не могу настроть шлюз на FreeBSD 6.2

[emoxam]

вроде бы все добавил, все включил, на БСДе инет есть, а у клиента нет. пинги наружу не идут, айпи периодически (по собственному усмотрению) резолвиться при поптке пинговать http://www.ru Но ответоа на пинги все равно нет. где грабли понять не могу, где-то вычитал что natd не пашет без ipfw, пересобрал ядро - не помогло! выкурил кучу мануалов, и гуглов, где косяк не пойму! даже включил логи в all.log но ничего толкового там не нашел.. по сему, как понять кто не дает клиентской машине выйти в инет ? какие логи смотреть ?

BSD# cat rc.conf

# -- sysinstall generated deltas -- # Sun Mar 2 23:52:19 2008
# Created: Sun Mar 2 23:52:19 2008
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
#firewall_enable="YES"
#firewall_type="OPEN"
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f -log /etc/natd.conf"
hostname="BSD.WORKGROUP"
ifconfig_fxp0="inet 10.10.10.1 netmask 255.255.255.0"
keymap="ru.koi8-r"
#linux_enable="YES"
sshd_enable="YES"
named_enable="YES"
ifconfig_rl0="DHCP"
defaultrouter="192.168.0.1"
usbd_enable="NO"
inetd_enable="YES"
BSD#

