Проблема с настройкой маршрутизации
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- slb51
- мл. сержант
- Сообщения: 126
- Зарегистрирован: 2009-10-27 12:04:47
- Откуда: Нижний Новгород
Проблема с настройкой маршрутизации
FreeBSD 8.2. Две сетевухи. IPFW. Из локалки пингуются как внутренний, так и внешний IP, но не пингуются IP в инете, в том числе и IP шлюза провайдера. С самого сервера пингуется всё. Уже запарился. Подскажите кто-нибудь направление раскопок.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Проблема с настройкой маршрутизации
Поднять нат...slb51 писал(а):FreeBSD 8.2. Две сетевухи. IPFW. Из локалки пингуются как внутренний, так и внешний IP, но не пингуются IP в инете, в том числе и IP шлюза провайдера. С самого сервера пингуется всё. Уже запарился. Подскажите кто-нибудь направление раскопок.
- slb51
- мл. сержант
- Сообщения: 126
- Зарегистрирован: 2009-10-27 12:04:47
- Откуда: Нижний Новгород
Re: Проблема с настройкой маршрутизации
Не понял ... Я считаю, что нат у меня поднят. Если это не так, куда глянуть?
Код: Выделить всё
natd_enable="YES"
natd_interface="bge0"
natd_flags="-m -u -f /usr/local/etc/natd.conf"
-
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Re: Проблема с настройкой маршрутизации
Код: Выделить всё
ipfw show
- slb51
- мл. сержант
- Сообщения: 126
- Зарегистрирован: 2009-10-27 12:04:47
- Откуда: Нижний Новгород
Re: Проблема с настройкой маршрутизации
Код: Выделить всё
/root/#ipfw show
00100 0 0 check-state
00200 0 0 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 172.16.0.0/12 in via bge0
00600 0 0 deny ip from any to 192.168.0.0/16 in via bge0
00700 0 0 deny ip from any to 0.0.0.0/8 in via bge0
00800 0 0 deny ip from any to 169.254.0.0/16 in via bge0
00900 205 55166 deny ip from any to 240.0.0.0/4 in via bge0
01000 0 0 deny icmp from any to any frag
01100 0 0 deny log logamount 100 icmp from any to 255.255.255.255 in via bge0
01200 0 0 deny log logamount 100 icmp from any to 255.255.255.255 out via bge0
01300 3899 468646 allow ip from 10.10.10.0/24 to 10.10.10.0/24
01400 156 10220 allow udp from 10.10.10.0/24 to 88.88.88.254,10.10.10.199,10.10.30.93,10.10.30.94,10.11.30.199 dst-port 53
01500 0 0 allow udp from 88.88.88.254,10.10.10.199,10.10.30.93,10.10.30.94,10.11.30.199 53 to 10.10.10.0/24
01600 0 0 deny ip from table(4) to table(15)
01700 264 30160 allow ip from table(1) to any
01800 0 0 allow ip from table(2) to table(11)
01900 0 0 allow ip from table(3) to table(14)
02000 0 0 allow ip from 10.10.10.0/24 to table(13)
02100 0 0 allow ip from 10.10.10.0/24 to 10.11.30.191
02200 0 0 allow ip from 10.11.30.191 to 10.10.10.0/24
02300 0 0 allow ip from 10.10.10.203 to 195.98.37.81
02400 0 0 allow ip from 195.98.37.81 to 10.10.10.203
02500 522 180903 divert 8668 ip from 10.10.10.0/24 to any out via bge0
02600 529 181419 allow ip from 88.88.88.77 to any out via bge0
02700 1934 611180 divert 8668 ip from any to 88.88.88.77 in via bge0
02800 427 472266 allow ip from any to 10.10.10.0/24 in via bge0
02900 0 0 allow ip from any to any dst-port 3389
03000 0 0 allow ip from any to any dst-port 8080
03100 219 15092 allow ip from any to any dst-port 80
03200 0 0 allow ip from any to any dst-port 1352
03300 0 0 deny ip from 172.16.0.0/12 to any out via bge0
03400 0 0 deny ip from 192.168.0.0/16 to any out via bge0
03500 0 0 deny ip from 0.0.0.0/8 to any out via bge0
03600 0 0 deny ip from 169.254.0.0/16 to any out via bge0
03700 0 0 deny ip from 224.0.0.0/4 to any out via bge0
03800 0 0 deny ip from 240.0.0.0/4 to any out via bge0
03900 0 0 allow tcp from any to any dst-port 20,21,22,25,110,80
04000 282 374578 allow tcp from any 20,21,22,25,110,80 to any
04100 297 165455 allow tcp from any to any dst-port 119,5190,443,3128
04200 139 97384 allow tcp from any 119,5190,443,3128 to any
04300 0 0 allow udp from any to any dst-port 123
04400 0 0 allow udp from any 123 to any
04500 0 0 allow tcp from any to 88.88.88.77 in via bge0 established
04600 8 388 deny tcp from any to 88.88.88.77 in via bge0 setup
04700 0 0 allow tcp from any to 88.88.88.77 in via bge0
04800 0 0 allow udp from any 53 to any
04900 10 540 allow udp from any to any dst-port 53
05000 9 636 allow icmp from any to any
05100 1815 200596 deny log logamount 100 ip from any to any
65535 0 0 deny ip from any to any
-
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Re: Проблема с настройкой маршрутизации
ip в правилах - это tcp+udp.
icmp в нат не попадает.
Это если про пинги вопрос, веб же на клиентах работает?
icmp в нат не попадает.
Это если про пинги вопрос, веб же на клиентах работает?
- slb51
- мл. сержант
- Сообщения: 126
- Зарегистрирован: 2009-10-27 12:04:47
- Откуда: Нижний Новгород
Re: Проблема с настройкой маршрутизации
Не знаю, что сделал. Пробовал, пробовал, то так, то этак. В итоге и сам не уловил момент, когда пошли и пинги и подключения в браузере (а не было и их тоже).
Но это был вопрос, возникший по ходу решения основной задачи. Надо-то было, чтобы при наборе в браузере адреса "http://88.88.88.77/CM/edmportal.nsf/Start?Readform" запускался Web-интерфейс программы "Company Media" на Lotus Domino сервере.
В локальной сети "http://10.10.10.195/CM/edmportal.nsf/Start?Readform" работает, а из инета нужен проброс портов. Вот это и не получается. ipfw show я уже предъявлял, вот ещё natd.conf и rc.conf.
Но это был вопрос, возникший по ходу решения основной задачи. Надо-то было, чтобы при наборе в браузере адреса "http://88.88.88.77/CM/edmportal.nsf/Start?Readform" запускался Web-интерфейс программы "Company Media" на Lotus Domino сервере.
В локальной сети "http://10.10.10.195/CM/edmportal.nsf/Start?Readform" работает, а из инета нужен проброс портов. Вот это и не получается. ipfw show я уже предъявлял, вот ещё natd.conf и rc.conf.
Код: Выделить всё
/root/#less /usr/local/etc/natd.conf
log no
deny_incoming no
same_ports yes
use_sockets yes
unregistered_only yes
redirect_port tcp 10.10.10.100:3389 3389
redirect_port tcp 10.10.10.195:8080 8080
redirect_port tcp 10.10.10.195:80 80
redirect_port tcp 10.10.10.195:1352 1352
Код: Выделить всё
defaultrouter="88.88.88.73"
gateway_enable="YES"
hostname="SRV-FW01.domain.ru"
ifconfig_bge0="inet 88.88.88.77 netmask 255.255.255.248"
ifconfig_bge1="inet 10.10.10.205 netmask 255.255.255.0"
firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.rules"
firewall_logging="YES"
natd_enable="YES"
natd_interface="bge0"
natd_flags="-m -u -f /usr/local/etc/natd.conf"
named_enable="YES"
named_chrootdir=""
named_chroot_autoupdate="NO"
syslogd_flags="-l /etc/namedb/dev/log"