forum.opennet.ru - "ipfw+natd неработает" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw+natd неработает"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw+natd неработает"
Сообщение от Trans (??) on 01-Дек-05, 10:41 (MSK)
Подскажите плиз почему не работает! Есть две сети 10.10.22 (rl0) и 10.10.23 (rl1) ДЕлаю в настройках фаера так: ipfw add divert natd from any to any via rl1 настройка natd natd -use_sockets -same_ports -interface rl1
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw+natd неработает, Alex, 12:53 , 01-Дек-05, (1)

ipfw+natd неработает, Trans, 14:01 , 01-Дек-05, (2)

ipfw+natd неработает, Kos, 14:55 , 01-Дек-05, (3)

ipfw+natd неработает, Trans, 16:07 , 01-Дек-05, (4)

ipfw+natd неработает, Kos, 16:23 , 01-Дек-05, (5)

ipfw+natd неработает, Trans, 17:54 , 01-Дек-05, (6)

ipfw+natd неработает, Trans, 18:38 , 01-Дек-05, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw+natd неработает"

Сообщение от Alex (??) on 01-Дек-05, 12:53  (MSK)

>natd -use_sockets -same_ports -interface rl1
Это не нужно.
Если правила в фаерволе по принципу "всё запрещено", то разреши прохождение пакетов.
ipfw add allow ip from any to any via rl1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw+natd неработает"

Сообщение от Trans (??) on 01-Дек-05, 14:01  (MSK)

>>natd -use_sockets -same_ports -interface rl1
>
>Это не нужно.
>Если правила в фаерволе по принципу "всё запрещено", то разреши прохождение пакетов.
>
>ipfw add allow ip from any to any via rl1
Не дописал, полностью у меня всё выглядет так:
в /usr/local/etc/rc.d/natd.sh
/sbin/natd -f /etc/natd.conf
в /etc/natd.conf
log yes
interface rl1
use_sockets yes
same_ports yes
в /usr/local/etc/rc.d/fire.sh
ipfw add 65535 allow all from any to any
ipfw add allow all from any to any via lo0
ipfw add allow all from any to any via rl0
ipfw add allow all from any to any via rl1
ipfw add 1000 divert 8668 all from any to any via rl1
при такой настройке пинг с машины на которой это написано идёт куда угодно в эти две сети, но если пинговать с 22 на 23, то пингуется только эта машина (хоть 10.10.22.2, хоть 10.10.23.2).
и вот ещё по ipfw show
00100   0      0 allow ip from any to any via lo0
00200 452 117164 allow ip from any to any via rl0
00300  54  71424 allow ip from any to any via rl1
01000   0      0 divert 8668 ip from any to any via rl1
01013   0      0 count ip from any to 10.10.22.13
01014   0      0 count ip from any to 10.10.22.14
01015   0      0 count ip from any to 10.10.22.15
01016   0      0 count ip from any to 10.10.22.16
01017   0      0 count ip from any to 10.10.22.17
01018   0      0 count ip from any to 10.10.22.18
01019   0      0 count ip from any to 10.10.22.19
65535 304  63186 allow ip from any to any
Почему?????

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw+natd неработает"

Сообщение от Kos (??) on 01-Дек-05, 14:55  (MSK)

>ipfw add 1000 divert 8668 all from any to any via rl1
Попробуй без via rl1:
ipfw add 1000 divert 8668 all from any to any

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw+natd неработает"

Сообщение от Trans (??) on 01-Дек-05, 16:07  (MSK)

>
>>ipfw add 1000 divert 8668 all from any to any via rl1
>
>Попробуй без via rl1:
>ipfw add 1000 divert 8668 all from any to any
Сенкс! Всё заработало, но теперь другие грабли!
Нужно чтоб счётчики считали не так как написано выше, а
ipfw add 1013 count all from any to 10.10.22.13 via rl1
но при этом правеле не считает!
если сделать два правила:
ipfw add 1000 divert 8668 all from any to any via rl0
ipfw add 1001 divert 8668 all from any to any via rl1
то всё работает, но вопрос в то м криво ли это или нет? Может счётчики не работают по причине того что они выше номером правила, или то что я написал вполне допустимо?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw+natd неработает"

Сообщение от Kos (??) on 01-Дек-05, 16:23  (MSK)

>>
>>>ipfw add 1000 divert 8668 all from any to any via rl1
>>
>>Попробуй без via rl1:
>>ipfw add 1000 divert 8668 all from any to any
>Сенкс! Всё заработало, но теперь другие грабли!
>Нужно чтоб счётчики считали не так как написано выше, а
>ipfw add 1013 count all from any to 10.10.22.13 via rl1
>но при этом правеле не считает!
>если сделать два правила:
>ipfw add 1000 divert 8668 all from any to any via rl0
>
>ipfw add 1001 divert 8668 all from any to any via rl1
>
>то всё работает, но вопрос в то м криво ли это или
>нет? Может счётчики не работают по причине того что они выше
>номером правила, или то что я написал вполне допустимо?
насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к rl0, а твое
ipfw add 1013 count all from any to 10.10.22.13 via rl1
будет тебе считать только если:
1)10.10.22.13 подключен к интерфейсу rl1
2)считается трафик вошедший с rl1 и по нему же и вышедший.
попробуй:
ipfw add 1013 count all from any to 10.10.22.13 in via rl1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw+natd неработает"

Сообщение от Trans (??) on 01-Дек-05, 17:54  (MSK)

>>>
>>>>ipfw add 1000 divert 8668 all from any to any via rl1
>>>
>>>Попробуй без via rl1:
>>>ipfw add 1000 divert 8668 all from any to any
>>Сенкс! Всё заработало, но теперь другие грабли!
>>Нужно чтоб счётчики считали не так как написано выше, а
>>ipfw add 1013 count all from any to 10.10.22.13 via rl1
>>но при этом правеле не считает!
>>если сделать два правила:
>>ipfw add 1000 divert 8668 all from any to any via rl0
>>
>>ipfw add 1001 divert 8668 all from any to any via rl1
>>
>>то всё работает, но вопрос в то м криво ли это или
>>нет? Может счётчики не работают по причине того что они выше
>>номером правила, или то что я написал вполне допустимо?
>
>насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к
>rl0, а твое
> ipfw add 1013 count all from any to 10.10.22.13 via rl1
наоборот! к rl0 подключён 10.10.22.13, а к rl1 natd и внешняя сеть с которой надо считать входящий траффик.
>
>будет тебе считать только если:
>1)10.10.22.13 подключен к интерфейсу rl1
>2)считается трафик вошедший с rl1 и по нему же и вышедший.
>
>попробуй:
>ipfw add 1013 count all from any to 10.10.22.13 in via rl1
>
попробую, я так понял что тут считается траффик вошедший через rl1, если да, то это и нужно.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw+natd неработает"

Сообщение от Trans (??) on 01-Дек-05, 18:38  (MSK)

