ipfw nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-03 8:50:01

Подскажите в чем бяда, фря 10.2, ядро собрано с ipfw

Код: Выделить всё

# Firewall      
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=500
options         IPFIREWALL_NAT
options         IPDIVERT
options         DUMMYNET      
options         LIBALIAS       
options         IPFILTER
options         IPFILTER_LOG
options         ROUTETABLES=5
Но не могу сделать нат через ipfw

Код: Выделить всё

#!/bin/sh
ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'
flushpipe='/sbin/ipfw -q pipe flush'
pipe='/sbin/ipfw -q pipe'

${flush}
${flushnat}
${flushpipe}
#local
${ipfw} add 10 allow icmp from any to any
${ipfw} add 10 allow all from any to any via lo0
${ipfw} add 10 deny all from any to 127.0.0.0/8
${ipfw} add 10 deny all from 127.0.0.0/8 to any

${ipfw} add allow all from any to me keep-state
${ipfw} add allow all from me to any keep-state
${ipfw} add allow all from 172.17.12.236/32 to me keep-state dst-port 22

${ipfw} nat 1 config if em1
${ipfw} add nat 1 ip from 172.17.12.236 to any in via em1
${ipfw} add nat 1 ip from any to any out via em1

${ipfw} add deny log logamount 50000 all from 172.17.12.236/32 to any
Может я забыл указать разрешающее правило от одного адреса к дургому? (172.20.6.1 и 172.17.12.236)?
В логи сыпятся все кроме интересующего меня адреса 172.17.12.236/32.
em1 - сетевушка которая смотрит в сеть 172.20.6.0.24
em0 - сетевушка смотрит в сеть 172.17.12.0/24
172.17.12.236 - я сам (вин7)
172.20.6.1 - случайный адрес из сети 172.20.6.0-24 (пингуется из фри 100%)
172.20.6.253 - адрес фри в сети 172.20.6.0-24
я на своей тачке (вин7) просто прописываю маршрут, route add 172.20.6.1 mask 255.255.255.255 172.20.6.253 и ожидаю пингов на 172.20.6.1, но их нет.
Где не стыковочка?
:bn:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

ipfw nat

Непрочитанное сообщение terminus » 2016-05-03 23:41:35

фря 10.2, ядро собрано с ipfw
Можно было модулями ядра нат запустить. Пересобирать ненадо было.
Зачем ipf (options IPFILTER) ?!
Зачем keep-state ?

Код: Выделить всё

#!/bin/sh
ifconfig em1 -rxcsum

ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'

${flush}
${flushnat}

#local
${ipfw} add 100 allow all from any to any via lo0
${ipfw} add 101 deny all from any to 127.0.0.0/8
${ipfw} add 102 deny all from 127.0.0.0/8 to any

${ipfw} add 200 allow ip from any to any via em0

${ipfw} nat 1 config if em1 reset same_ports deny_in
${ipfw} add 300 nat 1 ip from any to any via em1

${ipfw} add 400 deny all from any to any
просто прописываю маршрут

Код: Выделить всё

route add 172.20.6.1 mask 255.255.255.255 172.20.12.адрес_FreeBSD
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-04 4:06:43

Спасибо, что откликнулись, но не помогло, то что вы написали.

Код: Выделить всё

#!/bin/sh
ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'
flushpipe='/sbin/ipfw -q pipe flush'
pipe='/sbin/ipfw -q pipe'

${flush}
${flushnat}
${flushpipe}

#local
${ipfw} add 10 allow icmp from any to any
${ipfw} add 10 allow all from any to any via lo0
${ipfw} add 10 deny all from any to 127.0.0.0/8
${ipfw} add 10 deny all from 127.0.0.0/8 to any
                                                      
${ipfw} add 2000 check-state                          
                                                      
${ipfw} add allow all from any to me keep-state       
${ipfw} add allow all from me to any keep-state       
${ipfw} add allow all from 172.17.12.236/32 to me keep-state dst-port 22
                                                      
                                                      
${ipfw} add allow all from 172.17.12.236/32 to 172.20.6.1/32 keep-state
${ipfw} add allow ip from any to any via em0          
                                                      
${ipfw} nat 1 config if em1 reset same_ports deny_in  
${ipfw} add nat 1 ip from any to any via em1
через правило нат что-то идет. Но я не пингую 172.20.6.1, а он доступен 100%.

