ipfw2 + pfnat
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
ipfw2 + pfnat
Хочу для NAT использовать pfnat а для фильтрации ipfw2.
почему ipfw2 -- биллинг работает с ipfw2 и переписывать кучу скриптов не в кайф
Вопрос такой - в какой последовательности обрабатываются данные в системе FreeBSD6.2R при включенном pfnat и ipfw2 ?
почему ipfw2 -- биллинг работает с ipfw2 и переписывать кучу скриптов не в кайф
Вопрос такой - в какой последовательности обрабатываются данные в системе FreeBSD6.2R при включенном pfnat и ipfw2 ?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
а причем тут nat к правилам фаера
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
ну как причём. есть NAT и есть фаер.
сначала фаер должен отфильтровать трафик а потом запустить аго в NAT
так вот вопрос -- ipfw2 сначала отфильтрует трафик а потом передаст его pfnat или как?
какая последовательность обработки трафика?
сначала фаер должен отфильтровать трафик а потом запустить аго в NAT
так вот вопрос -- ipfw2 сначала отфильтрует трафик а потом передаст его pfnat или как?
какая последовательность обработки трафика?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
смотря как построите
это как
это как
казнить нельзя помиловать
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
обе примочки сконфигурированы в ядре. В ipfw2 я говорю чего фильтровать а потом в pf.conf говорю -- NAT на тебя.
пробовал так сделать - в нат пускает а обратные пакеты не приходят.
затеял я это всё по одной причине - у меня сейчас стоит ipnat - тоже хорошая штука. но последенее время начались чудеса в сети.
ну тут бред иногда проскакивает, но всё же тема не очень хорошая -- при этом у пользвателей не открываются страницы -- когда понажимаешь Ф5 -- страница откроется, но может коряво, а может и нормально.
Вот думаю на другой NAT перейти, хотя может это проблему не решит
пробовал так сделать - в нат пускает а обратные пакеты не приходят.
затеял я это всё по одной причине - у меня сейчас стоит ipnat - тоже хорошая штука. но последенее время начались чудеса в сети.
Код: Выделить всё
rising# tcpdump -i fxp0 -n | grep host | grep unreachable
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
00:44:07.272449 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
00:44:07.281941 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
00:44:07.506658 IP 10.8.2.1 > 10.8.2.162: ICMP host 88.212.196.77 unreachable, length 36
00:44:08.424503 IP 10.8.2.1 > 10.8.2.162: ICMP host 87.242.74.137 unreachable, length 36
00:44:08.444328 IP 212.1.224.77 > 10.7.5.60: ICMP host 79.111.47.190 unreachable, length 139
00:44:08.696157 IP 10.8.2.1 > 10.8.2.162: ICMP host 213.186.217.210 unreachable, length 36
00:44:09.013240 IP 10.6.4.1 > 10.6.4.49: ICMP host 213.186.217.210 unreachable, length 36
00:44:09.064389 IP 202.53.9.98 > 10.7.5.60: ICMP host 123.176.44.70 unreachable, length 139
00:44:09.883008 IP 10.7.4.1 > 10.7.4.169: ICMP host 87.242.74.137 unreachable, length 36
00:44:10.432261 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
00:44:10.471009 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
00:44:11.321753 IP 10.8.2.1 > 10.8.2.162: ICMP host 87.242.74.137 unreachable, length 36
00:44:11.649255 IP 10.8.2.1 > 10.8.2.162: ICMP host 213.186.217.210 unreachable, length 36
00:44:11.934277 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
00:44:11.974955 IP 192.168.0.1 > 192.168.0.223: ICMP host 100.0.0.1 unreachable, length 36
Вот думаю на другой NAT перейти, хотя может это проблему не решит
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
незная топологии и всего что накручено на сервере сложно что то сказать
но как бы у вас там не досс был от какого то клиента
но как бы у вас там не досс был от какого то клиента
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
Код: Выделить всё
rising# cat /etc/rc.firewall
#!/bin/sh
ipfw="ipfw -q"
${ipfw} -f flush
ifout='fxp1'
ifuser='fxp0'
ournet='192.168.0.0/16,10.5.0.0/16,10.6.0.0/16,10.7.0.0/16,10.8.0.0/16'
#Pipes for paket
#ua-ix
${ipfw} pipe 101 config bw 34Mbit/s
${ipfw} pipe 1011 config bw 34Mbit/s
#all world chanal
${ipfw} pipe 107 config bw 5Mbit/s
${ipfw} pipe 1071 config bw 5Mbit/s
# pipe1 - world IN
# pipe2 - ua-ix IN
# pipe3 - world OUT
# pipe4 - ua-ix OUT
#1--Student 50>
${ipfw} queue 1 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 2 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 3 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff
