan, 12:45 , 13-Фев-04, (3)
Посоветуйте: DNS + NATD + IPFW, СергейКа, 12:28 , 13-Фев-04, (2)
- Посоветуйте: DNS + NATD + IPFW, RSRuslan, 12:48 , 13-Фев-04, (4)
  - Посоветуйте: DNS + NATD + IPFW, flusher, 13:00 , 13-Фев-04, (5)
    - Посоветуйте: DNS + NATD + IPFW, RSRuslan, 13:30 , 13-Фев-04, (6)
      - Посоветуйте: DNS + NATD + IPFW, СергейКа, 14:15 , 13-Фев-04, (7)
        
        Посоветуйте: DNS + NATD + IPFW, RSRuslan, 14:43 , 13-Фев-04, (8)
        
        Посоветуйте: DNS + NATD + IPFW, СергейКа, 16:07 , 13-Фев-04, (9)
        
        Посоветуйте: DNS + NATD + IPFW, Brainbug, 16:27 , 13-Фев-04, (10)
        
        Посоветуйте: DNS + NATD + IPFW, RSRuslan, 16:54 , 13-Фев-04, (11)
        
        Посоветуйте: DNS + NATD + IPFW, СергейКа, 17:04 , 13-Фев-04, (12)
        
        Посоветуйте: DNS + NATD + IPFW, RSRuslan, 17:41 , 13-Фев-04, (13)
        
        Посоветуйте: DNS + NATD + IPFW, СергейКа, 18:15 , 13-Фев-04, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от flusher on 13-Фев-04, 12:24  (MSK)

Вопрос. Где DNS сервер?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 12:45  (MSK)

>Вопрос. Где DNS сервер?
У провайдера. Назначение идёт по DHCP, и в resolv.conf автоматически записываются DNS-сервера провайдера.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от СергейКа on 13-Фев-04, 12:28  (MSK)

>Уважаемые участники форума!
>Помогите в решении следующей проблемы!
>
>Вроде всё правильно настроил, но не иогу понять в чём дело?
>Стандартная ситуация: на компьютере стоит два интерфейса, один смотрит во внешний мир,
>другой смотрит в локальную сеть. Выход по HTTP осуществляется через прокси-сервер
>'Squid'. Провайдер назначает постоянный IP-adress с помощью DHCP. ICMP, TCP пакеты
>идут во внешний мир из локальной сети на ура, тоесть можно
>минуя сервер обращаться к любым другим машинам во внешнем мире.
>А теперь сама проблема: ping на DNS с локальных машин не идёт,
>другими словами всегда нужно указывать реальный IP-adress. К примеру, с локальной
>машины ping rammbler.ru не проходит!
>
>Моя конфигурация:
>/etc/rc.firewall:
>my_net='10.10.9.0/24'
>ifout='rl0'
>ifin='rl1'
>${fwcmd} add 10 check-state
>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
>
>${fwcmd} add 40 deny ip from not ${my_net} to any in via
>${ifin}
>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
allow udp from me to any domain keep-state
>
>${fwcmd} add 500 divert natd all from ${my_net} to any out recv
>${ifin} xmit ${ifout}
>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in
>recv ${ifout} - здесь IP-шка провайдера
>${fwcmd} add 700 allow icmp from any to any
>${fwcmd} add 800 allow udp from me to any domain keep-state
>${fwcmd} add 900 allow ip from me to any
>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin}
>xmit ${ifout}
>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
>
>${fwcmd} add 1200 allow ip from any to any via ${ifin}
>
>/etc/rc.conf:
>gateway_enable="YES"
>firewall_enable="YES"
>firewall_type="CLOSED"
>hostname="inet.xxx.xxx.ua"
>ifconfig_rl0="DHCP"
>ifconfig_rl1="inet 10.10.9.1 netmask 255.255.255.0"
>inetd_enable="YES"
>kern_securelevel_enable="NO"
>keymap="ru.koi8-r"
>linux_enable="YES"
>mousechar_start="3"
>nfs_reserved_port_only="YES"
>scrnmap="koi8-r2cp866"
>sendmail_enable="YES"
>sshd_enable="YES"
>usbd_enable="YES"
>natd_enable="YES"
>natd_interface="rl0"
>saver="daemon"
>
>Помогите с проблемой!
>Зараннее благодарю за любую помощь!

