Код: Выделить всё
http_port 127.0.0.1:3128Код: Выделить всё
ext_if="rl0"
int_if="re0"
trusted_lan="192.168.1.0/24"
ts=192.168.1.2 ###комп на котором тесты провожу
set skip on lo0 ## полностью пропускаем проверку на петле
rdr on $int_if proto tcp from $trusted_lan to any port www -> 127.0.0.1 port 3128
nat on $ext_if from $int_if:network to any -> ($ext_if)
block all ## запрет всего по-умолчанию
pass on $int_if #на внутреннем всё можно
pass in on $int_if proto tcp from $ts to 127.0.0.1 port 3128
pass out log on $ext_if #включим логирование и разрешим весь исходящий
pass in on $ext_if proto tcp from any to $ext_if port { 27, 25, 80, 3389, 21, 20 }
Код: Выделить всё
all tcp 127.0.0.1:3128 <- 212.0.75.130:80 <- 192.168.1.2:3518 CLOSED:SYN_SENTэту книгу я читал именно по ней пытался настроить НАТ, но вы мне предложили ввести фильтры в конфиг, по мимо НАТ-правила с разрешающим праилом, что существенно не поменяло и врядли бы поменяло ситуацию. в голове вся схема прокручивается, но не хватает мозгов проверить работоспособность того или иного компонента схемы вот поэтому и обратился на форум, чтоб свежим и грамотным взглядом посмотрели на мою ситуацию...FessAectan писал(а):Брррр... задолбало что то выкать... чувак ну что может быть проще, ты натишь все подряд(при проверке), то есть чтобы проверить роьит ли он достаточно пингануть с клиента какой нить адресок в глобале. ping http://www.ru к примеру
з.ы.
результаты команд которые ты выложил не свидетельствуют о правильной работе NAT.Перечитай топ я уже говорил как проверить ходят пакеты через нат или нет
з.з.ы.
перед тем как настраивать что то новое для себя ИМХО необходимо хорошенько подготовится теоретически, а то у тебя не натройка NAT c помощью PF а гадание на кофейной гуще. Ну нельзя же так.
На урл http://house.hcn-strela.ru/BSDCert/BSDA ... irewall-pf
Код: Выделить всё
ext_if="rl0"
int_if="re0"
trusted_lan="192.168.1.0/24"
ts=192.168.1.2 ###комп на котором тесты провожу
set skip on lo0 ## полностью пропускаем проверку на петле
rdr on $int_if proto tcp from $trusted_lan to any port www -> 127.0.0.1 port 3128
nat on $ext_if from $int_if:network to any -> ($ext_if)
block all ## запрет всего по-умолчанию
pass on $int_if #на внутреннем всё можно
[b]pass in on $int_if proto tcp from $ts to 127.0.0.1 port 3128[/b] #это лишнее, предыдущей строкой мы уже разрешили и in и out
pass out log on $ext_if #включим логирование и разрешим весь исходящий
pass in on $ext_if proto tcp from any to $ext_if port { 27, 25, 80, 3389, 21, 20 }Код: Выделить всё
%ping google.ru
PING google.ru (216.239.59.104): 56 data bytes
64 bytes from 216.239.59.104: icmp_seq=0 ttl=51 time=153.495 ms
64 bytes from 216.239.59.104: icmp_seq=1 ttl=51 time=132.690 ms
64 bytes from 216.239.59.104: icmp_seq=2 ttl=51 time=127.666 ms
64 bytes from 216.239.59.104: icmp_seq=3 ttl=51 time=133.277 ms
64 bytes from 216.239.59.104: icmp_seq=4 ttl=51 time=152.317 ms
^C
--- google.ru ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 127.666/139.889/153.495/10.812 ms
не однократно писал что при пинге с машины определяется IP сервера, но пакеты не проходятC:\>ping ya.ru
Обмен пакетами с ya.ru [77.88.21.8] по 32 байт:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 77.88.21.8:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),
ты писал об этом до того как я посоветовал тебе конфиг... хм... Глупо конечно, но ipconfig /all с клиента дай, или ifconfig -aя уже писал об этом выше
FessAectan писал(а):ты писал об этом до того как я посоветовал тебе конфиг... хм... Глупо конечно, но ipconfig /all с клиента дай, или ifconfig -aя уже писал об этом выше
Код: Выделить всё
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : ts
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
local - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA Rhine III Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-40-F4-84-E5-25
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1
Код: Выделить всё
defaultrouter="10.100.10.161"
hostname="myhost.provader.ru"
ifconfig_re0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.100.10.162 netmask 255.255.255.252"
##########################################################
################
sshd_enable="YES"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
scrnmap="koi8-r2cp866"
keyrate="normal"
keymap="ru.koi8-r"
##
firewall_enable="YES"
firewall_type="open"
#firewall_script="/etc/myfw.fw"
#firewall_loging="YES"
####
proftpd_enable="YES"
webmin_enable="YES"
###############
smbd_enable="YES"
nmbd_enable="YES"
###PF##
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
pflog_program="/sbin/pflogd"
pflog_flags=""
pfsync_enable="NO"
pfsync_syncdev=""
pfsync_ifconfig=""
##
gateway_enable="YES"
############################
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
###########################
named_enable="YES"
rinetd_enable="YES"
mysql_enable="YES"
apache22_enable="YES"
squid_enable="YES"Код: Выделить всё
rdr on $int_if proto tcp from $trusted_lan to any port www -> 192.168.1.1 port 8080Код: Выделить всё
pfctl -vsn
nat on rl0 inet from 192.168.1.0/24 to any -> (rl0) round-robin
[ Evaluations: 720 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 495 ]
rdr on re0 inet proto tcp from 192.168.1.0/24 to any port = http -> 192.168.1.1 port 8080
[ Evaluations: 1018 Packets: 1167 Bytes: 340204 States: 2 ]
[ Inserted: uid 0 pid 495 ]
ну теперь только в понедельник разбираться дальше... я домойУлыбнуло, а правила фильтации в конфиге PF по вашему что??? Вобщем, извиняюсь но учите мат часть
- мне стало стыдно за себя. В общем со светлой головой надо браться за все дела. Сейчас попробую всё прокрутить в голове еще раз, воспользуюсь всеми вашими дельными советами и посмотрю что где и как протекает... Просто меня напрягло то что на первом серваке с таким же фаерволом всё прекрасно работает, и еще интересно как именно помогает SQUID_PF "Enable transparent proxying with PF", и как проверить что сквид на данный момент работает с этой опцией...Проще чем вы думаетеи как проверить что сквид на данный момент работает с этой опцией...
Покажите squid -v или
Код: Выделить всё
#cd /usr/ports/squid
...или
#cd /usr/ports/squid30 (смотря от какая версия)
#make showconfig
Код: Выделить всё
#pfctl -vsn
nat on rl0 inet from 192.168.1.0/24 to any -> (rl0) round-robin
[ Evaluations: 154 Packets: 747 Bytes: 241401 States: 50 ]
[ Inserted: uid 0 pid 1452 ]