Код: Выделить всё

root@testtttto:/usr/home/user # ipfw show
00010      51      3060 allow icmp from any to any
00010       0         0 allow ip from any to any via lo0
00010       0         0 deny ip from any to 127.0.0.0/8
00010       0         0 deny ip from 127.0.0.0/8 to any
02000       0         0 check-state
02100     165     20168 allow ip from any to me keep-state
02200       2       160 allow ip from me to any keep-state
02300       0         0 allow ip from 172.17.12.236 to me dst-port 22 keep-state
02400       0         0 allow ip from 172.17.12.236 to 172.20.6.1 keep-state
02500    1171    110496 allow ip from any to any via em0
02600      14      2045 nat 1 ip from any to any via em1
65535 3044460 251228786 deny ip from any to any
Отправлено спустя 5 минут 58 секунд:

Код: Выделить всё

root@testtttto:/usr/home/user # ping 172.20.6.1
PING 172.20.6.1 (172.20.6.1): 56 data bytes
64 bytes from 172.20.6.1: icmp_seq=0 ttl=64 time=0.357 ms
64 bytes from 172.20.6.1: icmp_seq=1 ttl=64 time=0.174 ms
64 bytes from 172.20.6.1: icmp_seq=2 ttl=64 time=0.160 ms
пинги с FreeBSD машины
:bn:

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw nat

Непрочитанное сообщение FreeBSP » 2016-05-04 12:18:21

смотри, пакет от тебя идет на фрю, маскируется натом , уходит от имени фри.
ответ идет на имя фри, и ты пропускаешь егона 2100 правиле, , а он должен попасть в нат, демаскироваться, и дальше маршрутизироваться к тебе

нат разбей на два - in recv em1 и out xmit em1 для наглядности
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-04 12:32:42

Видимо я тупой, либо не понимаю как оно должно быть и как работает... не идут пакеты на выход, только на вход...

Код: Выделить всё

root@testtttto:/usr/home/user # cat /etc/ipfw
#!/bin/sh
ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'
flushpipe='/sbin/ipfw -q pipe flush'
pipe='/sbin/ipfw -q pipe'

${flush}
${flushnat}
${flushpipe}

#local
${ipfw} add 10 allow icmp from any to any
${ipfw} add 10 allow all from any to any via lo0
${ipfw} add 10 deny all from any to 127.0.0.0/8
${ipfw} add 10 deny all from 127.0.0.0/8 to any

${ipfw} add allow all from 172.17.12.236/32 to me keep-state dst-port 22

${ipfw} nat 1 config if em1
${ipfw} add nat 1 ip from any to any in recv em1
${ipfw} add nat 1 ip from any to any out xmit em1

${ipfw} add allow all from any to me in recv em1
${ipfw} add allow all from me to any out xmit em1

Код: Выделить всё

root@testtttto:/usr/home/user # ipfw show
00010      11       660 allow icmp from any to any
00010       0         0 allow ip from any to any via lo0
00010       0         0 deny ip from any to 127.0.0.0/8
00010       0         0 deny ip from 127.0.0.0/8 to any
02000       0         0 check-state
02100     208     31835 allow ip from 172.17.12.236 to me dst-port 22 keep-state
02200      36      3866 nat 1 ip from any to any in recv em1
02300       0         0 nat 1 ip from any to any out xmit em1
02400       0         0 allow ip from any to me in recv em1
02500       0         0 allow ip from me to any out xmit em1
65535 3055624 252347755 deny ip from any to any
он их не демаскирует или нету правила пускать пакеты от фри до адреса назначения?
:bn:

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw nat

Непрочитанное сообщение FreeBSP » 2016-05-05 14:22:08

Критиковать - значит объяснять автору, что он делает не так, как делал бы я, если бы умел

буду критиковать
трафик попадает в файер 4 раза. запрос приходит на (1)внутренний интерфейс, проходит на (2)внешний, там маскируется и уходит
ответ приходит на (3)внешний инт, демаскируется, проходит на внутренний(4)

сейчас у тебя ответ пропускается на 10 правиле - убери его
и поставь в начале четыре счетчика для вход/исход трафика на внутреннем и внешнем интерфейсах. и смотри что там и как
и почему тарфика так много заблоченного, аж 250 метров?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-06 20:25:47

давайте представим что я реально тупой (видимо так и есть), можете объяснить как именно по счетчикам туда\сюда я должен понять что куда идет и почему нат не пашет?я не прикалываюсь, я не могу понять как оно блять устроено и работает, маны не помогают!

