kernel ipfw+nat

[vladr]

День Добрый!

прорыл пол инета, но ответа особого не увидел.

Имеем FreeBSD 8.3-RELEASE
обновил порты и исходники ядра с ftp
MY_KERNEL в ядро добавил

Код: Выделить всё

options	IPFIREWALL
options	IPFIREWALL_VERBOSE
options	IPFIREWALL_VERBOSE_LIMIT=1000
options	IPFIREWALL_NAT
options	IPFIREWALL_FORWARD
options	IPFIREWALL_DEFAULT_TO_ACCEPT
options	LIBALIAS
options	ROUTETABLES=2
options	DUMMYNET
options	HZ="1000"

options VESA
options SC_PIXEL_MODE

options SC_NORM_ATTR=(FG_LIGHTGREY|BG_BLACK)
options SC_NORM_REV_ATTR=(FG_BLACK|BG_LIGHTGREY)
options SC_KERNEL_CONS_ATTR=(FG_RED|BG_BLACK)
options SC_KERNEL_CONS_REV_ATTR=(FG_BLACK|BG_RED)

добавлял options IPDIVERT

Код: Выделить всё

ifconfig_xl0="DHCP"
ifconfig_xl1="inet 172.16.100.1  netmask 255.255.255.0"
gateway_enable="YES"

firewall_enable="YES"
firewall_natd_interface="xl1"
firewall_nat_enable="YES"
firewall_type="/etc/ipfw"
firewall_logging="YES"

пробовал добавлять :
natd_enable="YES"		
natd_interface="xl1"		
natd_flags="-dynamic -m"

пробовал в крон на @reboot /usr/local/sbin/ipfw_start , в котором /etc/rc.d/ipfw restart
пробовал так
start_ipfw_enable="YES" , что ссылалось на /usr/local/etc/rc.d/start_ipfw , которій запускал скрипт /usr/local/sbin/ipfw_start

в /etc/ipfw

Код: Выделить всё

# Разрешаем весь трафик по локальной сети
add 1040 allow ip from any to any via xl1

# Запрещаем частные сети на внешнем интерфейса
add 1050 deny log ip from any to 192.168.0.0/16 in recv xl0
add 1060 deny log ip from 192.168.0.0/16 to any in recv xl0
add 1070 deny log ip from any to 172.16.0.0/12 in recv xl0
add 1080 deny log ip from 172.16.0.0/12 to any in recv xl0
add 1090 deny log ip from any to 10.0.0.0/8 in recv xl0
add 10100 deny log ip from 10.0.0.0/8 to any in recv xl0
add 10110 deny log ip from any to 169.254.0.0/16 in recv xl0
add 10120 deny log ip from 169.254.0.0/16 to any in recv xl0

# Открываем порты SSH
add 10122 allow tcp from any to me 22 in via xl0

# Incoming Pings
add 10135 allow icmp from any to me icmptypes 8 in recv xl0

# Настройка NAT
nat 1 config log if xl0 reset same_ports deny_in
add 10160 nat 1 ip from any to any via xl0

#Deny all
add 65534 deny log all from any to any

также подняты bind и dhcp

Код: Выделить всё

# dhcpd.conf
#
# Sample configuration file for ISC dhcpd
#
option domain-name "test.ua"; # полное имя домена
option domain-name-servers 172.16.100.1; # адрес DNS сервера
option routers 172.16.100.1; # адрес маршрутизатора в Интернет
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;
subnet 172.16.100.0 netmask 255.255.255.0 {
    range 172.16.100.21 172.16.100.200;
}

host pc111 { # имя хоста
	hardware ethernet 40:cc:86:cc:59:4e; # MAC адрес сетевой карты хоста
	fixed-address 172.16.100.111; # ip адрес для этого хоста
}

но инет поднимается, только если вручную выполнить /usr/local/sbin/ipfw_start или /etc/rc.d/ipfw restart

не могу понять, как заставить подняться ipfw при старте системы, подскажите плиз, как решить вопрос

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

http://forum.lissyara.su/viewtopic.php?f=53&t=38661

[Гость]

http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

[vladr]

Дополню вопрос, ранее все теже телодвижения проводились на версии 8 (уже порядка года живет "сервачок-роутер", ранее инет был по адсл, теперь сетевой), на ней работало все при старте и сейчас работает, т.е. теже настройки не хотят работать, на 8.3, получить лог от ipfw не могу, устанавливал для переменной значение 1, не помогает, в syslog.conf прописано security.info лога нет.

просто ссылки на похожие вопросы, тут не подходят.

Что может так влиять.

[snorlov]

Новая машинка побыстрее старой, вот и стартуют сервисы быстрее, а инициализация интерфейса по DHCP занимает старое время...
Я обычно тупо пишу сервис типа z, т.е. в /etc/rc.conf строчка

Код: Выделить всё

z_enable="YES"

а запускающий скрипт лежит в /usr/local/etc/rc.d/, и в нем прописываю перезапуск того чего мне надо...

[vladr]

я сделал такого-же рода скрипт не помогло ...

Попробуем поставить задержку, после "DHCP"