Не работет нат

[aheles]

Пишет что нат стартует но не работает?Посмотрите конфиги где то ошибка..???

Код: Выделить всё

mail2# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Stopping natd.
Waiting for PIDS: 52815, 52815, 52815, 52815, 52815.
Starting divert daemons: natdipfw: hostname ``vr0'' unknown
ipfw: unrecognised option [-1] em0

ipfw: unrecognised option [-1] em0

ipfw: hostname ``vr0'' unknown
ipfw: bad width ``255.255.255.248''
Firewall rules loaded.
net.inet.ip.fw.enable: 0 -> 1







[code]mail2# ipfw list
00100 allow ip from any to any via lo0
00200 allow ip from any to any
00300 allow ip from any to any frag
00400 allow tcp from any to any established
00500 allow ip from xxx.xxxx.xxx.xxx  to any out xmit em0
00600 allow ip from any to me dst-port 4848,15000 in via vr0
00700 deny ip from 192.168.0.0/16 to any in via em0
00800 deny ip from 172.16.0.0/12 to any in via em0
00900 deny ip from 10.0.0.0/8 to any in via em0
01000 allow ip from any to 193.232.88.17
01100 allow ip from any to 194.84.23.125
01200 allow ip from 193.232.88.17 to me
01300 allow ip from 194.84.23.125 to me
01400 allow icmp from any to any
01500 deny icmp from any to any frag
01600 divert 8668 ip from any to any via em0
65535 deny ip from any to any

[

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q"

LanOut="em0"
IPOut="xxx.xxx.xxx.xxx"
#NetOut="8"
MaskOut="255.255.255.248"

LanIn="vr0"
IPIn="192.168.0.235"
NetInIP="192.168.0.0"
NetInMask="24"
MaskIn="255.255.255.0"

Dns1="193.232.88.17"
Dns2="194.84.23.125"

### SBROS STARblX PRAVIL
${fwcmd} -f flush

### TRAFF SERVERA
${fwcmd} add allow all from any to any via lo0
${fwcmd} add allow all from any to any
### SAMBA
###${fwcmd} add allow all from ${LanIn} to me 137-139

### 'FRAGMENT' PAKETbl
${fwcmd} add allow all from any to any frag

### YSTANOVLENNblE SOEDINENIIA
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}

### PROXY,SOCKS IZ LAN
${fwcmd} add allow all from any to me 4848,15000 in via ${LanIn}

### FTP
#${fwcmd} add allow all from any to any 20,ftp
#${fwcmd} add allow all from any to any 1024-65535

### Terminal,MAIL(POP3,SMTP,IMAP4),DNS

#${fwcmd} add pass tcp from any to any 23,25,110 in via ${LanIn}
#${fwcmd} add pass tcp from any 23,25,110 to any in via ${LanIn}
${fwcmd} add pass tcp from any to any 22
${fwcmd} add pass tcp from any 22 to any
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any


### WWW
${fwcmd} add pass tcp from any to me 80

### ZAPRET POIAVLENIIA PRIVAT ADRESOV NA VNEWNEM INTERFEISE


${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${LanOut}

### RAZREWENIE LYUBOGO TRAFIKA OT/NA DNS SERVERA
${fwcmd} add allow all from any to ${Dns1}
${fwcmd} add allow all from any to ${Dns2}
${fwcmd} add allow all from ${Dns1} to me
${fwcmd} add allow all from ${Dns2} to me

### ICMP I ZAPRET FRAGMENTACII
${fwcmd} add allow icmp from any to any
${fwcmd} add deny icmp from any to any frag

### STOP SPOOFING
${fwcmd} add deny all from ${LanIn}/${MaskIn} to any in via ${LanOut}
${fwcmd} add deny all from ${IPOut}/${MaskOut} to any in via ${LanIn}

${fwcmd} add divert natd all from any to any via ${LanIn}


################### ZAPRET ##########################################
${fwcmd} add 65535 deny all from any to any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

разберитесь с ошибками

Starting divert daemons: natdipfw: hostname ``vr0'' unknown
ipfw: unrecognised option [-1] em0

ipfw: unrecognised option [-1] em0

ipfw: hostname ``vr0'' unknown
ipfw: bad width ``255.255.255.248''

у вас неправильный синтаксис в фаере

[manefesto]

Код: Выделить всё

cat /etc/rc.firewall

в студию
но предварительно
http://www.lissyara.su/?id=1127
http://www.lissyara.su/?id=1356

[aheles]

статья супер пока все путем! natd пока не проверял но правила заработали , есть предположение что синтаксис был неправильный и самое начала файла сильно отличается.