Отправлено спустя 1 час 22 минуты 36 секунд:
Я прочитал еще раз статью на сайте лисяры про Детальный NAT. первый пример - мой пример!
em0 - local net
em1 - inet net
Из одной сети пускаю людей в сеть номер 2, все до безобразия просто! (по мануалу)

Код: Выделить всё

#!/bin/sh
ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'
flushpipe='/sbin/ipfw -q pipe flush'
pipe='/sbin/ipfw -q pipe'

$flush
$flushnat
$flushpipe

#local
$ipfw add 10 allow all from any to any via lo0
$ipfw add 10 deny all from any to 127.0.0.0/8
$ipfw add 10 deny all from 127.0.0.0/8 to any

$ipfw add allow all from any to any in recv em0
$ipfw add allow all from any to any out xmit em0

$ipfw nat 1 config log if em1 reset same_ports
$ipfw add 1000 nat 1 ip from any to any in recv em1
$ipfw add 1001 nat 1 ip from any to any out xmit em1

Код: Выделить всё

root@testtttto:/usr/home/user # ipfw show
00010    0      0 allow ip from any to any via lo0
00010    0      0 deny ip from any to 127.0.0.0/8
00010    0      0 deny ip from 127.0.0.0/8 to any
00110 1407 114672 allow ip from any to any in recv em0
00210   47   7144 allow ip from any to any out xmit em0
01000   86   8973 nat 1 ip from any to any in recv em1
01001    0      0 nat 1 ip from any to any out xmit em1
65535    0      0 deny ip from any to any

Код: Выделить всё

root@testtttto:/usr/home/user # ipfw nat 1 show
nat 1: icmp=0, udp=10, tcp=0, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=10
Я не "вкуриваю" что за бяда... Может проблема уже не в BSD, а где-то на машине Win? Может быть надо не просто маршрут прописать?
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-12 5:08:43

Никто,никак,нет? Помогите пожалуйста, ребята :)
:bn:

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

ipfw nat

Непрочитанное сообщение snorlov » 2016-05-12 10:10:56

Файер это очень серьезная вещь, поэтому я обычно не даю советы по его конфигурированию и разбору почему не работает. Но вам дам некоторый общий совет, в /etc есть файлик rc.firewall, это по существу правила по умолчанию для некоторых стандартных ситуаций, возьмите ту, которая называется OPEN и разберитесь в ней, помните, что в зависимости от disable_one_pass, пакет подходящий под правило либо возвращается в файер и анализируется дальше, либо выпускается/дропается файером...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw nat

Непрочитанное сообщение FreeBSP » 2016-05-12 11:27:58

в файере есть необходимое для работы, но счетчики странные, такое ощущение что с фри не уходят запросы

на винде

Код: Выделить всё

ipconfig /all 
route print
на фре

Код: Выделить всё

ifconfig
netstat -rn
cat /etc/rc.conf
sysctl -a | grep one_pass
sysctl net.inet.ip.forwarding
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-12 15:30:37

Код: Выделить всё

C:\Users\adm>ipconfig /all

Настройка протокола IP для Windows
   Имя компьютера  . . . . . . . . . : adm
   Основной DNS-суффикс  . . . . . . : int*
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : int*
Адаптер PPP TI:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : TI
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.3(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети 2:
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Intel(R) 82579V Gigabit Network Connection
   Физический адрес. . . . . . . . . : 38-60-77-2A-10-C1
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 172.17.12.236(Основной)
   Маска подсети . . . . . . . . . . : 255.255.252.0
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.254(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 172.17.12.1
   DNS-серверы. . . . . . . . . . . : 172.17.12.10
   NetBios через TCP/IP. . . . . . . . : Включен

