ipfw в ядре

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
arnel
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-07-26 16:52:03

ipfw в ядре

Непрочитанное сообщение arnel » 2013-01-31 15:43:43

Ку всем.
Вот уже пару дней мучаюсь с ipfw и дела мягко сказать не в мою пользу. Суть проблемы такова:
Имеется шлюз с фаером в ядре, т.е. со следующими опциями

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options LIBALIAS
options DUMMYNET
options ROUTETABLES=5
И вот тут самое интересное. Нужно ли в rc.conf всё таки добавлять

Код: Выделить всё

firewall_enable="YES"
или как сделать добавление правил фаера при старте системы (без этой строчки не срабатывает firewall_script). Пробовал кидать скрипт правил в /usr/local/etc/rc.d, но он оттуда не стартует.

И второе. При добавлении правил

Код: Выделить всё

ipfw nat 1 config if vlan2 reset same_ports deny_in
ipfw add nat 1 ip from any to any via vlan2
ipfw add allow ip from any to any
Не работает NAT :(
Последний раз редактировалось f_andrey 2013-02-02 22:21:53, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: ipfw в ядре

Непрочитанное сообщение snorlov » 2013-02-01 11:06:55

В вашем случае надо определить

Код: Выделить всё

firewall_enable=
firewall_nat_enable=
furewall_nat_interface=
firewall_script=
firewall_type=
3-я строчка определяет скрипт с правилами, отличный от /etc/rc.firewall, выполняемый по умолчанию, ну а 4-я определит какой выбор правил будете грузить, если в вашем скрипте выбора нет то и не надо ее определять...

arnel
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-07-26 16:52:03

Re: ipfw в ядре

Непрочитанное сообщение arnel » 2013-02-01 13:45:14

Спасибо большое за разъяснения. И только один вопрос - если nat интерфейсов много (точнее 6) их как через пробел писать??

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: ipfw в ядре

Непрочитанное сообщение snorlov » 2013-02-01 15:37:19

arnel писал(а):Спасибо большое за разъяснения. И только один вопрос - если nat интерфейсов много (точнее 6) их как через пробел писать??
дык эта переменная определена для /etc/rc.firewall, если будешь юзать свой скрипт то эта переменная тебе и не нужна... Т.е. для юзанья своего скрипта, тебе только 2-и нужны

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/MyFirewall

arnel
проходил мимо
Сообщения: 4
Зарегистрирован: 2012-07-26 16:52:03

Re: ipfw в ядре

Непрочитанное сообщение arnel » 2013-02-02 21:43:24

И вот возвращаемся тогда ко второму вопросу
И второе. При добавлении правил

Код: Выделить всё

ipfw nat 1 config if vlan2 reset same_ports deny_in
ipfw add nat 1 ip from any to any via vlan2
ipfw add allow ip from any to any
Не работает NAT

snorlov
подполковник
Сообщения: 3832
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: ipfw в ядре

Непрочитанное сообщение snorlov » 2013-02-02 22:32:16

А что кажет

Код: Выделить всё

ipfw -a list