forum.opennet.ru - "ipfw ядерный nat" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw ядерный nat"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw ядерный nat"	+/–
Сообщение от 1868 (??) on 26-Ноя-14, 15:37
Ядро собрано options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_NAT options LIBALIAS options ROUTETABLES=2 options HZ="1000" options DUMMYNET /sbin/ipfw nat 1 config log if em0 reset same_ports /sbin/ipfw add 10130 nat 1 ip from any to any via em0 em0 - внешний интерфейс. NAT работает только если указать nat ip from from any to any Однако нужно выпускать лишь определенные адреса, то есть: nat ip from <IP> to any Каков должен быть синтаксис? Пробовал, как где-то видел через table: /sbin/ipfw table 1 add 10.0.0.2 /sbin/ipfw add nat 2 ip from table\(1\) to any via em0 Тоже не работает.
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw ядерный nat, PavelR, 17:25 , 26-Ноя-14, (1)

ipfw ядерный nat, Сергей, 19:07 , 26-Ноя-14, (2)

ipfw ядерный nat, Pahanivo, 07:08 , 28-Ноя-14, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw ядерный nat" +/–

Сообщение от PavelR (??) on 26-Ноя-14, 17:25

> Однако нужно выпускать лишь определенные адреса, то есть:
> nat ip from <IP> to any
Это бред.
Фильтрация - это фильтрация. Трансляция - это трансляция.
Если вы не сделаете нат, то исходящий пакет может уйти на внешний интерфейс неоттранслированым. Таким образом
- вы генерируете мусор (информационный шум)
- раскрываете внутреннюю структуру сети.
На нат надо заворачивать пакеты обеих направлений - исходящие через внешний интерфейс и входящие по внешнему интерфейсу. Соответственно правил должно быть минимум два. Это не iptables.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw ядерный nat" +/–

Сообщение от Сергей (??) on 26-Ноя-14, 19:07

можно блокировать пакеты от ip из таблицы до ната...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw ядерный nat" +/–

Сообщение от Pahanivo (ok) on 28-Ноя-14, 07:08

> можно блокировать пакеты от ip из таблицы до ната...
можно хотя бы маны почитать для начала ...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw ядерный nat"	+/–
Сообщение от PavelR (??) on 26-Ноя-14, 17:25
> Однако нужно выпускать лишь определенные адреса, то есть: > nat ip from <IP> to any Это бред. Фильтрация - это фильтрация. Трансляция - это трансляция. Если вы не сделаете нат, то исходящий пакет может уйти на внешний интерфейс неоттранслированым. Таким образом - вы генерируете мусор (информационный шум) - раскрываете внутреннюю структуру сети. На нат надо заворачивать пакеты обеих направлений - исходящие через внешний интерфейс и входящие по внешнему интерфейсу. Соответственно правил должно быть минимум два. Это не iptables.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw ядерный nat"	+/–
	Сообщение от Сергей (??) on 26-Ноя-14, 19:07
	можно блокировать пакеты от ip из таблицы до ната...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipfw ядерный nat"	+/–
	Сообщение от Pahanivo (ok) on 28-Ноя-14, 07:08
	> можно блокировать пакеты от ip из таблицы до ната... можно хотя бы маны почитать для начала ...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору