Проблемы с NAT во FreeBSD 7.1

[AHapku]

Помогите пожалуйста разобраться, не запускаются правила NAT во FreeBSD 7.1.вот конфиги ядра для фаервола:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         LIBALIAS
options         IPFIREWALL_FORWARD_EXTENDED

Правила для NAT:

Код: Выделить всё

${ipfw} add nat 100 all from any to any
${ipfw} nat 100 config ip ${IpOut} log
${ipfw} add nat 100 all from ${NetIn}/12 to any
${ipfw} add nat 100 all from any to ${IpOut}

А это ошибки которые выскакивают при попытке запустить правила:

Код: Выделить всё

ipfw: getsockopt(IP_FW_ADD): Invalid argument

Где я ошибся?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

а ядро точно с фаерволом установлено?

Код: Выделить всё

sysctl -a| grep ip.fw

что-товыдает?

[AHapku]

Код: Выделить всё

www# sysctl -a| grep ip.fw
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 33
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.debug: 1
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1

[schizoid]

а с консоли вручную что выдает?

[AHapku]

я с консоли и запускаю это правило!=)

Код: Выделить всё

www# ipfw add nat 100 all from any to any
ipfw: getsockopt(IP_FW_ADD): Invalid argument

[schizoid]

в rc.conf есть?

Код: Выделить всё

firewall_enable="YES"
firewall_type="SIMPLE"

[schizoid]

ну или для начала простое правило добавить? без НАТа?

[AHapku]

Этой строчки не было=)

Код: Выделить всё

firewall_type="SIMPLE"

после ввода ничем не поправило:( проблема осталась

[schizoid]

та строчка просто указывает какой типа фаера. у ят может и другой быть...
а просто команда к прмеру

Код: Выделить всё

ipfw add count ip from any to any

что говорит?

[AHapku]

Правила фаервола работают. не работают правила NATa

[ADRE]

а ты gateway_enable="YES" сделал? )

[AHapku]

вот мой rc.conf=) всё что относится к фаерволу

Код: Выделить всё

gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_type="SIMPLE

[schizoid]

прям полтергейст какой-то...ребут после пересборки ядра делал?
оно ж то почему то пишет на ошибку в синтаксисе...

[ADRE]

может че поменять забыл? при пересборке мира, там в ipfw какие-то изменения были (6.2 -> 7.1)

[AHapku]

недавно обновлял с 6.3 по 7.1 версию с диска! После установки фаервола в мире ничего не менял=)

[kirgudu]

nat сконфигурен?

[AHapku]

что ты имеешь ввиду? если есть возможность, выложи пример с грамотно сконфигуреным натом

[ADRE]

билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))

-------------
ой там же че-то менялось ))) ну и ладно.....

[hizel]

только для пропуска пользователей

Код: Выделить всё

$fw nat 8672 config ip $nat_ip unreg_only
$fw disable one_pass
$fadd 70 nat 8672 all from any to $uplink_ip in via $nat_int

$fadd 1000 allow all from table\($client_table\) to any in via $client_int
$fadd 1001 allow all from any to table\($client_table\) out via $client_int
$fadd 1002 skipto 65000 all from table\($client_table\) to any out via $nat_int
$fadd 1003 allow all from any to table\($client_table\) in via $nat_int

$fadd 50000 deny from any to any 

$fadd 65000 nat 8672 all from any to any out via $nat_int
$fadd 65100 allow all from any to any

[schizoid]

билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))

-------------
ой там же че-то менялось ))) ну и ладно.....

речь не о natd

[AHapku]

Сделал как сказал тов. hizel=). Показало вот такую фигню:

Код: Выделить всё

www# ipfw 70 nat 100 all from any ${IpOut} in via fxp1
ipfw: bad command `100'

[hizel]

Код: Выделить всё

fw='/sbin/ipfw'
fadd='/sbin/ipfw add'

[AHapku]

извиняюсь) исправил, всё равно:

Код: Выделить всё

www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument

[hizel]

бред, вы уверены , что пересобрали ядро?

Код: Выделить всё

[15:20vpn2] /etc/namedb> sudo ipfw nat 10 config ip 10.0.0.1
ipfw nat 10 config ip 10.0.0.1
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 10 all from any to any
65103 nat 10 ip from any to any
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 11 all from any to any
65103 nat 11 ip from any to any

Код: Выделить всё

[15:22vpn2] /etc/namedb> uname -r
7.0-RELEASE-p5

[hizel]

извиняюсь) исправил, всё равно:

Код: Выделить всё

www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument

вместо ${IpOut} нормальный ip внедрите