${ipfw} queue 4 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#2--seven>
${ipfw} pipe 5 config bw 512Kbit/s mask dst-ip 0xffffffff
${ipfw} queue 6 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} pipe 7 config bw 512Kbit/s mask src-ip 0xffffffff
${ipfw} queue 8 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#3--Unlim>
${ipfw} pipe 9 config bw 256Kbit/s mask dst-ip 0xffffffff
${ipfw} queue 10 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} pipe 11 config bw 256Kbit/s mask src-ip 0xffffffff
${ipfw} queue 12 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#4--50G>
${ipfw} queue 13 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 14 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 15 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff
${ipfw} queue 16 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#5--Student 70>
${ipfw} queue 17 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} pipe 18 config bw 600Kbit/s mask dst-ip 0xffffffff
${ipfw} pipe 20 config bw 600Kbit/s mask src-ip 0xffffffff
${ipfw} queue 19 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#6--VIP>
${ipfw} pipe 21 config bw 128Kbit/s mask dst-ip 0xffffffff
${ipfw} pipe 22 config bw 512Kbit/s mask dst-ip 0xffffffff
${ipfw} pipe 23 config bw 128Kbit/s mask src-ip 0xffffffff
${ipfw} pipe 24 config bw 512Kbit/s mask src-ip 0xffffffff
#--------<
#7--2.5G>
${ipfw} queue 25 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 26 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 27 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff
${ipfw} queue 28 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
#9--Servers>
${ipfw} queue 33 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 34 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 35 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff limit src-ip 50
${ipfw} queue 36 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff limit src-ip 50
#--------<
#10--time limit>
${ipfw} queue 37 config pipe 107 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 38 config pipe 101 weight 50 queue 50 mask dst-ip 0xffffffff
${ipfw} queue 39 config pipe 1071 weight 50 queue 50 mask src-ip 0xffffffff
${ipfw} queue 40 config pipe 1011 weight 50 queue 50 mask src-ip 0xffffffff
#--------<
${ipfw} add 50 allow all from 77.121.0.0/16 to me
${ipfw} add 50 allow all from 82.193.120.178 to me 80
${ipfw} add 35 pass all from any to me 411 in
${ipfw} add 35 pass all from me 411 to any out
# правилом 100 будут разрешены все обратные пакеты, которые были разрешены правилом 200
${ipfw} add 100 check-state
${ipfw} add 150 allow ip from any to any via lo0
# разрешаем трафик от сервера (не клиентский трафик)
${ipfw} add 200 allow ip from me to any keep-state
# Правило безопасности - отшиваем любые пакеты внутри локальной сети,
# которые имет ip не нашего диапазона ($ournet)
${ipfw} add 210 deny ip from not ${ournet} to any via ${ifuser} in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan52 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan53 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan54 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan55 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan56 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan57 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan58 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan59 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan510 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan511 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan512 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan62 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan63 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan64 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan65 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan66 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan67 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan68 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan69 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan610 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan611 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan612 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan52 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan73 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan74 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan75 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan76 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan77 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan78 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan79 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan710 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan711 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan712 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan82 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan83 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan84 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan85 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan86 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan87 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan88 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan89 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan810 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan811 in
${ipfw} add 220 deny ip from not ${ournet} to any via vlan812 in
${ipfw} add 221 pass ip from table\(2\) to me 80,443 via ${ifout}
# Правило безопасности на случай если у вышестоящего провайдера ошибки в настройке
# Суть заключается в том, что со стороны интернета не может быть пакетов кроме как
# направленных на наш внешний ip
${ipfw} add 240 deny ip from any to not me via ${ifout} in
# NAT
#${ipfw} add 250 divert 8778 ip from any to any via ${ifout}
${ipfw} add 260 allow ip from any to any via ${ifout} out
# В данной точке на внешнем интерфейсе только входящие пакеты (исходящие уже все разрешили)
# Если пакет не направлен к ip сервера значит это ответ на пакет нашего внутреннего клиента -
# поскольку он прошел обратное преобразование в natd и последний подменил ip назначения
# Если после natd пакет все равно указывает на ip сервера - это коннект внешней станции к
# нашему серверу. Для безопасности разрешим коннекты только по ssh
${ipfw} add 299 pass tcp from 192.168.0.0/24,10.0.0.0/8 to me 2212
${ipfw} add 300 allow tcp from table\(2\) to me 2212
${ipfw} add 301 allow tcp from 92.112.0.0/16,94.178.0.0/16 to me dst-port 80,443,2212,22
# Клиенты должны иметь возможность просматривать статистику
${ipfw} add 309 allow tcp from 192.168.0.0/16 to me 80,443
${ipfw} add 310 allow tcp from 10.0.0.0/8 to me 80,443
# если установлен почтовый сервер на этом же сервере - пускаем
# без авторизации (либо добавить via ${ifout})
#${ipfw} add 320 allow tcp from any to me 25,110
# разрешим прохождение icmp-пакетов
${ipfw} add 330 allow icmp from any to me limit src-addr 10 >/dev/null
# разрешим ДНС запросы
${ipfw} add 340 allow udp from any to any 53 limit src-addr 15 >/dev/null
# разрешим клиентам ЛС авторизоваться по UDP-протоколу
${ipfw} add 350 allow udp from any to me 7723 limit src-addr 10 >/dev/null
# все что не разрешили в направлении к серверу - запрещаем
${ipfw} add 400 deny ip from any to me
# разрешаем все входящие (in не ставим т.к все исходящие разрешили) через внешний интерфейс
# поскольку в данной точке точно известно, что эти пакеты направлены к нашим
# клиентам, поскольку прошли обратное преобразование в natd
${ipfw} add 450 allow ip from any to any via ${ifout}
${ipfw} add 65534 deny ip from any to any
Код: Выделить всё
map fxp1 192.168.0.0/24 -> 0.0.0.0/32
map fxp1 10.0.0.0/8 -> 0.0.0.0/32
Код: Выделить всё
%
pass in all
pass out all
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
кстати у ipnat есть очень большая проболема
уже не помню как она проявляеться
но нужно его перезагружать ipnat -f итд
когда будут проблемы попробуй дернуть
если пропадут
переходи на другой нат
Pf тоже вариант
там вроде не замечено таких проблема
именно с натом
уже не помню как она проявляеться
но нужно его перезагружать ipnat -f итд
когда будут проблемы попробуй дернуть
если пропадут
переходи на другой нат
Pf тоже вариант
там вроде не замечено таких проблема
именно с натом
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
ну вот я и про Pf. Но будет-ли он работать с ipfw2 ?
просто скрипт биллинга генерит разрешающие правила для клиента в зависимости от принятых данных (IP, тарифный план и ещё куча всего). Скрипт написан на perl.
Там строка следующего типа
ipfw2 настроен на один проход.
Такую ситуацию можно реальзовать на Pf и как эти строки будут вылядеть в нём?
просто скрипт биллинга генерит разрешающие правила для клиента в зависимости от принятых данных (IP, тарифный план и ещё куча всего). Скрипт написан на perl.
