forum.opennet.ru - "Снова про ipfw и nat!!!!!!!!!!!!!!" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Снова про ipfw и nat!!!!!!!!!!!!!!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Снова про ipfw и nat!!!!!!!!!!!!!!"
Сообщение от BatMan on 30-Июл-01, 17:49 (MSK)
28 числа писал в конференцию, но к сожалению не получил никакого ответа Ту проблему я решил (опция divert не работала) пересборкой ядра, вычитал в другой конференции что это из-за ядра. Сейчас ситуация такая: Сервер видит и локалку и инет без проблем с локальной сети виден сервер, все карточки. но к интернету нет доступу как для локальных IP адресов(должен работать нат), так и для реальных. вот опции ядра: options IPFIREWALL options IPFIREWALL_FORWARD options DUMMYNET options IPDIVERT options IPFIREWALL_VERBOSE options TCP_DROP_SYNFIN options IPFIREWALL_VERBOSE_LIMIT=10 может в последней строке ошибка, в LINT стоит цифра 100, а не 10, сейчас перекомпилирую ядро и посмотрю. в rc.conf: defaultrouter="X.X.X.X" gataway_enable="YES" inetd_enable="YES" tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" firewall_enable="YES" firewall_type="open" natd_enable="YES" natd_interface="ex0" natd_flags="-f /etc/natd.conf" router_enable="YES" router="routed" rc.firewall: fwcmd="/sbin/ipfw" ${fwcmd} -f flush ${fwcmd} add divert natd all from any to any via ex0 # ${fwcmd} add deny icmp from any to any frag ${fwcmd} add allow ICMP from any to any ${fwcmd} add allow all from any to any Пробовал по разному, но никак не получается.....
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Снова про ipfw и nat!!!!!!!!!!!!!!, Micle, 16:58 , 04-Авг-01, (1)
- RE: Снова про ipfw и nat!!!!!!!!!!!!!!, Rza, 17:13 , 05-Авг-01, (2)
  - RE: Снова про ipfw и nat!!!!!!!!!!!!!!, mrrc, 14:49 , 07-Авг-01, (3)
    - RE: Снова про ipfw и nat!!!!!!!!!!!!!!, Micle, 19:05 , 07-Авг-01, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"

Сообщение от Micle on 04-Авг-01, 16:58  (MSK)

В ядре должно быть:
pseudo-device bpf #Berkeley packet filter
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPDIVERT #divert sockets
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging

В rc.conf
natd_enable="YES"               # Enable natd (if firewall_enable == YES).
natd_flags="-s -u -m -dynamic"     # Additional flags for natd.
natd_interface="xl0"           # Public interface to use with natd.
И все работает скорее всего ты чтото гдето пропустил

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"

Сообщение от Rza on 05-Авг-01, 17:13  (MSK)

porobuy vot eto
sysctl -w net.inet.ip.forward=0

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"

Сообщение от mrrc on 07-Авг-01, 14:49  (MSK)

Ядро:
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT
/etc/rc.conf
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="xl0"
/etc/rc.firewall
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
${fwcmd} add 400 divert natd ip from INT_ADDRESS/24 to any out via xl0
${fwcmd} add 500 divert natd ip from any to 195.195.195.195 in via xl0
${fwcmd} add 65000 pass all from any to any
${fwcmd} add 65535 deny all from any to any
xl0 - интерфейс, смотрящий на провайдера
INT_ADDRESS/24 - маска серых адреса в лок.сети (10.0.0.0/24 или 192.168.0.0/24)
195.195.195.195 - реальный IP на xl0
По поводу двух последних правил, ну можно и так.

P.S.
2 Micle
А причем тут наряду c ipfw идущие в ядре ipfilter\ipnat, это же уже из другой оперы.
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"

Сообщение от Micle on 07-Авг-01, 19:05  (MSK)

Да бывает всякое, погоречился
Немного переборщил .

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"
Сообщение от Micle on 04-Авг-01, 16:58 (MSK)
В ядре должно быть: pseudo-device bpf #Berkeley packet filter options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD #enable transparent proxy support options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options IPDIVERT #divert sockets options IPFILTER #ipfilter support options IPFILTER_LOG #ipfilter logging В rc.conf natd_enable="YES" # Enable natd (if firewall_enable == YES). natd_flags="-s -u -m -dynamic" # Additional flags for natd. natd_interface="xl0" # Public interface to use with natd. И все работает скорее всего ты чтото гдето пропустил
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"
	Сообщение от Rza on 05-Авг-01, 17:13 (MSK)
	porobuy vot eto sysctl -w net.inet.ip.forward=0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"
	Сообщение от mrrc on 07-Авг-01, 14:49 (MSK)
	Ядро: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=100 options IPDIVERT /etc/rc.conf gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/rc.firewall" natd_program="/sbin/natd" natd_enable="YES" natd_interface="xl0" /etc/rc.firewall ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any ${fwcmd} add 400 divert natd ip from INT_ADDRESS/24 to any out via xl0 ${fwcmd} add 500 divert natd ip from any to 195.195.195.195 in via xl0 ${fwcmd} add 65000 pass all from any to any ${fwcmd} add 65535 deny all from any to any xl0 - интерфейс, смотрящий на провайдера INT_ADDRESS/24 - маска серых адреса в лок.сети (10.0.0.0/24 или 192.168.0.0/24) 195.195.195.195 - реальный IP на xl0 По поводу двух последних правил, ну можно и так. P.S. 2 Micle А причем тут наряду c ipfw идущие в ядре ipfilter\ipnat, это же уже из другой оперы. options IPFILTER #ipfilter support options IPFILTER_LOG #ipfilter logging
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Снова про ipfw и nat!!!!!!!!!!!!!!"
	Сообщение от Micle on 07-Авг-01, 19:05 (MSK)
	Да бывает всякое, погоречился Немного переборщил .
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх