kernel nat freebsd 8.0

vvn · Непрочитанное сообщение **vvn** » 2009-12-20 20:21:48

Сложилась вот такая ситуёвина

#!/bin/sh
fw="/sbin/ipfw -q"
inif="rl0"
outif="rl1"
inip="192.168.1.200"
outip="192.168.0.200"
innet="192.168.1.0/24"
${fw} -q -f flush

#NatIP=192.168.0.200
   ipfw nat 123 config ip ${outip} log
   ipfw add 10 nat 123 ip from ${innet} to any
   ipfw add 20 nat 123 ip from any to ${outip}



${fw} add allow all from 192.168.1.2 to any via ${inif}    
${fw} add allow all from 192.168.1.101 to any via ${inif}    
${fw} add allow all from 192.168.1.5 to any via ${inif}       
#${fw} add allow all from 192.168.1.134 to any via ${inif}     
${fw} add allow all from 192.168.1.4 to any via ${inif}      
${fw} add allow all from 192.168.1.15 to any via ${inif}     
${fw} add allow all from 192.168.1.21 to any via ${inif}     
........


${fw} add deny log all from ${innet} to not ${innet} via ${inif}

нат работает, но он из-за того, что он маскарадит всё в самом начале, доступ в инет открывается ВСЕМ, что крайне не желательно

Если спустить правила ната в самый низ, то вообще никто никуда не ходит.
ЧТО ДЕЛАТЬ ?

Сорри если это уже обсуждалось.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

vvn · Непрочитанное сообщение **vvn** » 2009-12-20 21:06:19

Насколько я понял, все ФРЯШНИКИ по воскресеньям

и на форум не заходят.
Свою проблему решил так - добавил в /etc/sysctl.conf
sysctl net.inet.ip.fw.one_pass=0

Походу все работает

Если я сделал не правильно - поправьте !!!

hizel · Непрочитанное сообщение **hizel** » 2009-12-20 21:32:42

ставьте nat правила на исходящем интерфейсе, посмотрите примеры в хэндбуке

vvn · Непрочитанное сообщение **vvn** » 2009-12-20 23:31:17

Так они на исходящем и стоят

hizel · Непрочитанное сообщение **hizel** » 2009-12-20 23:32:27

vvn писал(а):Так они на исходящем и стоят

они стаят у вас везде, это не есть гуд и хорошо

vvn · Непрочитанное сообщение **vvn** » 2009-12-21 10:20:38

hizel писал(а):они стаят у вас везде, это не есть гуд и хорошо

То есть - вот так?

Код: Выделить всё

#NatIP=192.168.0.200
   ipfw nat 123 config ip ${outip} log
   ipfw add 10 nat 123 ip from ${innet} to any via ${outif}
   ipfw add 20 nat 123 ip from any to ${outip} via ${outif}

hizel · Непрочитанное сообщение **hizel** » 2009-12-21 11:09:11

посмотрите примеры в хэндбуке, там правда natd через divert, поведение kernel nat легко приводится к такому случаю при выключении one_pass

forum.lissyara.su

kernel nat freebsd 8.0

kernel nat freebsd 8.0

Услуги хостинговой компании Host-Food.ru

Re: kernel nat freebsd 8.0

Re: kernel nat freebsd 8.0

Re: kernel nat freebsd 8.0

Re: kernel nat freebsd 8.0

Re: kernel nat freebsd 8.0

Re: kernel nat freebsd 8.0