>>>>
>>>>>ipfw add 1000 divert 8668 all from any to any via rl1
>>>>
>>>>Попробуй без via rl1:
>>>>ipfw add 1000 divert 8668 all from any to any
>>>Сенкс! Всё заработало, но теперь другие грабли!
>>>Нужно чтоб счётчики считали не так как написано выше, а
>>>ipfw add 1013 count all from any to 10.10.22.13 via rl1
>>>но при этом правеле не считает!
>>>если сделать два правила:
>>>ipfw add 1000 divert 8668 all from any to any via rl0
>>>
>>>ipfw add 1001 divert 8668 all from any to any via rl1
>>>
>>>то всё работает, но вопрос в то м криво ли это или
>>>нет? Может счётчики не работают по причине того что они выше
>>>номером правила, или то что я написал вполне допустимо?
>>
>>насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к
>>rl0, а твое
>> ipfw add 1013 count all from any to 10.10.22.13 via rl1
>наоборот! к rl0 подключён 10.10.22.13, а к rl1 natd и внешняя сеть
>с которой надо считать входящий траффик.
>>
>>будет тебе считать только если:
>>1)10.10.22.13 подключен к интерфейсу rl1
>>2)считается трафик вошедший с rl1 и по нему же и вышедший.
>>
>>попробуй:
>>ipfw add 1013 count all from any to 10.10.22.13 in via rl1
>>
>попробую, я так понял что тут считается траффик вошедший через rl1, если
>да, то это и нужно.
Не работает это, не считает оно.
А можно ли сделать так: не считать траффик только по определённым портам?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw+natd неработает"
Сообщение от Alex (??) on 01-Дек-05, 12:53 (MSK)
>natd -use_sockets -same_ports -interface rl1 Это не нужно. Если правила в фаерволе по принципу "всё запрещено", то разреши прохождение пакетов. ipfw add allow ip from any to any via rl1
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw+natd неработает"
	Сообщение от Trans (??) on 01-Дек-05, 14:01 (MSK)
	>>natd -use_sockets -same_ports -interface rl1 > >Это не нужно. >Если правила в фаерволе по принципу "всё запрещено", то разреши прохождение пакетов. > >ipfw add allow ip from any to any via rl1 Не дописал, полностью у меня всё выглядет так: в /usr/local/etc/rc.d/natd.sh /sbin/natd -f /etc/natd.conf в /etc/natd.conf log yes interface rl1 use_sockets yes same_ports yes в /usr/local/etc/rc.d/fire.sh ipfw add 65535 allow all from any to any ipfw add allow all from any to any via lo0 ipfw add allow all from any to any via rl0 ipfw add allow all from any to any via rl1 ipfw add 1000 divert 8668 all from any to any via rl1 при такой настройке пинг с машины на которой это написано идёт куда угодно в эти две сети, но если пинговать с 22 на 23, то пингуется только эта машина (хоть 10.10.22.2, хоть 10.10.23.2). и вот ещё по ipfw show 00100 0 0 allow ip from any to any via lo0 00200 452 117164 allow ip from any to any via rl0 00300 54 71424 allow ip from any to any via rl1 01000 0 0 divert 8668 ip from any to any via rl1 01013 0 0 count ip from any to 10.10.22.13 01014 0 0 count ip from any to 10.10.22.14 01015 0 0 count ip from any to 10.10.22.15 01016 0 0 count ip from any to 10.10.22.16 01017 0 0 count ip from any to 10.10.22.17 01018 0 0 count ip from any to 10.10.22.18 01019 0 0 count ip from any to 10.10.22.19 65535 304 63186 allow ip from any to any Почему?????
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw+natd неработает"
	Сообщение от Kos (??) on 01-Дек-05, 14:55 (MSK)
	>ipfw add 1000 divert 8668 all from any to any via rl1 Попробуй без via rl1: ipfw add 1000 divert 8668 all from any to any
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw+natd неработает"
	Сообщение от Trans (??) on 01-Дек-05, 16:07 (MSK)
	> >>ipfw add 1000 divert 8668 all from any to any via rl1 > >Попробуй без via rl1: >ipfw add 1000 divert 8668 all from any to any Сенкс! Всё заработало, но теперь другие грабли! Нужно чтоб счётчики считали не так как написано выше, а ipfw add 1013 count all from any to 10.10.22.13 via rl1 но при этом правеле не считает! если сделать два правила: ipfw add 1000 divert 8668 all from any to any via rl0 ipfw add 1001 divert 8668 all from any to any via rl1 то всё работает, но вопрос в то м криво ли это или нет? Может счётчики не работают по причине того что они выше номером правила, или то что я написал вполне допустимо?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw+natd неработает"