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0      172.17.12.1    172.17.12.236   4491
          0.0.0.0          0.0.0.0         On-link       192.168.0.3     11
         10.0.0.0        255.0.0.0    172.17.12.116    172.17.12.236   4236
         10.0.0.0    255.255.255.0    172.17.12.116    172.17.12.236   4236
     10.19.207.66  255.255.255.255    172.17.13.200    172.17.12.236   4236
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      172.17.12.0    255.255.252.0         On-link     172.17.12.236   4491
      172.17.12.4  255.255.255.255         On-link     172.17.12.236   4236
    172.17.12.236  255.255.255.255         On-link     172.17.12.236   4491
    172.17.15.255  255.255.255.255         On-link     172.17.12.236   4491
     172.25.253.0    255.255.255.0    172.17.12.114    172.17.12.236   4236
   172.25.253.110  255.255.255.255    172.17.12.114    172.17.12.236   4236
      192.168.0.0    255.255.255.0         On-link     172.17.12.236   4491
      192.168.0.3  255.255.255.255         On-link       192.168.0.3    266
    192.168.0.254  255.255.255.255         On-link     172.17.12.236   4491
    192.168.0.255  255.255.255.255         On-link     172.17.12.236   4491
      192.168.1.0    255.255.255.0         On-link     172.17.12.236   4491
    192.168.1.254  255.255.255.255         On-link     172.17.12.236   4491
    192.168.1.255  255.255.255.255         On-link     172.17.12.236   4491
    192.168.137.0    255.255.255.0         On-link     192.168.137.1   4501
    192.168.137.1  255.255.255.255         On-link     192.168.137.1   4501
  192.168.137.255  255.255.255.255         On-link     192.168.137.1   4501
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.137.1   4502
        224.0.0.0        240.0.0.0         On-link     172.17.12.236   4492
        224.0.0.0        240.0.0.0         On-link       192.168.0.3     11
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.137.1   4501
  255.255.255.255  255.255.255.255         On-link     172.17.12.236   4491
  255.255.255.255  255.255.255.255         On-link       192.168.0.3    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
         10.0.0.0    255.255.255.0    172.17.12.116       1
     172.25.253.0    255.255.255.0    172.17.12.114       1
     10.19.207.66  255.255.255.255    172.17.13.200       1
     10.5.244.101        255.0.0.0    172.17.12.116       1
   172.25.253.110  255.255.255.255    172.17.12.114       1
          0.0.0.0          0.0.0.0      172.17.12.1  По умолчанию
FREEBSD

Код: Выделить всё

root@testtttto:/usr/home/user # ifconfig 
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:5c:61:4c
        inet 172.17.15.245 netmask 0xfffffc00 broadcast 172.17.15.255 
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=98<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:5c:61:56
        inet 172.20.6.253 netmask 0xffffff00 broadcast 172.20.6.255 
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128 
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
        inet 127.0.0.1 netmask 0xff000000 
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Код: Выделить всё

root@testtttto:/usr/home/user # netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags      Netif Expire
default            172.17.12.4        UGS         em0
127.0.0.1          link#3             UH          lo0
172.17.12.0/22     link#1             U           em0
172.17.15.245      link#1             UHS         lo0
172.20.6.0/24      link#2             U           em1
172.20.6.253       link#2             UHS         lo0
Internet6:
Destination                       Gateway                       Flags      Netif Expire
::/96                             ::1                           UGRS        lo0
::1                               link#3                        UH          lo0
::ffff:0.0.0.0/96                 ::1                           UGRS        lo0
fe80::/10                         ::1                           UGRS        lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01::%lo0/32                     ::1                           U           lo0
ff02::/16                         ::1                           UGRS        lo0
ff02::%lo0/32                     ::1                           U           lo0

Код: Выделить всё

root@testtttto:/usr/home/user # cat /etc/rc.conf
hostname="testtttto"
sshd_enable="YES"
dumpdev="AUTO"
ifconfig_em0="inet 172.17.15.245 netmask 255.255.252.0"
ifconfig_em1="inet 172.20.6.253 netmask 255.255.255.0"
defaultrouter="172.17.12.4" #чтобы был инет на машине
gateway_enable=«YES» 
#firewall
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/ipfw"
firewall_type="SERVER"
firewall_nat_interface="em1"
firewall_logging="YES"

Код: Выделить всё

root@testtttto:/usr/home/user # sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 1

Код: Выделить всё

root@testtttto:/usr/home/user # sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 0
:bn:

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw nat

Непрочитанное сообщение FreeBSP » 2016-05-12 19:28:57

в gateway_enable=«YES» - не те ковычки, а sysctl net.inet.ip.forwarding должно быть единицей. оно взаимосвязано.
из-за этого фря не маршрутизирует пакеты между интерфейсами

далее, на винде у тебя дефолтроутер 172.17.12.1 и нет маршрута к 172.20.6.1. именно к 172.17.12.1 уходит твой пинг.
k0ma писал(а): я на своей тачке (вин7) просто прописываю маршрут, route add 172.20.6.1 mask 255.255.255.255 172.20.6.253 и ожидаю пингов на 172.20.6.1, но их нет.
маршрут надо писать через видимый тебе адрес фри, а не через тот дальний за третьим поворотом налево

почини это, потом будем думать дальше
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-12 20:15:47

