forum.opennet.ru - "Не работает доступ в интернет ни почта" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не работает доступ в интернет ни почта"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не работает доступ в интернет ни почта"		+/–
Сообщение от kozyr76 on 08-Июл-09, 00:14
Здравствуйте, уважаемые специалисты! Прочитал кучу литературы, брал за основу много конфигураций файерволлов, но к сожалению ни интернет, ни почта (25-110) так и не заработали. Система установлена FreeBsd 7.2. Приведу пример ipfw.conf. Очень нужна помощь. Реально работает только ssh. FwCMD="/sbin/ipfw" LanOut="rl0" внешний интерфейс LanIn="re0" внутр. интерфейс IpOut="xxx.xxx.xxx.xxx" IpIn="yyy.yyy.yyy.yyy" NetMask="24" NetIn="10.17.13.0" # Внутренняя сеть ${FwCMD} -f flush ${FwCMD} add check-state ${FwCMD} add allow ip from any to any via lo0 ${FwCMD} add deny ip from any to 127.0.0.0/8 ${FwCMD} add deny ip from 127.0.0.0/8 to any ${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut} ${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut} ${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut} ${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut} # рубим автоконфигуреную частную сеть ${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut} ${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut} ${FwCMD} add deny icmp from any to any frag ${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut} ${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut} ${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} ${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} ${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} ${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut} ${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut} ${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut} ${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut} ${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut} ${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut} ${FwCMD} add allow tcp from any to any established ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut} ${FwCMD} add allow udp from any 53 to any via ${LanOut} ${FwCMD} add allow udp from any to any 53 via ${LanOut} ${FwCMD} add allow udp from any to any 123 via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut} ${FwCMD} add allow icmp from any to any icmptypes 0,8,11 ${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut} ${FwCMD} add allow ip from any to any via ${LanIn} ${FwCMD} add allow tcp from any to any via ${LanIn} ${FwCMD} add allow udp from any to any via ${LanIn} ${FwCMD} add allow icmp from any to any via ${LanIn} ${FwCMD} add deny ip from any to any rc.config: firewall_enable ="YES" firewall_script="/etc/ipfw.conf" named_enable="YES" inetd_enable="YES" natd_enable="YES" natd_interface="re0" ifconfig re0= "xxx.xxx.xxx.xxx netmask 255.255.255.252" ifconfig rl0= "yyy.yyy.yyy.yyy netmask 255.255.255.0" defaultrouter="zzz.zzz.zzz.zzz getaway_enable="YES" остальное не буду... сетевые карты рабочие. С сервера все пингуется и dns имена тоже, устанавливаются любые проги из портов. Прошу помочь.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Не работает доступ в интернет ни почта, kozyr76, 00:16 , 08-Июл-09, (1)

Не работает доступ в интернет ни почта, Deac, 05:03 , 08-Июл-09, (2)

Не работает доступ в интернет ни почта, PavelR, 09:14 , 08-Июл-09, (3)

Не работает доступ в интернет ни почта, kozyr76, 09:56 , 08-Июл-09, (4)
Не работает доступ в интернет ни почта, Deac, 18:05 , 08-Июл-09, (5)

Не работает доступ в интернет ни почта, kozyr76, 22:17 , 08-Июл-09, (6)

Не работает доступ в интернет ни почта, Deac, 00:17 , 09-Июл-09, (7)

Не работает доступ в интернет ни почта, kozyr76, 08:53 , 09-Июл-09, (8)

Не работает доступ в интернет ни почта, бусик, 09:10 , 09-Июл-09, (9)

Не работает доступ в интернет ни почта, PavelR, 10:22 , 09-Июл-09, (10)

Не работает доступ в интернет ни почта, Deac, 12:34 , 09-Июл-09, (11)

Не работает доступ в интернет ни почта, PavelR, 16:14 , 09-Июл-09, (12)

Не работает доступ в интернет ни почта, Deac, 19:54 , 09-Июл-09, (13)

Не работает доступ в интернет ни почта, PavelR, 22:18 , 09-Июл-09, (14)
Не работает доступ в интернет ни почта, PavelR, 22:22 , 09-Июл-09, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не работает доступ в интернет ни почта" +/–

Сообщение от kozyr76 on 08-Июл-09, 00:16

PS локальные машины в инет так и немогут выйти

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает доступ в интернет ни почта" +/–

Сообщение от Deac (ok) on 08-Июл-09, 05:03

Эти правила NATят подсеть 10.17.13.0
>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
А вот это рубит всё на корню
>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
Пораскинь мозгами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает доступ в интернет ни почта" +/–

Сообщение от PavelR (??) on 08-Июл-09, 09:14

>Эти правила NATят подсеть 10.17.13.0
>>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
>
>А вот это рубит всё на корню
>>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
>
>Пораскинь мозгами.
Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать не умеешь.
В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, не знаю), и под правило "рубит всё на корню" подпадать не должен.