окончание all.log

Mar 4 11:10:31 BSD kernel: Mounting local file systems:
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Setting hostname: BSD.WORKGROUP.
Mar 4 11:10:31 BSD kernel: net.inet6.ip6.auto_linklocal:
Mar 4 11:10:31 BSD kernel: 1
Mar 4 11:10:31 BSD kernel: ->
Mar 4 11:10:31 BSD kernel: 0
Mar 4 11:10:31 BSD kernel:
Mar 4 11:10:31 BSD kernel: rl0: no link ...
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: got link
Mar 4 11:10:31 BSD kernel: DHCPREQUEST on rl0 to 255.255.255.255 port 67
Mar 4 11:10:31 BSD kernel:
Mar 4 11:10:31 BSD kernel: DHCPACK from 192.168.0.1
Mar 4 11:10:31 BSD kernel:
Mar 4 11:10:31 BSD kernel: bound to 192.168.0.4 -- renewal in 942865418 seconds.
Mar 4 11:10:31 BSD kernel:
Mar 4 11:10:31 BSD kernel: lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
Mar 4 11:10:31 BSD kernel: inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
Mar 4 11:10:31 BSD kernel: inet6 ::1 prefixlen 128
Mar 4 11:10:31 BSD kernel: inet 127.0.0.1 netmask 0xff000000
Mar 4 11:10:31 BSD kernel: fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
Mar 4 11:10:31 BSD kernel: options=8<VLAN_MTU>
Mar 4 11:10:31 BSD kernel: inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
Mar 4 11:10:31 BSD kernel: ether 00:a0:c9:99:0e:a5
Mar 4 11:10:31 BSD kernel: media: Ethernet autoselect (10baseT/UTP)
Mar 4 11:10:31 BSD kernel: status: active
Mar 4 11:10:31 BSD kernel: rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
Mar 4 11:10:31 BSD kernel: options=8<VLAN_MTU>
Mar 4 11:10:31 BSD kernel: inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
Mar 4 11:10:31 BSD kernel: ether 00:0e:2e:52:b6:30
Mar 4 11:10:31 BSD kernel: media: Ethernet autoselect (100baseTX <full-duplex>)
Mar 4 11:10:31 BSD kernel: status: active
Mar 4 11:10:31 BSD kernel: route:
Mar 4 11:10:31 BSD kernel: writing to routing socket
Mar 4 11:10:31 BSD kernel: :
Mar 4 11:10:31 BSD kernel: File exists
Mar 4 11:10:31 BSD kernel: add net default: gateway 192.168.0.1: route already in table
Mar 4 11:10:31 BSD kernel: Additional routing options:
Mar 4 11:10:31 BSD kernel: IP gateway=YES
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Starting devd.
Mar 4 11:10:31 BSD kernel: hw.acpi.cpu.cx_lowest:
Mar 4 11:10:31 BSD kernel: C1
Mar 4 11:10:31 BSD kernel: ->
Mar 4 11:10:31 BSD kernel: C1
Mar 4 11:10:31 BSD kernel:
Mar 4 11:10:31 BSD kernel: Mounting NFS file systems:
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Creating and/or trimming log files:
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Starting syslogd.
Mar 4 11:10:31 BSD kernel: Mar 4 11:10:31 syslogd: unknown priority name ""
Mar 4 11:10:31 BSD kernel: Mar 4 11:10:31 syslogd: unknown priority name ""
Mar 4 11:10:31 BSD kernel: ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/X11R6/lib /usr/local/lib
Mar 4 11:10:31 BSD kernel: a.out ldconfig path: /usr/lib/aout /usr/lib/compat/aout
Mar 4 11:10:31 BSD kernel: Initial i386 initialization:
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Additional ABI support:
Mar 4 11:10:31 BSD kernel: .
Mar 4 11:10:31 BSD kernel: Starting named.
Mar 4 11:10:32 BSD named[564]: starting BIND 9.3.3 -t /var/named -u bind
Mar 4 11:10:32 BSD named[564]: loading configuration from '/etc/namedb/named.conf'
Mar 4 11:10:32 BSD named[564]: listening on IPv4 interface fxp0, 10.10.10.1#53
Mar 4 11:10:32 BSD named[564]: command channel listening on 127.0.0.1#953
Mar 4 11:10:32 BSD named[564]: command channel listening on ::1#953
Mar 4 11:10:32 BSD named[564]: zone 0.0.127.IN-ADDR.ARPA/IN: loaded serial 20080303
Mar 4 11:10:32 BSD named[564]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA/IN: loaded serial 20080303
Mar 4 11:10:32 BSD named[564]: running
Mar 4 11:10:32 BSD kernel: Starting local daemons:
Mar 4 11:10:32 BSD kernel: .
Mar 4 11:10:32 BSD kernel: Updating motd
Mar 4 11:10:32 BSD kernel: .
Mar 4 11:10:32 BSD kernel: Mounting late file systems:
Mar 4 11:10:32 BSD kernel: .
Mar 4 11:10:33 BSD kernel: Configuring syscons:
Mar 4 11:10:33 BSD kernel: keymap
Mar 4 11:10:33 BSD kernel: blanktime
Mar 4 11:10:33 BSD kernel: .
Mar 4 11:10:33 BSD kernel: Starting sshd.
Mar 4 11:10:33 BSD sshd[670]: Server listening on :: port 109.
Mar 4 11:10:33 BSD sshd[670]: Server listening on 0.0.0.0 port 109.
Mar 4 11:10:33 BSD sm-mta[675]: gethostbyaddr(192.168.0.4) failed: 1
Mar 4 11:10:33 BSD sm-mta[676]: starting daemon (8.13.: SMTP+queueing@00:30:00
Mar 4 11:10:33 BSD sm-msp-queue[680]: starting daemon (8.13.: queueing@00:30:00
Mar 4 11:10:33 BSD kernel: Starting cron.
Mar 4 11:10:33 BSD kernel: Local package initialization:
Mar 4 11:10:33 BSD kernel: .
Mar 4 11:10:33 BSD kernel: Additional TCP options:
Mar 4 11:10:33 BSD kernel: .
Mar 4 11:10:34 BSD kernel: Starting inetd.
Mar 4 11:10:34 BSD kernel: Starting background file system checks in 60 seconds.
Mar 4 11:10:34 BSD kernel:
Mar 4 11:10:34 BSD kernel: Tue Mar 4 11:10:34 MSK 2008
Mar 4 11:11:00 BSD /usr/sbin/cron[741]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 11:15:00 BSD /usr/sbin/cron[758]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:20:00 BSD /usr/sbin/cron[761]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:22:00 BSD /usr/sbin/cron[764]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 11:25:00 BSD /usr/sbin/cron[777]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:30:00 BSD /usr/sbin/cron[780]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:33:00 BSD /usr/sbin/cron[783]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 11:35:00 BSD /usr/sbin/cron[796]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:40:00 BSD /usr/sbin/cron[799]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:44:00 BSD /usr/sbin/cron[804]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 11:45:00 BSD /usr/sbin/cron[817]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:50:00 BSD /usr/sbin/cron[820]: (root) CMD (/usr/libexec/atrun)
Mar 4 11:55:00 BSD /usr/sbin/cron[824]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 11:55:00 BSD /usr/sbin/cron[825]: (root) CMD (/usr/libexec/atrun)
Mar 4 12:00:00 BSD /usr/sbin/cron[842]: (operator) CMD (/usr/libexec/save-entropy)
Mar 4 12:00:00 BSD /usr/sbin/cron[843]: (root) CMD (/usr/libexec/atrun)
Mar 4 12:00:00 BSD /usr/sbin/cron[841]: (root) CMD (newsyslog)
Mar 4 12:05:00 BSD /usr/sbin/cron[858]: (root) CMD (/usr/libexec/atrun)
Mar 4 12:09:52 BSD sshd[860]: Accepted keyboard-interactive/pam for asd from 91.76.111.121 port 1130 ssh2
Mar 4 12:09:58 BSD su: asd to root on /dev/ttyp0
Mar 4 12:09:58 BSD kernel: Mar 4 12:09:58 BSD su: asd to root on /dev/ttyp0
Mar 4 12:10:00 BSD /usr/sbin/cron[870]: (root) CMD (/usr/libexec/atrun)
Mar 4 12:11:00 BSD /usr/sbin/cron[890]: (operator) CMD (/usr/libexec/save-entropy)

ifconfig
BSD# ifconfig
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
ether 00:a0:c9:99:0e:a5
media: Ethernet autoselect (10baseT/UTP)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:0e:2e:52:b6:30
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
BSD#


FXP0 - внутрь от БСД
RL0 - наружу от БСД (на роутер есси кому интересно)

навеярнка что-то забыл, я в никсах только неделю )) ежели так, не бейте ногами, завсегда готов предоставить не хватающую инфу ))

жжу помощи господа!


P.S. файрвол закоментарен от отчаяния, inetd включен по той же причине! пингование с клиента http://www.ru по ip тоже не дает ответов.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Morty]

помоему фаер надо включать - он заворочивает пакеты на нат(уточни что в скрипте),
по поводу резовлинга можешь запустить шататный бинд в режиме форвард-онли(например)

Код: Выделить всё

> pwd
/var/named/etc/namedb
> cat named.conf
// named.conf
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works.  Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.

options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.

listen-on { 192.168.200.1; 127.0.0.1; };

// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
      forward only;

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

// forwarders { x.x.x.x; y.y.y.y; };
//forwarders { [IP ad1dress of ISP DNS server]; [IP address of ISP DNS server]; };
 forwarders { 212.109.32.5; 212.109.32.9; };
};

// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.

zone "." {
type hint;
file "named.root";
};

// end named.conf
>

[emoxam]

в каком скрипте, прости ? в named.conf ?

[Morty]

выложил named.conf чтобы ты попробовал - для того что б резолв начал работать из локалки
а по поводу фаера если штатный скрипт/фаер просто запусти в опен режиме там уже все есть

[emoxam]

тока надо адреса изменить на свои я так понимаю ?
а глупый вопрос мона ? адрес ДНС указывать кого ? прова или роутера ? межу БСД и провом ещё стоит роутер!

[voider]

в каком скрипте, прости ? в named.conf ?

что в ядро добавлял?

[emoxam]

options IPDIVERT
options IPFWIREWALL
options IPFWIREWALL_VERBOSE

да и все по-моему, сейчас нет возможнсти глянуть, напругу отключили враги народа дома у меня ) как дадут (пингу ройтер снаружи) пришлю и named.conf и в конфиг ядра загляну !

[Morty]

вот так поппробуй

Код: Выделить всё

maxusers        512
options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         HZ=1000
options         IPDIVERT
options         DUMMYNET

[emoxam]

понял
спасибо
отпишусь как попробую!

[kapka]

тока надо адреса изменить на свои я так понимаю ?
а глупый вопрос мона ? адрес ДНС указывать кого ? прова или роутера ? межу БСД и провом ещё стоит роутер!

И тот и тот должен работать
А по поводу остального, включи файрвол и пропиши в правилах

Код: Выделить всё

add divert natd ip from any to any via rl0
add allow ip from any to any

должно заработать. А потом читай как это сделать правильно

[emoxam]

не поверите, прописано! мне тут сказали что НАТ настраиваеться в ipfw! интересна.. вы же только что тоже самое написали, add divert.. запутался я нафик (

[kapka]

Попробую по пунктам. Итак, надо клиента пустить в инет, внешняя карта rl0, внутренняя fxp0. Поскольку провайдер выдал только один IP, надо пускать клиентов через нат. Делаю так:
1. Разрешаем пересылку пакетов между fxp0 и rl0 (комп делаем шлюзом):

Код: Выделить всё

echo gateway_enable=\"YES\" >> rc.conf

2. Нам надо нат, но для этого сначала нужно включить файрволл. Пересобираем ядро со следующими опциями:

Код: Выделить всё

options IPFIREWALL
options IPDIVERT

В rc.conf добавляем (для файрвола и ната):

Код: Выделить всё

firewall_enable="YES"
firewall_script="/my.fw.rules"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u"

3. Сделанного мало, потому как еще надо написать правила в файле /my.fw.rules которые позволят файрволу перенаправлять трафик демону natd для преобразования а также разрешить прохождения пакетов по сетевым интерфейсам.
Создаем /my.fw.rules такого содержания:

Код: Выделить всё

add divert natd ip from any to any via rl0
add allow ip from any to any

Если я ничего не провтыкал, все должно работать...
З.Ы. Ядро лучше собрать как morty писал.
З.З.Ы. Сознательно не использовал стандартные наборы правил, чтоб не путаться.

[voider]

options IPDIVERT
options IPFWIREWALL
options IPFWIREWALL_VERBOSE

да и все по-моему, сейчас нет возможнсти глянуть, напругу отключили враги народа дома у меня ) как дадут (пингу ройтер снаружи) пришлю и named.conf и в конфиг ядра загляну !

добавь это в я дро и скомпилируй :

Код: Выделить всё

# =================Enable Multicast Routing =================
options        MROUTING        
# ================ Enable IPFIREWALL ============
options IPFIREWALL             #firewall
options IPFIREWALL_VERBOSE         #enable logging to syslogd(8)
options IPFIREWALL_FORWARD         #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100     #limit verbosity
options IPDIVERT             #divert sockets
options DUMMYNET

далее в rc.conf

Код: Выделить всё

ifconfig_rl0="inet xxx.xxx.xxx.1 netmask 255.255.255.0" # сетевуха смотрящая в инет
ifconfig_rl1="inet 192.168.0.1 netmask 255.255.255.0" #сетевуха в локалку
natd_enable="YES"
natd_interface="rl0" # инерфейс который будет натить :)
gateway_enable="YES"
defaultrouter="ххх.ххх.ххх.17" #тут Ip шлюза который дает провайдер  
hostname="myrouter.local"
firewall_enable="YES"
firewall_type="open" #открыть файрволл так как подефаулты мы все деним

и еще
resolv.conf Добавь DNS сервера

Код: Выделить всё

nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx

всё!! должно работать

[emoxam]

не вели казнить!
но rc.conf и resolve.conf у меня идентичные, сам глянь наверх

а вот опций пару не хватает, таких как ограничение и думминет

ладно, по всему прйдусь отпишусь!
Спасибочки мужики!

