форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPFW и NAT"
Сообщение от BasiL on 13-Апр-05, 17:06  (MSK)
Здравствуйте, я новичок во FreeBSD, помогите мне разобраться. Есть три сетевые карты: ed0 смотрит в инет xl0 и xl1 локально /etc/rc.conf -- skip -- gateway_enable="YES" natd_enable="YES" natd_interface="ed0" /etc/natd.conf use_sockets yes same_ports yes interface ed0 unregistered_only yes /etc/rc.fierwall iif="xl0,xl1" -- skip -- ${fwcmd} add 2400 divert natd ip from 192.168.0.40 to (внешний IP получателя) out via ${natd_interface} -- skip -- ${fwcmd} add pass ip from (наш внешний IP) to (внешний IP получателя) out via ed0 #Разрешить все пакеты по локальным интерфейсам ${fwcmd} add pass ip from any to any via $(iif) -- skip -- TCPDUMP по внутреннему интерфейсу 16:40:07.772064 IP 192.168.0.40.500 > (внешний IP получателя).500: isakmp: phase 1 I ident 16:40:12.771846 arp who-has 192.168.0.1 tell 192.168.0.40 16:40:12.771890 arp reply 192.168.0.1 is-at 00:60:97:b8:a2:c7 TCPDUMP по внешнему интерфейсу 16:41:53.056041 IP (внешний IP получателя).500 > (наш внешний IP).500: isakmp: phase 1 I ident 16:41:53.056178 IP (наш внешний IP) > (внешний IP получателя): icmp 36: host (наш внешний IP) unreachable ipfw show -- skip -- 02400      0         0 divert 8668 ip from 192.168.0.40 to (внешний IP получателя) out via ed0 04100      0         0 allow ip from any to any via xl0,xl1 -- skip -- На 192.168.0.40 стоит линукс он посылает пакеты, это видно по сканированию внутреннего интерфейса, а вот на внешний они не попадают, нет отправки от нас, в чем может быть проблема?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFW и NAT"
Сообщение от BasiL on 14-Апр-05, 11:35  (MSK)
Вот решил о себе напомнить :-(
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW и NAT"
Сообщение от universite (ok) on 14-Апр-05, 12:12  (MSK)
Какие у интерфейсов IP? Ядро собрано с опциями для работы Ната? Покажи _все_ правила firewall'a, возмежно, где-то первых правилах ошибка.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPFW и NAT"
	Сообщение от denn (??) on 14-Апр-05, 12:24  (MSK)
	>Какие у интерфейсов IP? >Ядро собрано с опциями для работы Ната? >Покажи _все_ правила firewall'a, возмежно, где-то первых правилах ошибка. ifconfig ipfw -a l
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPFW и NAT"
	Сообщение от BasiL on 14-Апр-05, 12:50  (MSK)
	>>Какие у интерфейсов IP? >>Ядро собрано с опциями для работы Ната? >>Покажи _все_ правила firewall'a, возмежно, где-то первых правилах ошибка. > >ifconfig >ipfw -a l В целях безопасности сети не могу себе позволить опубликовать фаерволл. ЗЫ Нат пашет, так как есть проги, которые работают через нат. ЗЫ ЗЫ Вы можете просто пнуть меня в направления, где копать, по той информации, что я опубликовал выше? (Принимаются и догадки).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 13:26  (MSK)
	Кто нибудь может помочь по тем данным, что указаны наверху?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "IPFW и NAT"
	Сообщение от A Clockwork Orange on 15-Апр-05, 13:54  (MSK)
	isakmp не будет работать за нат. правил фаервола не видно, из того что дано и то натд в одну сторону.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 14:01  (MSK)
	>isakmp не будет работать за нат. >правил фаервола не видно, из того что дано и то натд в >одну сторону. Ок. А что тогда надо что-бы работал, какие правила?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 14:06  (MSK)
	>>isakmp не будет работать за нат. >>правил фаервола не видно, из того что дано и то натд в >>одну сторону. > >Ок. А что тогда надо что-бы работал, какие правила? Сейчас уже так Это в НАТЕ ${fwcmd} add 2400 divert natd ip from 192.168.0.40 to (внешний IP получателя) out via ${natd_interface} Это после НАТА ${fwcmd} add pass ip from (внешний IP получателя)  to (наш внешний IP) in  via ed0 ${fwcmd} add pass ip from (наш внешний IP) to (внешний IP получателя)  out via ed0
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "IPFW и NAT"
	Сообщение от A Clockwork Orange on 15-Апр-05, 14:44  (MSK)
	Да никак не будет работать, выноси ipsec на шлюз, или присваивай линуксу реальный адрес. Касательно натд ${fwcmd} add 2400 divert natd ip from 192.168.0.40 to (внешний IP получателя) out via ${natd_interface} ${fwcmd} add 2401 divert natd ip from (внешний IP получателя) to (внешний IP гейта) in via ${natd_interface} Как вообще у тебя работают через нат? Или я чего не понял.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 15:15  (MSK)
	>Да никак не будет работать, выноси ipsec на шлюз, или присваивай линуксу >реальный адрес. > >Касательно натд >${fwcmd} add 2400 divert natd ip from 192.168.0.40 to (внешний IP >получателя) out via ${natd_interface} >${fwcmd} add 2401 divert natd ip from (внешний IP получателя) to (внешний >IP гейта) in via ${natd_interface} Такое правило есть. Вот кусок скана внутреннего интерфейса 15:12:29.810007 IP 192.168.0.40.500 > (внешний IP получателя).500: isakmp: phase 1 I ident 15:12:34.809789 arp who-has 192.168.0.1 tell 192.168.0.40 15:12:34.809840 arp reply 192.168.0.1 is-at 00:60:97:b8:a2:c7 15:13:09.810124 IP 192.168.0.40.500 > (внешний IP получателя).500: isakmp: phase 1 I ident Как я понял пакеты не идут из-за isakmp?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "IPFW и NAT"
	Сообщение от A Clockwork Orange on 15-Апр-05, 15:22  (MSK)
	точнее сказать ipsec не работает из-за нат
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 15:33  (MSK)
	>точнее сказать ipsec не работает из-за нат Если не трудно напиши, что можно сделать или пни в сторону, где это написано?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "IPFW и NAT"
	Сообщение от A Clockwork Orange on 15-Апр-05, 15:55  (MSK)
	http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm http://www.osp.ru/lan/2003/01/024.htm
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "IPFW и NAT"
	Сообщение от BasiL on 15-Апр-05, 16:01  (MSK)
	>http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm >http://www.osp.ru/lan/2003/01/024.htm Сэнкс, почитаю.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.