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 12:48  (MSK)

>allow udp from me to any domain keep-state
Переместил это правило повыше, как и посоветовали. Не помогло...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от flusher on 13-Фев-04, 13:00  (MSK)

>/etc/rc.firewall:
>my_net='10.10.9.0/24'
>ifout='rl0'
>ifin='rl1'
>${fwcmd} add 10 check-state
>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
>
>${fwcmd} add 40 deny ip from not ${my_net} to any in via
>${ifin}
>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
allow udp from me to any domain keep-state
allow udp from any domain to me (keep-state ???)
>${fwcmd} add 500 divert natd all from ${my_net} to any out recv
>${ifin} xmit ${ifout}
>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in
>recv ${ifout} - здесь IP-шка провайдера
>${fwcmd} add 700 allow icmp from any to any
>${fwcmd} add 800 allow udp from me to any domain keep-state
>${fwcmd} add 900 allow ip from me to any
>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin}
>xmit ${ifout}
>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
>
>${fwcmd} add 1200 allow ip from any to any via ${ifin}

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 13:30  (MSK)

>allow udp from me to any domain keep-state
>allow udp from any domain to me (keep-state ???)
Опция Keep-State насколько я понял позволяет создать временное правило, которое разрешит прохождение обратного UDP-пакета...
Поэтому вторая строчка ">allow udp from any domain to me (keep-state ???)" здесь скорее всего не нужна...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от СергейКа on 13-Фев-04, 14:15  (MSK)

${fwcmd} add 10 check-state
${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
${fwcmd} add 40 deny ip from not ${my_net} to any in via ${ifin}
${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
${fwcmd} add 410 allow udp from any to me domain
${fwcmd} add 420 allow ip from me to any
${fwcmd} add 500 divert natd all from ${my_net} to any out recv ${ifin} xmit ${ifout}
${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in ${fwcmd} add 700 allow icmp from any to any
${fwcmd} add 800 allow udp from me to any domain keep-state
${fwcmd} add 900 allow ip from me to any
${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} xmit ${ifout}
${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
${fwcmd} add 1200 allow ip from any to any via ${ifin}
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 14:43  (MSK)

>${fwcmd} add 10 check-state
>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>
>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
>
>${fwcmd} add 40 deny ip from not ${my_net} to any in via
>${ifin}
>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
>
>
>${fwcmd} add 410 allow udp from any to me domain
>${fwcmd} add 420 allow ip from me to any
>
>${fwcmd} add 500 divert natd all from ${my_net} to any out recv
>${ifin} xmit ${ifout}
>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in
>${fwcmd} add 700 allow icmp from any to any
>${fwcmd} add 800 allow udp from me to any domain keep-state
>${fwcmd} add 900 allow ip from me to any
>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin}
>xmit ${ifout}
>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
>
>${fwcmd} add 1200 allow ip from any to any via ${ifin}
>
>${ipfw} add 330 allow udp from me to any domain keep-state
>${ipfw} add 340 allow udp from any to me domain
>${ipfw} add 350 allow ip from me to any

Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо или достаточно шлюза?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от СергейКа on 13-Фев-04, 16:07  (MSK)

>>${fwcmd} add 10 check-state
>>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>>
>>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
>>
>>${fwcmd} add 40 deny ip from not ${my_net} to any in via
>>${ifin}
>>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
>>
>>
>>${fwcmd} add 410 allow udp from any to me domain
>>${fwcmd} add 420 allow ip from me to any
>>
>>${fwcmd} add 500 divert natd all from ${my_net} to any out recv
>>${ifin} xmit ${ifout}
>>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in
>>${fwcmd} add 700 allow icmp from any to any
>>${fwcmd} add 800 allow udp from me to any domain keep-state
>>${fwcmd} add 900 allow ip from me to any
>>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin}
>>xmit ${ifout}
>>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
>>
>>${fwcmd} add 1200 allow ip from any to any via ${ifin}
>>
>>${ipfw} add 330 allow udp from me to any domain keep-state
>>${ipfw} add 340 allow udp from any to me domain
>>${ipfw} add 350 allow ip from me to any
>
>
>Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо
>или достаточно шлюза?
А как же :) Конечно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от Brainbug on 13-Фев-04, 16:27  (MSK)

