ipfw nat и ДНС

Kos · Непрочитанное сообщение **Kos** » 2009-05-28 20:33:13

Доброго времени суток. Помогите разобраться в такой ситуации:

система:

#uname -v
FreeBSD 7.2-RELEASE #0

Установлен бинд:

Код: Выделить всё

#named -v
BIND 9.4.3-P2

em0 - внутренний
em1 - внешний
xxx.xxx.xxx.xxx - внешний ip

Код: Выделить всё

net.inet.ip.fw.one_pass: 0

при конструкции типа:

Код: Выделить всё

ipfw add 100 allow all from any to any via lo0
ipfw add 200 allow all from any to any via em0
ipfw nat 123 config log ip xxx.xxx.xxx.xxx
ipfw add 300 nat 123 ip4 from any to any via em1
ipfw add allow all from any to any

работает все кроме ДНС:

Код: Выделить всё

# nslookup google.com.ua
;; connection timed out; no servers could be reached

если открыть 53 порт до ната то все в шоколаде:

Код: Выделить всё

ipfw add 100 allow all from any to any via lo0
ipfw add 200 allow all from any to any via em0
ipfw add 250 allow udp from me to any 53
ipfw add 255 allow udp from any 53 to me
ipfw nat 123 config log ip xxx.xxx.xxx.xxx
ipfw add 300 nat 123 ip4 from any to any via em1
ipfw add allow all from any to any

Код: Выделить всё

# nslookup google.com.ua
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   google.com.ua
Address: 72.14.221.104
Name:   google.com.ua
Address: 74.125.77.104
Name:   google.com.ua
Address: 216.239.59.104

если использовать natd то нормально и так и так.
Есть идеи почему так происходит?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox · Непрочитанное сообщение **paradox** » 2009-05-28 20:43:26

а пинг по айпишнику когда неоткрыт 53 порт
идет?

Kos · Непрочитанное сообщение **Kos** » 2009-05-28 20:53:07

paradox · Непрочитанное сообщение **paradox** » 2009-05-28 20:59:17

есть конечно предположения насчет фрагментированых пакетов...
но точно не скажу

terminus

paradox писал(а):есть конечно предположения насчет фрагментированых пакетов...
но точно не скажу

Кстати. Автор того патча для ipfw оригинально готовил его для внедрения в ipfw nat. То есть там есть такая проблема, что в нат идут недефрагментированные пакеты.

Топикстартер, попробуйте (если интересно) наложить вот этот патч http://people.freebsd.org/~piso/ipfw-reass-7x.diff пересобрать систему (world + kernel) и ввести в ipfw первым правилом вот такое:

Код: Выделить всё

add reass ip from any to any in

Или, если лень патчи накладывать и долго возится, то можно проще - первым правилом прописать:

Код: Выделить всё

allow ip from any to any frag in

Kos · Непрочитанное сообщение **Kos** » 2009-05-28 21:48:04

terminus писал(а): Или, если лень патчи накладывать и долго возится, то можно проще - первым правилом прописать:
Код: Выделить всё
allow ip from any to any frag in

с патчем пока не возился, а в правиле счетчик все время 0. Ну и естественно нифига не работает (

terminus

тогда значит проблема не во фрагментации

forum.lissyara.su

ipfw nat и ДНС

ipfw nat и ДНС

Услуги хостинговой компании Host-Food.ru

Re: ipfw nat и ДНС

Re: ipfw nat и ДНС

Re: ipfw nat и ДНС

Re: ipfw nat и ДНС

Re: ipfw nat и ДНС

Re: ipfw nat и ДНС