[emoxam]

типа все сделал..но возник вопрос

соединения из роутера получаеться два, одно на БСД одно на мой комп, как я проверю пашет ли шлюз если отключу на своей линк инета? вот и хочу радмин прокинуть через БСД, на БСД то инет есть.. круто ? )

забубенил вот такое дело,
natd_flags="-m -u -redirect_port tcp 10.10.10.2:4899 1028"

ребутнул, но не пашет, может надо ещё сделать ipfw add divert ?

P.S. на роутере конечно же тоже указа перенаправление!

[princeps]

P.S. на роутере конечно же тоже указа перенаправление!

Я, похоже, что-то недопонял, а на роутере тоже нат?

[emoxam]

а есть другие варианты ?

роутер используеться для того точбы выдать инет мне, маман, и БСД!

[princeps]

то есть он тоже натит? Получается у тебя из инета 4899 порт перекидывается роутером на freebsd, а оттуда на твой комп? А напрямую с роутера на свою машину пробовал? Это я к тому, чтоб убедиться, что у тебя на компе нужные сервисы слушают нужные порты и роутер их нормально пробрасывает.

[emoxam]

ну получаеться что так )) роутер получает от прова внешнюю статику, а клиенты за роутером сидят с айпи вида 192.168.0.*
у меня все несколько хитрее! в случае доступа с ротуреа на комп по радмину у меня перекидываеться 4899
а ежели через БСД то снаружи идет запрос на 1028, роутер перекидывает его в виде 1028 на БСД , и БСД кидает его на мой комп ввиде 4899! ибо служба слушает на 4899

конечно же первый варинат пашет! в нем - уточню - снаружи приходит 4899, роутер кидает на клиента в виде 4899!

вот такие пироги.. и конечно косяк в том, что нифига не пашет радмин через БСД.. наверняка потому чт не пашет НАТ, ну или потому что я не прописал правило ддя радмина по перекидываю на БСД, либо и то и то )))

[emoxam]

у меня логи пишуться в all.log
и вот я там что нашел
Mar 5 12:57:04 BSD sm-mta[845]: gethostbyaddr(192.168.0.4) failed: 1

вычитал что это связанно с почтовиком sendmail я вроде как сказал ему NO в rc.conf но ошибка осталась, может она поможет понять почему не пашеД нешиша ?


Mar 5 12:57:00 BSD named[734]: starting BIND 9.3.3 -u bind -t /var/named -u bin d

вот это удивляет! откуда у него повтор параметров то ?

Mar 5 12:56:59 BSD kernel: Starting syslogd.
Mar 5 12:56:59 BSD kernel: Mar 5 12:56:59 syslogd: unknown priority name ""
Mar 5 12:56:59 BSD kernel: Mar 5 12:56:59 syslogd: unknown priority name ""
Mar 5 12:56:59 BSD kernel: ELF ldconfig path: /lib /usr/lib /usr/lib/compat /us r/X11R6/lib /usr/local/lib

шо это за ошибки ?

Mar 5 12:56:59 BSD kernel: Starting divert daemons:
Mar 5 12:56:59 BSD kernel: natd
Mar 5 12:56:59 BSD kernel: add: not found
Mar 5 12:56:59 BSD kernel: add: not found
Mar 5 12:56:59 BSD kernel: Firewall rules loaded
Mar 5 12:56:59 BSD kernel: .
Mar 5 12:56:59 BSD kernel: net.inet.ip.fw.enable:
Mar 5 12:56:59 BSD kernel: 1
Mar 5 12:56:59 BSD kernel: ->
Mar 5 12:56:59 BSD kernel: 1
Mar 5 12:56:59 BSD kernel:
Mar 5 12:56:59 BSD kernel: Mounting NFS file systems:


что бы это значило ?