Автору топика: хотите чтобы вам помогли - показывайте "ipfw sh".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает доступ в интернет ни почта" +/–

Сообщение от kozyr76 on 08-Июл-09, 09:56

ipfw sh это и есть конфиг файерволла. /etc/ipfw.conf/ В rc.conf так и указано...Может, что не так, поясните...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает доступ в интернет ни почта" +/–

Сообщение от Deac (ok) on 08-Июл-09, 18:05

>[оверквотинг удален]
>>Пораскинь мозгами.
>
>Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать
>не умеешь.
>
>В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из
>подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится
>на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей,
>не знаю), и под правило "рубит всё на корню" подпадать не
>должен.
Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо и исходную подсеть и адрес внешнего интерфейса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает доступ в интернет ни почта" +/–

Сообщение от kozyr76 on 08-Июл-09, 22:17

Прошу покажите строки какие надо изменить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает доступ в интернет ни почта" +/–

Сообщение от Deac (ok) on 09-Июл-09, 00:17

>Прошу покажите строки какие надо изменить
1. Cтроку для удаления я уже указал.
2. Брать firewall из доков не лучший вариант.
3. Используй таблицы.
4. Ищи по форуму, этого добра полно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает доступ в интернет ни почта" +/–

Сообщение от kozyr76 on 09-Июл-09, 08:53

удалил строку, но безрезультатно....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает доступ в интернет ни почта" +/–

Сообщение от бусик on 09-Июл-09, 09:10

>удалил строку, но безрезультатно....
LanOut="rl0" внешний интерфейс
LanIn="re0" внутр. интерфейс
тогда почему в rc.conf natd_interface="re0" ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает доступ в интернет ни почта" +/–

Сообщение от PavelR (??) on 09-Июл-09, 10:22

>
>Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо
>и исходную подсеть и адрес внешнего интерфейса.
Типичное мнение человека, не понимающего последовательность прохождения пакета по файрволу ipfw, точнее того аспекта, что пакет пройдет через файрволл дважды - на входе в рутер и на выходе из него.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает доступ в интернет ни почта" +/–

Сообщение от Deac (ok) on 09-Июл-09, 12:34

>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
Дальше пакет возвращается в ipfw, если не указан one pass.
В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx", через который собственно и осуществляется доступ в интернет, примерно так:
allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via rl0
allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via rl0
Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает доступ в интернет ни почта" +/–

Сообщение от PavelR (??) on 09-Июл-09, 16:14

>divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе
>запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс
>rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx"
>Дальше пакет возвращается в ipfw, если не указан one pass.
+1 насчет one_pass.
>В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на
>rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx"
гы-гы. поясните теперь, как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?

> через который
>собственно и осуществляется доступ в интернет, примерно так:
>allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via
>rl0
>allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via
>rl0
>Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут
>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, _возвращает_ _измененный_ _пакет_.
>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
А еще в 7-ке есть ipfw natd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает доступ в интернет ни почта" +/–

Сообщение от Deac (ok) on 09-Июл-09, 19:54

>[оверквотинг удален]
>>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
>
>Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в
>ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю,
>_возвращает_ _измененный_ _пакет_.
>
>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>
>А еще в 7-ке есть ipfw natd.
Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to any , ниже правил для divert-а и в /var/log/security убедиться в тщетности инсинуаций.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не работает доступ в интернет ни почта" +/–

Сообщение от PavelR (??) on 09-Июл-09, 22:18

>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.
Уважаемый, Вам таки не понятно, что это будет происходить _до_ divert, при первом прохождении пакета по файрволлу ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не работает доступ в интернет ни почта" +/–