>>>${fwcmd} add 10 check-state
>>>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
>>>
>>>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout}
>>>
>>>${fwcmd} add 40 deny ip from not ${my_net} to any in via
>>>${ifin}
>>>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout}
>>>
>>>
>>>${fwcmd} add 410 allow udp from any to me domain
>>>${fwcmd} add 420 allow ip from me to any
>>>
>>>${fwcmd} add 500 divert natd all from ${my_net} to any out recv
>>>${ifin} xmit ${ifout}
>>>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in
>>>${fwcmd} add 700 allow icmp from any to any
>>>${fwcmd} add 800 allow udp from me to any domain keep-state
>>>${fwcmd} add 900 allow ip from me to any
>>>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin}
>>>xmit ${ifout}
>>>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout}
>>>
>>>${fwcmd} add 1200 allow ip from any to any via ${ifin}
>>>
>>>${ipfw} add 330 allow udp from me to any domain keep-state
>>>${ipfw} add 340 allow udp from any to me domain
>>>${ipfw} add 350 allow ip from me to any
>>
>>
>>Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо
>>или достаточно шлюза?
>
>А как же :) Конечно.
Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak 4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto nikak ne kosnetca, potomu kak u nih vse budet zamknuto na 6luze.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 16:54  (MSK)

>
>Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak
>4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet
>polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe
>DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto
>nikak ne kosnetca, potomu kak u nih vse budet zamknuto na
>6luze.

Всё попробовал! Не идёт пинг по днсу и хоть ты тресни....

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от СергейКа on 13-Фев-04, 17:04  (MSK)

>>
>>Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak
>>4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet
>>polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe
>>DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto
>>nikak ne kosnetca, potomu kak u nih vse budet zamknuto na
>>6luze.
>
>
>Всё попробовал! Не идёт пинг по днсу и хоть ты тресни....
Сними подозрения с ipfw
(из man natd)
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via ed0
/sbin/ipfw add pass all from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от RSRuslan on 13-Фев-04, 17:41  (MSK)

>Сними подозрения с ipfw
>(из man natd)
>/sbin/ipfw -f flush
>/sbin/ipfw add divert natd all from any to any via ed0
>/sbin/ipfw add pass all from any to any

заработало! Добавил первым правилом ">/sbin/ipfw add divert natd all from any to any via ed0" и всё пошло, но стоит только его сдвинуть вниз и снова перестаёт работать! В чём тут может быть дело! Насколько я понял первое правило "check-state" глушит все DNS-запросы с локальных машин???

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Посоветуйте: DNS + NATD + IPFW"

Сообщение от СергейКа on 13-Фев-04, 18:15  (MSK)

Не стоит писать динамические правила не понимая их работы.
Будь проще :)
В сети столько готовых примеров,...

