Настройка ipfw

[u960]

Классическая схема, два интерфейса, один смотрит в интернет, другой в локальную сеть.
нужно дать любой доступ интернет самому серверу, и всем машинам в сети.

правильно я понимаю, что дать выход в интернет локальным машинам в сети можно двумя способами:
1. IPFW + NAT, add divert natd и так далее
и тогда локальным машинкам будет все позволено

2. IPFW + SQIUD, его средствами http,(а ftp полноценный можно? чтобы клиентские приложение могли ходить), и еще почта на отправку нужна.
то есть в ipfw разрешить на выход 25 порт?

откуда фряка знает, что пакеты с внутреннего интерфейса нужно перекидывать на внешний? достаточно правил в ipfw,или еще нужка какая то маршрутизация?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

откуда фряка знает, что пакеты с внутреннего интерфейса нужно перекидывать на внешний?

согласно netstat -rn и net.inet.ip.forwarding

с прокси для ftp поимеете гиморой
прокся обычная имеет смысл для мониторинга посещений сайтов, кэширование имхо в современных интернетах не актуально

[manefesto]

на узком канале актуально....как у меня...64к

[u960]

c FTP понятно, да и на трафик пофигу
значит выбираем связку IPFW+NAT

net.inet.ip.forwarding включен
пакеты из локалки все равно не уходят

Код: Выделить всё

00100 check-state
00200 deny ip from any to any in via fxp0 not verrevpath

00300 divert 8668 ip from 192.168.20.0/24 to any out via fxp0
00400 divert 8668 ip from any to 84.52.xxx.xx in via fxp0

00500 allow ip from me to any out via fxp0 keep-state
00600 deny tcp from any to any established in via fxp0

00700 allow ip from any to any via vr0 # правило 7
00800 allow ip from 192.168.20.0/24 to any out via fxp0 keep-state

00900 allow ip from any to any via lo0
01000 deny ip from any to 127.0.0.0/8
01100 deny ip from 127.0.0.0/8 to any
65535 deny ip from any to any

[u960]

NAT правила где должны располагаться? или не имеет значение, каким номером они идут?

я правильно понимаю что:
00300 divert 8668 ip from 192.168.20.0/24 to any out via fxp0
пакет из сетки обрабатывается натом, и пакет уходит через внешний интерфейс
но сначала мы его принять из локалки
00700 allow ip from 192.168.20.0/24 any in via vr0


пакет из инета поступает на вход во внешний интерфейс, обрабатывается натом
00400 divert 8668 ip from any to 84.52.xxx.xx in via fxp0
теперь его нужно выпустит в локалку
allow ip from 192.168.20.0/24 to any out via vr0

я все правильно понял?

[hizel]

пакет через divert сокет попал в natd там обработался и вернулся в фаер на правило следующее после этого divert но уже измененым

[u960]

что то нифига не получается
а точно маршрутизацию ни как не затрагивает?

r# netstat -rn

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            84.52.123.65       UGS         0     5172   fxp0
84.52.123.64/26    link#1             UC          0        0   fxp0
84.52.123.65       00:13:c4:06:ed:78  UHLW        2        0   fxp0   1195
127.0.0.1          127.0.0.1          UH          0     5233    lo0
192.168.20.0/24    link#2             UC          0        0    vr0
192.168.20.10      00:05:5d:6c:04:eb  UHLW        1     1277    vr0   1171

[hizel]

ну если у вас после natd src-ip или dst-ip меняется, естественно затрагивает

[u960]

хех, я первый раз настраиваю, а вы глумитесь )

[hizel]

нисколько не глумлюсь
я бы вам посоветовал разобрать по винтикам и кирпичикам
пример который есть в handbook для NAT+keep-state , он там по-моему последний - это если вам действительно нужен stateful
там все не так просто как на первый взгляд