вроде бы больше ругани я не вижу

[princeps]

Это, похоже, к твоей проблеме отношения не имеет.
Уточню на всякий случай: есть ли в фаерволе запрещающие правила или ты его как советовали полностью открытым сделал? Вообще, выложи настройки фаервола сюда, а то не совсем понятно, что из советуемого ты в итоге внедрил. И мне кажется, что правилами натд все-таки через /etc/natd.conf удобнее рулить, чем через флаги запуска в rc.conf

[emoxam]

BSD# cd /etc
BSD# cat rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Sun Mar  2 23:52:19 2008
# Created: Sun Mar  2 23:52:19 2008
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/my.fw.rules"
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="192.168.0.4"
natd_flags="-m -u -redirect_port tcp 10.10.10.2:4899 1028"
hostname="BSD.local"
ifconfig_fxp0="inet 10.10.10.1  netmask 255.255.255.0"
keymap="ru.koi8-r"
#linux_enable="YES"
sshd_enable="YES"
named_enable="YES"
named_flags="-u bind"
ifconfig_rl0="DHCP"
defaultrouter="192.168.0.1"
usbd_enable="NO"
inetd_enable="YES"
sendmail_enable="NO"
BSD#

BSD# cat natd.conf

Код: Выделить всё

-m -u -redirect_port tcp 10.10.10.2:4899 1028

BSD#

BSD# cat my.fw.rules

Код: Выделить всё

add divert natd ip from any to any via rl0
add allow ip from any to any
BSD#

BSD# BSD# cd /etc/namedb
BSD# cat named.conf

Код: Выделить всё

// $FreeBSD: src/etc/namedb/named.conf,v 1.21.2.1 2005/09/10 08:27:27 dougb Exp $
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works.  Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.

options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
        listen-on       { 10.10.10.1; 127.0.0.1; 192.168.0.4; };

// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver.  To give access to the network, specify
// an IPv6 address, or the keyword "any".
//      listen-on-v6    { ::1; };

// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
      forward only;

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

        forwarders { 192.168.0.1; 217.10.32.4; };

        /*
         * If there is a firewall between you and nameservers you want
         * to talk to, you might need to uncomment the query-source
         * directive below.  Previous versions of BIND always asked
         * questions using port 53, but BIND versions 8 and later
         * use a pseudo-random unprivileged UDP port by default.
         */
         query-source address * port 53;
};

// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.

zone "." {
        type hint;
        file "named.root";
        };

BSD#

BSD# ifconfig

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
        ether 00:a0:c9:99:0e:a5
        media: Ethernet autoselect (10baseT/UTP)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:0e:2e:52:b6:30
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
BSD#

ниче не забыл ? мож какой ещё файл прислать ?

P.S. значит так, клиент имеет айпи 10.10.10.2,
БСД 10.10.10.1 внутрь
и 192.168.0.4 наружу

роутер 192.168.0.1 внутрь
и 217.10.43.* наружу

[emoxam]

ядро пересобрал со всем что насоветовали
в общем то учел/проверил все рекомендации

[emoxam]

вот конф ядра


options MROUTING
maxusers 512
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options HZ=1000
options IPDIVERT
options DUMMYNET

[hizel]

легко проверить
посмотрите на BSD в оба интерфейса tcpdump-ом
и оцените правильно ли у вас все редиректится
что то типа

Код: Выделить всё

tcpdump -i fxp0 -np port 4899 and port 1028

и

Код: Выделить всё

tcpdump -i rl0 -np port 4899 and port 1028

Пы.Сы. и обратите внимание на кнопочку Code когда пишете сообщения