разберусь опишу ситуацию!!!

статьи супер сайт рулит реально!!

[manefesto]

статья супер пока все путем! natd пока не проверял но правила заработали , есть предположение что синтаксис был неправильный и самое начала файла сильно отличается.

разберусь опишу ситуацию!!!

статьи супер сайт рулит реально!!

а кто бы спорил

[aheles]

nat теперь работает и правила нормально, шлюз тоже пашет (пингую инет через него с других машин),

но не работает инет через шлюз!? отключил правило чтобы всех отправлять на squid не помогает.

[paradox]

>шлюз тоже пашет (пингую инет через него с других машин),
понятно

>но не работает инет через шлюз
непонятно


понятно+непонятно=?

[aheles]

не проходит похоже трафик http ,ping проходит а браузер фигу показывает!?

[aheles]

пишет браузер:
Ошибка при загрузке http://www.pc.org/:
Истекло время ожидания сервера
Соединение было с http://www.pc.org, порт 80

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

-объясните причем здесь порт80 ??

[paradox]

80 порт?
еще как причем
там еще 443 есть
и вообще много всяких
а что вы собственно хотите сделать?
прибейте те правила которые незнаете что они делают

[aheles]

80 порт?
еще как причем
там еще 443 есть
и вообще много всяких
а что вы собственно хотите сделать?
прибейте те правила которые незнаете что они делают

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut} -я понял что это правило отправляет всех на прокси сервер

у меня просто закрывает с этим правилом или без него! закоментил его всеравно не пускает в инет,только через прокси!!
мне необходимо 2 варианта
1 - прозрачный прокси
2 - просто на прокси отправляет

и просто чтобы без прокси как шлюз интернет раздавал ? я бы переключал правила в зависимости от потребности

[paradox]

))
я бы сказал что нужно сделать таким админам что чистого доступа в инетернет юзерам не дают

[aheles]

))
я бы сказал что нужно сделать таким админам что чистого доступа в инетернет юзерам не дают

ошибочка пользователей через прокси только лишь а шлюз тоже необходим это правда!!!

[paradox]

а юзеры это не пользователи? +)

[aheles]

сервер на котором прокси разве не может быть шлюзои одновременно..???

[paradox]

может
но прокси нужно не навязывать как в вашем случае
а предлагать
а интернет раздавать по vpn

[aheles]

может
но прокси нужно не навязывать как в вашем случае
а предлагать
а интернет раздавать по vpn

а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???

[paradox]

по мегабайтно
у пользователя в винде будет удаленное подключение
по которому он будет смотреть контролировать скоко трафика прошло

а сквид может и полевому насчитать
а если умный пользователь
так вы еще и в минус гигабайты можете остаться с прокси )

[tango]

Примерно так:

Код: Выделить всё

# WAN
oif="xl0"
onet="194.105.x.x"
omask="255.255.255.240"
oip="194.105.x.x"

# LAN
iif="em0"
inet="192.168.0.0"
imask="255.255.0.0"
iip="192.168.1.15"

## NAT IP
nip="192.168.1.15, 192.168.1.16, .... и так далее...нужные ипы"
natd_interface="xl0"

правила до НАТа:
## Proxy
${fwcmd} add fwd 127.0.0.1,3128 tcp from not ${nip} to any 80,443,21 in via ${iif}

Правила НАТа:
${fwcmd} add divert natd all from ${nip} to any via ${natd_interface}
${fwcmd} add divert natd all from any to ${oip} in via ${natd_interface}

при таком конфиге, до НАТа доходят только избранные ипы, все остальные заворачиваются на прокси.

[paradox]

звери....

бедненькие пользователи
как мне их жаль
а потом незнаешь кого матом крыть
за то что какойто горе провайдер у сбея проксю поставил

[tango]

а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???

Есть такое замечательное слово "биллинг".

[aheles]

звери....

бедненькие пользователи
как мне их жаль
а потом незнаешь кого матом крыть
за то что какойто горе провайдер у сбея проксю поставил

я не провайдер я админ

[aheles]

а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???

Есть такое замечательное слово "биллинг".

да прикольно я делаю это с помощью логов squid и пока доволен даже очень!

[paradox]

эт потому что ваши пользователи пока что несчитают своих денег=))))


надо их будет научить
как качать и не платить за траффик ))

[aheles]

что сделать в сквиде чтобы был прозрачный..????