Сообщение от PavelR (??) on 09-Июл-09, 22:22

>[оверквотинг удален]
>>_возвращает_ _измененный_ _пакет_.
>>
>>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между
>>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
>>
>>А еще в 7-ке есть ipfw natd.
>
>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to
>any , ниже правил для divert-а и в /var/log/security убедиться в
>тщетности инсинуаций.
и еще, ответьте на вопрос:
как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает доступ в интернет ни почта"		+/–
Сообщение от kozyr76 on 08-Июл-09, 00:16
PS локальные машины в инет так и немогут выйти
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от Deac (ok) on 08-Июл-09, 05:03
	Эти правила NATят подсеть 10.17.13.0 >>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} А вот это рубит всё на корню >>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} Пораскинь мозгами.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от PavelR (??) on 08-Июл-09, 09:14
	>Эти правила NATят подсеть 10.17.13.0 >>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} > >А вот это рубит всё на корню >>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} > >Пораскинь мозгами. Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать не умеешь. В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, не знаю), и под правило "рубит всё на корню" подпадать не должен. Автору топика: хотите чтобы вам помогли - показывайте "ipfw sh".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от kozyr76 on 08-Июл-09, 09:56
	ipfw sh это и есть конфиг файерволла. /etc/ipfw.conf/ В rc.conf так и указано...Может, что не так, поясните...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от Deac (ok) on 08-Июл-09, 18:05
	>[оверквотинг удален] >>Пораскинь мозгами. > >Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать >не умеешь. > >В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из >подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится >на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, >не знаю), и под правило "рубит всё на корню" подпадать не >должен. Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо и исходную подсеть и адрес внешнего интерфейса.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от kozyr76 on 08-Июл-09, 22:17
	Прошу покажите строки какие надо изменить
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от Deac (ok) on 09-Июл-09, 00:17
	>Прошу покажите строки какие надо изменить 1. Cтроку для удаления я уже указал. 2. Брать firewall из доков не лучший вариант. 3. Используй таблицы. 4. Ищи по форуму, этого добра полно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от kozyr76 on 09-Июл-09, 08:53
	удалил строку, но безрезультатно....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от бусик on 09-Июл-09, 09:10
	>удалил строку, но безрезультатно.... LanOut="rl0" внешний интерфейс LanIn="re0" внутр. интерфейс тогда почему в rc.conf natd_interface="re0" ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от PavelR (??) on 09-Июл-09, 10:22
	> >Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо >и исходную подсеть и адрес внешнего интерфейса. Типичное мнение человека, не понимающего последовательность прохождения пакета по файрволу ipfw, точнее того аспекта, что пакет пройдет через файрволл дважды - на входе в рутер и на выходе из него.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от Deac (ok) on 09-Июл-09, 12:34
	>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx" Дальше пакет возвращается в ipfw, если не указан one pass. В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx", через который собственно и осуществляется доступ в интернет, примерно так: allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via rl0 allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via rl0 Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно. Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от PavelR (??) on 09-Июл-09, 16:14
	>divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе >запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс >rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx" >Дальше пакет возвращается в ipfw, если не указан one pass. +1 насчет one_pass. >В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на >rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx" гы-гы. поясните теперь, как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ? > через который >собственно и осуществляется доступ в интернет, примерно так: >allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via >rl0 >allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via >rl0 >Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут >работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно. Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, _возвращает_ _измененный_ _пакет_. >Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). А еще в 7-ке есть ipfw natd.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от Deac (ok) on 09-Июл-09, 19:54
	>[оверквотинг удален] >>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно. > >Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в >ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, >_возвращает_ _измененный_ _пакет_. > >>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). > >А еще в 7-ке есть ipfw natd. Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to any , ниже правил для divert-а и в /var/log/security убедиться в тщетности инсинуаций.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от PavelR (??) on 09-Июл-09, 22:18
	>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to >any , ниже правил для divert-а и в /var/log/security убедиться в >тщетности инсинуаций. Уважаемый, Вам таки не понятно, что это будет происходить _до_ divert, при первом прохождении пакета по файрволлу ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Не работает доступ в интернет ни почта"		+/–
	Сообщение от PavelR (??) on 09-Июл-09, 22:22
	>[оверквотинг удален] >>_возвращает_ _измененный_ _пакет_. >> >>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). >> >>А еще в 7-ке есть ipfw natd. > >Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to >any , ниже правил для divert-а и в /var/log/security убедиться в >тщетности инсинуаций. и еще, ответьте на вопрос: как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору