IPFW для NAT

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
PREDO
рядовой
Сообщения: 29
Зарегистрирован: 2009-06-22 16:16:52
Контактная информация:

IPFW для NAT

Непрочитанное сообщение PREDO » 2009-12-06 3:55:23

извините за ..... вопрос!!! Перебирая все инструкции и настройки, - всеже NAT не желает раздавать интернет в локальную сеть!!!
Вот пример моего простейшего набора правил (лишь бы NAT заработал)......!!!
что в нем не так (хотя я много всяких вариантов перепробовал)
#!/bin/sh
# rl0 - внутреняя локальная сеть (192.168.0.0/24)
# tun0 - pppoe (ADSL динамический поднятый на интерфейсе rl1)
ipfw -f flush
ipfw add allow ip from any to any via lo0
ipfw add allow ip from any to any via rl0
ipfw add divert natd ip from 192.168.0.0/24 to any out via tun0
ipfw add divert natd ip from any to me in via tun0
ipfw add 50000 deny all from any to any
Инет в локалке не появляется - !!!! впечатление что запросы уходят, а ответов нет!!!!!
НО если прописать такое правило:
#!/bin/sh
# rl0 - внутреняя локальная сеть (192.168.0.0/24)
# tun0 - pppoe (ADSL динамический поднятый на интерфейсе rl1)
ipfw -f flush
ipfw add allow all from any to any
- ТО ВСЁ РАБОТАЕТ!!!

ТАК КАК ЖЕ ПРАВИЛЬНО ПРОПИСАТЬ NAT в IPFW - подкиньте самый простой (до смеха) пример для динамического ADSL!!! ПОЖАЛУЙСТА!!

Да вот конфиги компиляциии ядра:
#options TCP_DROP_SYNFIN
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options IPFIREWALL_NAT
options LIBALIAS
Вот отрывки rc.conf:
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.0.0"
ifconfig_rl1="inet 192.168.1.1 netmask 255.255.255.0"
hostname="localhost"
#
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="INET"
ppp_program="/usr/sbin/ppp -unit0"
#
gateway_enable="YES"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-s -u -dynamic"
#natd_flags="-f /etc/natd.conf" #(тут ничо нет!)
#
firewall_enable="YES"
firewall_script="/etc/syti"
firewall_quiet="YES"
Демон natd в процессах болтается!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
GRooVE
ст. сержант
Сообщения: 309
Зарегистрирован: 2009-01-04 10:33:43
Откуда: Odessa, UA
Контактная информация:

Re: IPFW для NAT

Непрочитанное сообщение GRooVE » 2009-12-06 10:43:34

Код: Выделить всё

ipfw add allow ip from any to any via rl0
этим правилом вы разрешаете траффик на rl0, и, естественно, дальше пакет по правилам не идет
а вам нужно заворачивать его в natd на входе rl0 и tun0, а пропускать только на выходе
и вообще совет: пока еще не все настроили - переходите на ipfw_nat, если ядром поддерживается
natd стар как мир

PREDO
рядовой
Сообщения: 29
Зарегистрирован: 2009-06-22 16:16:52
Контактная информация:

Re: IPFW для NAT

Непрочитанное сообщение PREDO » 2009-12-06 18:19:43

Во я .........!!!! Большое Спасибо GRooVE за прозрение -> будем шаманить далее!!!!!
GRooVE писал(а):

Код: Выделить всё

 пока еще не все настроили - переходите на ipfw_nat, если ядром поддерживается
natd стар как мир[/quote]
Как понимаю Вы это имеете ввиду http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/ - тоже будем побывать!!! еще б ман на тему как связать ipfw_nat с squid и к нему приклеить проверку трафика на вирусы (проходящего через шлюз[size=85] (на котором всё это шаманится)[/size] к виндовой локальной сети - основой идей легла статья http://www.lissyara.su/articles/freebsd/programms/havp+squid+clamav/ )!!!


Да и -> Всем Большое спасибо!!!

RAGNAR
ст. прапорщик
Сообщения: 530
Зарегистрирован: 2009-07-10 22:12:06
Откуда: Ржев
Контактная информация:

Re: IPFW для NAT

Непрочитанное сообщение RAGNAR » 2009-12-07 3:01:15

Вопрос не по теме но всеже...
Есть какая небудь разница в произвоительности между ipnat и ipfw_nat. Поведуйте плюсы и минусы ..
... Да освятится имя твое и pасшиpение твое, Господи...

gudvinx
проходил мимо

Re: IPFW для NAT

Непрочитанное сообщение gudvinx » 2010-03-14 15:26:09

GRooVE писал(а):

Код: Выделить всё

ipfw add allow ip from any to any via rl0
этим правилом вы разрешаете траффик на rl0, и, естественно, дальше пакет по правилам не идет
а вам нужно заворачивать его в natd на входе rl0 и tun0, а пропускать только на выходе
и вообще совет: пока еще не все настроили - переходите на ipfw_nat, если ядром поддерживается
natd стар как мир
Как понимаю это тоже не правильно???? так ка непашет!!!
ipfw -f flush
ipfw add allow ip from any to any via lo0
ipfw add divert natd ip from 192.168.0.2 to any out via tun0
ipfw add divert natd ip from any to me in via tun0
ipfw add allow ip from any to any via rl0
ipfw add 50000 deny all from any to any


ЛЮДИ!!! кто нито так любезны укажите конкретный правильный пример!!!


PREDO
рядовой
Сообщения: 29
Зарегистрирован: 2009-06-22 16:16:52
Контактная информация:

Re: IPFW для NAT

Непрочитанное сообщение PREDO » 2010-03-14 17:11:26

Ничарта там не понялс!!!!
ведь если вписать таки:
ipfw -f flush
ipfw add allow ip from any to any via lo0
ipfw add divert natd ip from 192.168.0.2 to any out via tun0
ipfw add divert natd ip from any to me in via tun0
ipfw add allow ip from any to any via rl0
ipfw add allow all from any to any
То работает !!! - и думаю здесь не причом поднятие интерфейса tun0 при загрузке ПК !!
:st: :st: :st: :st: :st: :st: :st:
Понимаю что наверно устарел NATD и тут советуют ipfw_nat - прост у мя сервак BF2 крутится уже на настроенной оси - ток кто-то походу лазить пытается - т.к. IPFW путью не налажен!!!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: IPFW для NAT

Непрочитанное сообщение hizel » 2010-03-14 17:55:00

почитайте и подумайте о том как работают divert сокеты
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.