freebsd 9 + nat + i[fw

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Максимус
проходил мимо

freebsd 9 + nat + i[fw

Непрочитанное сообщение Максимус » 2012-11-15 12:49:33

Всем добрый день, прошу помощи у спецов т.к. уже крыша едет..

поставил freebsd 9 со встроенным натом

Пересобрал ядро с поддержкой IPFW и NAT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options IPFIREWALL_NAT
options LIBALIAS
Далее отредактировал rc.conf
hostname="freebsd"
keymap="ru.koi8-r.kbd"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

defaultrouter="1.1.1.1"
gateway_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
firewall_script="/etc/ipfw.rules"
firewall_logging="YES"
firewall_type="OPEN"


font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"

ifconfig_em0="inet 192.168.1.254 netmask 255.255.255.0"
ifconfig_em1="inet 1.1.1.100 netmask 255.255.255.0"
Далее отредактировал IPFW
#!/bin/sh

FwCMD="/sbin/ipfw"
ExtIF="em1"
ExtIP="1.1.1.100"
LocalNet="192.168.1.0/24"

${FwCMD} -f flush

# deny flood traffic
${FwCMD} add 101 allow all from any to any via lo0
${FwCMD} add 102 deny all from any to 127.0.0.0/8
${FwCMD} add 103 deny all from 127.0.0.0/8 to any

${FwCMD} add 110 deny icmp from any to any frag

# NAT
${FwCMD} add 501 nat 1 ip from ${LocalNet} to any via ${ExtIF}
${FwCMD} add 502 nat 1 ip from any to ${ExtIP} via ${ExtIF}
Но не фига ни чего не пашет а именно:
т.е. с внутреннией подсетки на сервак могу зайти по ssh, но мир не видит и не пингует
с сервака тоже не могу пингонуть мир, но при выключенном фаерволе пингует с серваера мир, но с рабочий станции все равно не пингует.

Задача, тривиально настроить шлюз на фрюхе.
Объясните где туплю (((

За ранее буду очень признателен при направлении на путь истинный!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение Shuba » 2012-11-15 20:09:38

Код: Выделить всё

ipfw -t show
ipfw nat 1 show config
Сила ночи, сила дня - одинакова фигня!

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение snorlov » 2012-11-15 22:12:27

Если не умеете бороться с ipfw, то для начала используйте и изучите стандартный скрипт /etc/rc.firewall, а то у вас в rc.conf определены переменные firewall_nat_interface, firewall_type, ну и где они используются...

Максимус
проходил мимо

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение Максимус » 2012-11-16 8:41:27

Shuba
ipfw -t show
  • ipfw -t show
    00101 0 0 allow ip from any to any via lo0
    00102 0 0 deny ip from any to 127.0.0.0/8
    00103 0 0 deny ip from 127.0.0.0/8 to any
    00110 0 0 deny icmp from any to any frag
    00501 0 0 nat 1 ip from 10.239.2.0/24 to any via em1
    00502 0 0 nat 1 ip from any to 10.239.1.66 via em1
    65535 152 13926 Fri Nov 16 09:22:24 2012 allow ip from any to any
ipfw nat 1 show config
ни чего не выводит.

snorlov
Спасибо за рекомендацию, я обязательно изучу этот скрипт, но сейчас я бы хотел помощи, а не отправку в библиотеку потому как времени не так много!

Максимус
проходил мимо

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение Максимус » 2012-11-16 9:57:37

Вроде что то сделал и пинги пошли.
Если все будет ок выложу что сделал

Максимус
проходил мимо

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение Максимус » 2012-11-16 11:02:30

Рано радовался.....
Вопрос открыт!

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение snorlov » 2012-11-16 12:38:51

Заблокируй

Код: Выделить всё

firewall_script="/etc/ipfw.rules"
да перегрузись... Работать точно будет...

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение rmn » 2012-11-16 13:00:39

Максимус писал(а): ipfw nat 1 show config
ни чего не выводит.
настроить нат надо, чтобы выводил:

Код: Выделить всё

ipfw nat 1 config if em1 reset same_ports log deny_in

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: freebsd 9 + nat + i[fw

Непрочитанное сообщение Shuba » 2012-11-16 14:37:14

Максимус писал(а):Shuba
ipfw -t show
  • ipfw -t show
    00101 0 0 allow ip from any to any via lo0
    00102 0 0 deny ip from any to 127.0.0.0/8
    00103 0 0 deny ip from 127.0.0.0/8 to any
    00110 0 0 deny icmp from any to any frag
    00501 0 0 nat 1 ip from 10.239.2.0/24 to any via em1
    00502 0 0 nat 1 ip from any to 10.239.1.66 via em1
    65535 152 13926 Fri Nov 16 09:22:24 2012 allow ip from any to any
ipfw nat 1 show config
ни чего не выводит.

snorlov
Спасибо за рекомендацию, я обязательно изучу этот скрипт, но сейчас я бы хотел помощи, а не отправку в библиотеку потому как времени не так много!
Ну и не будет работать. В правилах ты NAT прописал, а сам NAT не сконфигурировал. Читай доку по ядерному NAT-у. Должно получится нечто вроде

Код: Выделить всё

ipfw nat 1 config if em1 deny_in same_ports unreg_only reset
Сила ночи, сила дня - одинакова фигня!