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Посоветуйте: DNS + NATD + IPFW"
Сообщение от flusher on 13-Фев-04, 12:24 (MSK)
Вопрос. Где DNS сервер?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 12:45 (MSK)
	>Вопрос. Где DNS сервер? У провайдера. Назначение идёт по DHCP, и в resolv.conf автоматически записываются DNS-сервера провайдера.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Посоветуйте: DNS + NATD + IPFW"
Сообщение от СергейКа on 13-Фев-04, 12:28 (MSK)
>Уважаемые участники форума! >Помогите в решении следующей проблемы! > >Вроде всё правильно настроил, но не иогу понять в чём дело? >Стандартная ситуация: на компьютере стоит два интерфейса, один смотрит во внешний мир, >другой смотрит в локальную сеть. Выход по HTTP осуществляется через прокси-сервер >'Squid'. Провайдер назначает постоянный IP-adress с помощью DHCP. ICMP, TCP пакеты >идут во внешний мир из локальной сети на ура, тоесть можно >минуя сервер обращаться к любым другим машинам во внешнем мире. >А теперь сама проблема: ping на DNS с локальных машин не идёт, >другими словами всегда нужно указывать реальный IP-adress. К примеру, с локальной >машины ping rammbler.ru не проходит! > >Моя конфигурация: >/etc/rc.firewall: >my_net='10.10.9.0/24' >ifout='rl0' >ifin='rl1' >${fwcmd} add 10 check-state >${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} > >${fwcmd} add 40 deny ip from not ${my_net} to any in via >${ifin} >${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} allow udp from me to any domain keep-state > >${fwcmd} add 500 divert natd all from ${my_net} to any out recv >${ifin} xmit ${ifout} >${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in >recv ${ifout} - здесь IP-шка провайдера >${fwcmd} add 700 allow icmp from any to any >${fwcmd} add 800 allow udp from me to any domain keep-state >${fwcmd} add 900 allow ip from me to any >${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} >xmit ${ifout} >${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} > >${fwcmd} add 1200 allow ip from any to any via ${ifin} > >/etc/rc.conf: >gateway_enable="YES" >firewall_enable="YES" >firewall_type="CLOSED" >hostname="inet.xxx.xxx.ua" >ifconfig_rl0="DHCP" >ifconfig_rl1="inet 10.10.9.1 netmask 255.255.255.0" >inetd_enable="YES" >kern_securelevel_enable="NO" >keymap="ru.koi8-r" >linux_enable="YES" >mousechar_start="3" >nfs_reserved_port_only="YES" >scrnmap="koi8-r2cp866" >sendmail_enable="YES" >sshd_enable="YES" >usbd_enable="YES" >natd_enable="YES" >natd_interface="rl0" >saver="daemon" > >Помогите с проблемой! >Зараннее благодарю за любую помощь!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 12:48 (MSK)
	>allow udp from me to any domain keep-state Переместил это правило повыше, как и посоветовали. Не помогло...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от flusher on 13-Фев-04, 13:00 (MSK)
	>/etc/rc.firewall: >my_net='10.10.9.0/24' >ifout='rl0' >ifin='rl1' >${fwcmd} add 10 check-state >${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} > >${fwcmd} add 40 deny ip from not ${my_net} to any in via >${ifin} >${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} allow udp from me to any domain keep-state allow udp from any domain to me (keep-state ???) >${fwcmd} add 500 divert natd all from ${my_net} to any out recv >${ifin} xmit ${ifout} >${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in >recv ${ifout} - здесь IP-шка провайдера >${fwcmd} add 700 allow icmp from any to any >${fwcmd} add 800 allow udp from me to any domain keep-state >${fwcmd} add 900 allow ip from me to any >${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} >xmit ${ifout} >${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} > >${fwcmd} add 1200 allow ip from any to any via ${ifin}
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 13:30 (MSK)
	>allow udp from me to any domain keep-state >allow udp from any domain to me (keep-state ???) Опция Keep-State насколько я понял позволяет создать временное правило, которое разрешит прохождение обратного UDP-пакета... Поэтому вторая строчка ">allow udp from any domain to me (keep-state ???)" здесь скорее всего не нужна...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от СергейКа on 13-Фев-04, 14:15 (MSK)
	${fwcmd} add 10 check-state ${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} ${fwcmd} add 40 deny ip from not ${my_net} to any in via ${ifin} ${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} ${fwcmd} add 410 allow udp from any to me domain ${fwcmd} add 420 allow ip from me to any ${fwcmd} add 500 divert natd all from ${my_net} to any out recv ${ifin} xmit ${ifout} ${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in ${fwcmd} add 700 allow icmp from any to any ${fwcmd} add 800 allow udp from me to any domain keep-state ${fwcmd} add 900 allow ip from me to any ${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} xmit ${ifout} ${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} ${fwcmd} add 1200 allow ip from any to any via ${ifin} ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 14:43 (MSK)