	Сообщение от Kos (??) on 01-Дек-05, 16:23 (MSK)
	>> >>>ipfw add 1000 divert 8668 all from any to any via rl1 >> >>Попробуй без via rl1: >>ipfw add 1000 divert 8668 all from any to any >Сенкс! Всё заработало, но теперь другие грабли! >Нужно чтоб счётчики считали не так как написано выше, а >ipfw add 1013 count all from any to 10.10.22.13 via rl1 >но при этом правеле не считает! >если сделать два правила: >ipfw add 1000 divert 8668 all from any to any via rl0 > >ipfw add 1001 divert 8668 all from any to any via rl1 > >то всё работает, но вопрос в то м криво ли это или >нет? Может счётчики не работают по причине того что они выше >номером правила, или то что я написал вполне допустимо? насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к rl0, а твое ipfw add 1013 count all from any to 10.10.22.13 via rl1 будет тебе считать только если: 1)10.10.22.13 подключен к интерфейсу rl1 2)считается трафик вошедший с rl1 и по нему же и вышедший. попробуй: ipfw add 1013 count all from any to 10.10.22.13 in via rl1
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw+natd неработает"
	Сообщение от Trans (??) on 01-Дек-05, 17:54 (MSK)
	>>> >>>>ipfw add 1000 divert 8668 all from any to any via rl1 >>> >>>Попробуй без via rl1: >>>ipfw add 1000 divert 8668 all from any to any >>Сенкс! Всё заработало, но теперь другие грабли! >>Нужно чтоб счётчики считали не так как написано выше, а >>ipfw add 1013 count all from any to 10.10.22.13 via rl1 >>но при этом правеле не считает! >>если сделать два правила: >>ipfw add 1000 divert 8668 all from any to any via rl0 >> >>ipfw add 1001 divert 8668 all from any to any via rl1 >> >>то всё работает, но вопрос в то м криво ли это или >>нет? Может счётчики не работают по причине того что они выше >>номером правила, или то что я написал вполне допустимо? > >насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к >rl0, а твое > ipfw add 1013 count all from any to 10.10.22.13 via rl1 наоборот! к rl0 подключён 10.10.22.13, а к rl1 natd и внешняя сеть с которой надо считать входящий траффик. > >будет тебе считать только если: >1)10.10.22.13 подключен к интерфейсу rl1 >2)считается трафик вошедший с rl1 и по нему же и вышедший. > >попробуй: >ipfw add 1013 count all from any to 10.10.22.13 in via rl1 > попробую, я так понял что тут считается траффик вошедший через rl1, если да, то это и нужно.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw+natd неработает"
	Сообщение от Trans (??) on 01-Дек-05, 18:38 (MSK)
	>>>> >>>>>ipfw add 1000 divert 8668 all from any to any via rl1 >>>> >>>>Попробуй без via rl1: >>>>ipfw add 1000 divert 8668 all from any to any >>>Сенкс! Всё заработало, но теперь другие грабли! >>>Нужно чтоб счётчики считали не так как написано выше, а >>>ipfw add 1013 count all from any to 10.10.22.13 via rl1 >>>но при этом правеле не считает! >>>если сделать два правила: >>>ipfw add 1000 divert 8668 all from any to any via rl0 >>> >>>ipfw add 1001 divert 8668 all from any to any via rl1 >>> >>>то всё работает, но вопрос в то м криво ли это или >>>нет? Может счётчики не работают по причине того что они выше >>>номером правила, или то что я написал вполне допустимо? >> >>насколько я понимаю, у тебя 10.10.22.13 подключен не к rl1, а к >>rl0, а твое >> ipfw add 1013 count all from any to 10.10.22.13 via rl1 >наоборот! к rl0 подключён 10.10.22.13, а к rl1 natd и внешняя сеть >с которой надо считать входящий траффик. >> >>будет тебе считать только если: >>1)10.10.22.13 подключен к интерфейсу rl1 >>2)считается трафик вошедший с rl1 и по нему же и вышедший. >> >>попробуй: >>ipfw add 1013 count all from any to 10.10.22.13 in via rl1 >> >попробую, я так понял что тут считается траффик вошедший через rl1, если >да, то это и нужно. Не работает это, не считает оно. А можно ли сделать так: не считать траффик только по определённым портам?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]