Спасибо огромное! "ОНО ЖИВОЕ!" :)
все дело было в gateway_enable=«YES». net.inet.ip.forwarding установился в 1 после поправки параметра в /etc/rc.conf
:bn:

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

ipfw nat

Непрочитанное сообщение FreeBSP » 2016-05-13 10:14:01

маршрута у тебя тоже не было, или прописан неправильно был, судя по тем логам что ты дал
k0ma писал(а): все дело было в gateway_enable=«YES». net.inet.ip.forwarding установился в 1 после поправки параметра в /etc/rc.conf
:good:
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-05-13 10:29:10

маршрут был, просто без ключа -p добавлял его, и в логах да, его не добавил и выложил без него, хотя в голове то знал что маршрут нужен и будет.
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-05 14:21:31

День добрый.
Возникла новая проблема - не получается через nat пустить более 1го vpn подключения.
Пример:

Код: Выделить всё

#nat
$ipfw nat 1 config log if em0 reset same_ports
$ipfw add 1000 nat 1 ip from any to any in recv em0
$ipfw add 1001 nat 1 ip from any to any out xmit em0
$ipfw add allow all from any to any via em0
em0 - интерфейс который смотрит в локальную сеть, где есть vpn сервер с mpd5, первый человек постучавшийся на адрес vpn сервера (через нат описаный выше) забирает свой туннель, а все кто пришел уже после него не могут подключить vpn с ошибкой номер 619.
То есть порт по которому подключается vpn соединение (1723) занят за первым обратившимся. Как быть?
Подскажите как такое может быть? Ведь пинги я могу спокойно пускать через нат с более чем одного адреса и всем ответит одна машинка с vpn сервером, но подключить vpn канал не могу... о_О

Отправлено спустя 1 час 19 минут 5 секунд:
Помимо ipfw nat пробовал то же самое через ipnat
cat /etc/ipnat.rules

Код: Выделить всё

map em0 from any to 172.17.12.17/32 -> 172.17.15.252/32 proxy port pptp pptp/tcp
map em0 from any to 172.17.12.0/22 -> 172.17.15.252/32
em0 - интерфейс, который смотрит в сеть 172.17.12.0/22. 172.17.15.252/32 - адрес на интерфейсе em0, который смотрит в сеть 172.17.12.0/22
ну и эффект тот же - "кто первый того и тапки".

Отправлено спустя 27 минут 49 секунд:
я тут нашел man ipnat.conf
и там интересная запись

Код: Выделить всё

 Experimental - rough support for the protocol at best, may or  may  not
              work  as testing has been at best sporadic, possible large scale
              changes to the code in order to properly support the protocol.
              ....
               PPTP - Experimental
, то есть она может работать после внушительного "напильника" или может не работать совсем? Либо там написано про поддержку в ядре?
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-06 4:04:06

Никто,никак,никогда? Серьезно?
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-06 14:54:59

Короче поковыряли и поняли что mpd5,vpn сервер, на который я Начу абонентов, принимает мой севрер за один адрес, ну это и понятно и не дает подключиться нескольким абонентам с одного адреса.
В общем проблема в том, как сделать так что бы mpd было пофигу сколько народу цепляется к нему с одного реального адреса, есть варианты?
:bn:

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

ipfw nat

Непрочитанное сообщение snorlov » 2016-06-06 15:33:36

А зачем вы его запихнули внутрь сети а не поставили на роутере... В чем смысл...

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-06 16:05:31

так сложилось исторически,сие исправить не в моих силах, надо делать как есть. Надо с одного адреса подключать несколько vpn.
:bn:

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

ipfw nat

Непрочитанное сообщение snorlov » 2016-06-06 17:58:52

k0ma писал(а):так сложилось исторически,сие исправить не в моих силах, надо делать как есть. Надо с одного адреса подключать несколько vpn.
Вы сами обрисовали проблему и из-за чего она возникла, наверное надо прокидывать пакеты для mpd без замены адреса, т.е. натить их не надо, причем не вовнутрь и не наружу, надо тупо их прокидывать и вовнутрь и изнутри...

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-06 19:11:47

с помощью какого ПО?
:bn:

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

ipfw nat

Непрочитанное сообщение snorlov » 2016-06-06 22:53:16

k0ma писал(а):с помощью какого ПО?
ipfw

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

ipfw nat

Непрочитанное сообщение k0ma » 2016-06-07 4:19:17

rdr или что? пожалуйста поконкретнее :)
:bn: