не понимаю я этот kernel nat

[maniackiller]

Народ! Объясните, может я чего не понимаю. Решил на новом шлюзе заюзать kernel nat. Собрал ядро с опциями:

Код: Выделить всё

options ipfirewall_nat
options libalias

Собрал, настроил ipfw по такому принципу:

Код: Выделить всё

NatIP="111.111.111.111"
ipfw nat 123 config ip ${NatIP} log
ipfw add 10 nat 123 ip from 192.168.0.0/16 to any
ipfw add 20 nat 123 ip from any to ${NatIP} 

Но при таком раскладе получается, что не только разрешено натиться, но и весь доступ к внешнему ip. Как же тогда защититься?

P.S. До этого юзал IPdivert. не пинайте сильно. Может сам чего не догоняю.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

гуглите по форуму
такую тему уже поднимали

[maniackiller]

Гуглил. В частности читал подобные темы на этом форуме. Но что-то никто не пришел к конкретному результату. Мне главное кусочек правил ipfw, с настроенным закрытым Kernel nat'ом. А дальше я сам разберусь

[paradox]

плохо гуглили
там как раз такой же вопрос был
и был подробно рассмотрен
увы линка на тему я не помню

[FenX]

но и весь доступ к внешнему ip.

в каком смысле?

[hizel]

сначала делаете nat на внешнем интерфейсе, потом фильтруете
смотрите пример на freebsd.org в басурманском хэндбуке

смысл там в том, что вы фильтруете трафик как будто у вас нет НАТа :]

[paix]

по кернел нату даже в мане написано голяк строчек
мне боязно говорить к чему пришли мои мытарства с фреебсд кернел натом в форуме фреесбд
(вопрос был подобен вашему)

но, тем не менее, у некоторых кернел нат работает.

[Alex Keda]

по кернел нату даже в мане написано голяк строчек
мне боязно говорить к чему пришли мои мытарства с фреебсд кернел натом в форуме фреесбд

?

[paix]

к оффтопику.
может ipfw кернел нат переписали и не плохо, но документировали препаршиво, да и примеров в инете очень мало (по крайней мере пол года назад так было).
Пару дней побыл бетатестером, потом надоело.
Если заявок на думминет не предвидется, то лучше сразу делать фаер на pf.

исходная точка вопроса тут:
http://groups.google.com.ua/group/uafug ... 6cff?pli=1

[schizoid]

странно, у мну работает, на несколько провайдеров, с думминетом...что я делаю не так?

[terminus]

может ipfw кернел нат переписали и не плохо, но документировали препаршиво, да и примеров в инете очень мало

Согласен.

Давайте общими силами всего форума создадим ман/фак/примеры использования кернел ната. Типа берем функционал старого natd и пробуем то же самое с кернеловским. По-ходу описываем подводные камни.

Нужен план составления.

---

продолжим сдесь? http://forum.lissyara.su/viewtopic.php?f=8&t=18967