	>${fwcmd} add 10 check-state >${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 > >${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} > >${fwcmd} add 40 deny ip from not ${my_net} to any in via >${ifin} >${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} > > >${fwcmd} add 410 allow udp from any to me domain >${fwcmd} add 420 allow ip from me to any > >${fwcmd} add 500 divert natd all from ${my_net} to any out recv >${ifin} xmit ${ifout} >${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in >${fwcmd} add 700 allow icmp from any to any >${fwcmd} add 800 allow udp from me to any domain keep-state >${fwcmd} add 900 allow ip from me to any >${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} >xmit ${ifout} >${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} > >${fwcmd} add 1200 allow ip from any to any via ${ifin} > >${ipfw} add 330 allow udp from me to any domain keep-state >${ipfw} add 340 allow udp from any to me domain >${ipfw} add 350 allow ip from me to any Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо или достаточно шлюза?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от СергейКа on 13-Фев-04, 16:07 (MSK)
	>>${fwcmd} add 10 check-state >>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 >> >>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} >> >>${fwcmd} add 40 deny ip from not ${my_net} to any in via >>${ifin} >>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} >> >> >>${fwcmd} add 410 allow udp from any to me domain >>${fwcmd} add 420 allow ip from me to any >> >>${fwcmd} add 500 divert natd all from ${my_net} to any out recv >>${ifin} xmit ${ifout} >>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in >>${fwcmd} add 700 allow icmp from any to any >>${fwcmd} add 800 allow udp from me to any domain keep-state >>${fwcmd} add 900 allow ip from me to any >>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} >>xmit ${ifout} >>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} >> >>${fwcmd} add 1200 allow ip from any to any via ${ifin} >> >>${ipfw} add 330 allow udp from me to any domain keep-state >>${ipfw} add 340 allow udp from any to me domain >>${ipfw} add 350 allow ip from me to any > > >Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо >или достаточно шлюза? А как же :) Конечно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от Brainbug on 13-Фев-04, 16:27 (MSK)
	>>>${fwcmd} add 10 check-state >>>${fwcmd} add 20 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 >>> >>>${fwcmd} add 30 deny ip from ${my_net} to any in via ${ifout} >>> >>>${fwcmd} add 40 deny ip from not ${my_net} to any in via >>>${ifin} >>>${fwcmd} add 400 allow tcp from me to any keep-state via ${ifout} >>> >>> >>>${fwcmd} add 410 allow udp from any to me domain >>>${fwcmd} add 420 allow ip from me to any >>> >>>${fwcmd} add 500 divert natd all from ${my_net} to any out recv >>>${ifin} xmit ${ifout} >>>${fwcmd} add 600 divert natd all from not ${my_net} to 212.103.104.105 in >>>${fwcmd} add 700 allow icmp from any to any >>>${fwcmd} add 800 allow udp from me to any domain keep-state >>>${fwcmd} add 900 allow ip from me to any >>>${fwcmd} add 1000 allow ip from ${my_net} to any out recv ${ifin} >>>xmit ${ifout} >>>${fwcmd} add 1100 allow ip from any to ${my_net} in via ${ifout} >>> >>>${fwcmd} add 1200 allow ip from any to any via ${ifin} >>> >>>${ipfw} add 330 allow udp from me to any domain keep-state >>>${ipfw} add 340 allow udp from any to me domain >>>${ipfw} add 350 allow ip from me to any >> >> >>Попробоввал итак - не помогло! А DNS-сервера на клиентских машинах прописывать надо >>или достаточно шлюза? > >А как же :) Конечно. Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak 4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto nikak ne kosnetca, potomu kak u nih vse budet zamknuto na 6luze.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 16:54 (MSK)
	> >Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak >4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet >polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe >DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto >nikak ne kosnetca, potomu kak u nih vse budet zamknuto na >6luze. Всё попробовал! Не идёт пинг по днсу и хоть ты тресни....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от СергейКа on 13-Фев-04, 17:04 (MSK)
	>> >>Tvoj 6luz to znajet DNS a vot klienti net. Leg4e sdelat tak >>4to sluz budet DNS cache dla vnutrennej seti i sootvetstvenno budet >>polu4at ip adress DNS po DHCP. V takom slu4aje lesli dazhe >>DNS pomenajetca (redko no bivajet) to v lubom slu4aje klientov eto >>nikak ne kosnetca, potomu kak u nih vse budet zamknuto na >>6luze. > > >Всё попробовал! Не идёт пинг по днсу и хоть ты тресни.... Сними подозрения с ipfw (из man natd) /sbin/ipfw -f flush /sbin/ipfw add divert natd all from any to any via ed0 /sbin/ipfw add pass all from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от RSRuslan on 13-Фев-04, 17:41 (MSK)
	>Сними подозрения с ipfw >(из man natd) >/sbin/ipfw -f flush >/sbin/ipfw add divert natd all from any to any via ed0 >/sbin/ipfw add pass all from any to any заработало! Добавил первым правилом ">/sbin/ipfw add divert natd all from any to any via ed0" и всё пошло, но стоит только его сдвинуть вниз и снова перестаёт работать! В чём тут может быть дело! Насколько я понял первое правило "check-state" глушит все DNS-запросы с локальных машин???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Посоветуйте: DNS + NATD + IPFW"
	Сообщение от СергейКа on 13-Фев-04, 18:15 (MSK)
	Не стоит писать динамические правила не понимая их работы. Будь проще :) В сети столько готовых примеров,...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх