Загрузка ipfw модулем "на ходу"

[densan]

Здравствуйте.
Есть в удаленной сети server1, которому на время нужно дать нат, т.к. через существующий прокси не могу обновить dell idrac6.
В данной сети есть server2

Код: Выделить всё

uname -a
FreeBSD server2 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Sat Apr 23 09:08:23 MSD 2011     root@free1.domain.local:/usr/obj/usr/src/sys/GENERIC  i386
 ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:1c:c0:e1:a3:53
        inet 172.22.36.98 netmask 0xffffff80 broadcast 172.22.36.127
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>

у которого есть нат, но на данном сервере есть некоторые критичные приложения. И если ipfw перекроет всем трафик - будут проблемы.
Хочу на время на server2 запустить модулем ipfw и через него выпустить server1 наружу.
Всегда настраивал ipfw пересборкой ядра с консоли сервера, когда на шлюзе имелось как минимум 2 сетевые карты: локал и интернет.
Подскажите какие нюансы при загрузке ipfw модулем?
Как настроить ipfw на работы с 1 сетевой картой?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FreeBSP]

нюанс - он загрузится с правилом deny all
так что
kldload ipfw && ipfw -q add 1 allow ip from any to any
или что то подобное
после - kldload ipfew_nat

[MASiK]

в /boot/loader.conf кинь

Код: Выделить всё

ipfw_load="YES"
ipfw_nat_load="YES"
net.inet.ip.fw.default_to_accept="1"
alias_ftp_load="YES"
dummynet_load="YES"
ipdivert_load="YES"

Будет дефолт правило accept и все для ната

P.S. Дефолт то Ацепт будет только после ребута, а так он дефолт то дени как только сделаешь kldload ipfw тебя выинет нафиг если ребут невозможет тогда

Код: Выделить всё

kldload ipfw && ipfw add allow ip from any to any &

Обязательно & в конце, а то кинет и не отработает Аллов ени то ени

[densan]

Здравствуйте.
Пробую осуществить нужную мне задачу в "тестовых" условиях.
Имею сервер у которого есть выход в интернет.

Код: Выделить всё

 uname -av
FreeBSD server1.domain.local 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Sat Apr 23 09:08:23 MSD 2011     root@ server1.domain.local:/usr/obj/usr/src/sys/GENERIC  i386

ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:1c:c0:e1:a3:53
        inet 172.22.36.98 netmask 0xffffff80 broadcast 172.22.36.127
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536

kldstat
Id Refs Address    Size     Name
 1   16 0xc0400000 bd97b4   kernel
 2    1 0xc0fda000 16d90    geom_mirror.ko
 3    1 0xc87ee000 1e000    smbfs.ko
 4    2 0xc880c000 4000     libiconv.ko
 5    2 0xc883f000 3000     libmchain.ko
 7    1 0xc887f000 11000    ipfw.ko
 8    1 0xc87dd000 d000     libalias.ko

на нем подгрузил модулем ipfw с следующими правилами и таблицами:

Код: Выделить всё

ipfw list
00050 nat 1 ip from table(0) to any via re0
00100 allow ip from any to any
65535 deny ip from any to any
ipfw nat 1 show config
ipfw nat 1 config if re0 log deny_in same_ports reset
ipfw table 0 list
172.22.36.25/32 0

На компьютере 172.22.36.25 указал шлюзом 172.22.36.98 (сервер 1) пинги не проходят.

Код: Выделить всё

ipfw show
00050    671     64173 nat 1 ip from table(0) to any via re0
00100 104178 114889422 allow ip from any to any
65535      1       108 deny ip from any to any

При пинге с компьютера 172.22.36.25 внешних узлов число пакетов попавших в нат (00050 правило) увеличивается.
Как можно "отдебажить" наботу нат'а?

[densan]

для упрощения схемы избавился от таблицы - ситуация не изменилась

Код: Выделить всё

ipfw show
00080     16       930 nat 1 ip from 172.22.36.25 to any via re0
00100 130138 144568488 allow ip from any to any
65535      1       108 deny ip from any to any

[hizel]

подумайте о том факте, что трафик ходит в обе стороны: не только туда, но и обратно. ipfw ничего не делает за администратора