Там строка следующего типа
Код: Выделить всё
{
# UA-IX -> Users
system("$ipfw add $num queue $pipe2 ip from \"table(2)\" to $ip >/dev/null");
# Users -> UA-IX
system("$ipfw add $num queue $pipe4 ip from $ip to \"table(2)\" >/dev/null");
unless ($gorod)
{# ............. . ...... "....... ...."
# Inet -> Users
system("$ipfw add $num pipe $pipe1 ip from any to $ip >/dev/null");
# Users -> Inet
system("$ipfw add $num pipe $pipe3 ip from $ip to any >/dev/null");
}
}
Такую ситуацию можно реальзовать на Pf и как эти строки будут вылядеть в нём?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
чет я непонимаю
если нехочешь ipfw2 менять не меняй
посто ipnat смени на pf
и все
а ipfw2 рули дальше как и рулил
если нехочешь ipfw2 менять не меняй
посто ipnat смени на pf
и все
а ipfw2 рули дальше как и рулил
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
тоесть мне в rc.conf нужно написать
а в pf.conf
Код: Выделить всё
pf_enable="YES"
Код: Выделить всё
ext_if="fxp1"
int_if="fxp0"
nat on $ext_if from $int_if to any -> $ext_if
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
интерфейс на котором на можно
а остальное лучше айпи или сети
а остальное лучше айпи или сети
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
в ipfw пакеты от клиентов входят а с инета к клиентам не идут.
pfnat включен. в нём пробовал и включать и выключать правила
ничё не помогает
pfnat включен. в нём пробовал и включать и выключать правила
Код: Выделить всё
pass in all
pass out all
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
чет не пойму
от клиента к источнику идет пакет или нет?
назад возращаеться на внешний интерфейс?
tcpdump смотри
смотри pfctl что там с натов есть сработаные правила или нет
еще есть pflog
если конечно умеешь всем этим пользоваться
от клиента к источнику идет пакет или нет?
назад возращаеться на внешний интерфейс?
tcpdump смотри
смотри pfctl что там с натов есть сработаные правила или нет
еще есть pflog
если конечно умеешь всем этим пользоваться
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
хм... если прописать в ipfw
то всё работает, но вот у меня пользователи выпускались в инет по pipe или queue
теперь-то что делать?
Код: Выделить всё
pass all from any to $ip
pass all from $ip to any
теперь-то что делать?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
если я правильно помню
то ipfw стоит ниже в сетевом стеке чем pf
поэтому дальше оно должно по ipfw отрабатывать
хотя можно вообще все на pf+altq перевести
то ipfw стоит ниже в сетевом стеке чем pf
поэтому дальше оно должно по ipfw отрабатывать
хотя можно вообще все на pf+altq перевести
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
тоесть Pf будет отвечать за NAT и нарезку скорости а ipfw за выпускание пользователей в инет?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
несовсем так
pf как nat + пропускает пакеты к ipfw
а ipfw уже пускает и выпускает + твои очереди
либо вообще все переведи на pf+altq
и за ipfw забудь
но тогда и скрипт нужно будет переписать как то
pf как nat + пропускает пакеты к ipfw
а ipfw уже пускает и выпускает + твои очереди
либо вообще все переведи на pf+altq
и за ipfw забудь
но тогда и скрипт нужно будет переписать как то
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
тако вот проблема в том, что ipfw не впускает обратно трафик, я думаю, что это связано с правилами keep-state.
смотри, если попробовать сделать правила таким макаром, будут они шейпится или нет?
Было:
стало:
смотри, если попробовать сделать правила таким макаром, будут они шейпится или нет?
Было:
Код: Выделить всё
40092 0 0 queue 10 ip from table(2) to 10.7.6.91
40092 15 720 queue 12 ip from 10.7.6.91 to table(2)
40092 0 0 pipe 9 ip from any to 10.7.6.91
40092 338 19615 pipe 11 ip from 10.7.6.91 to any
Код: Выделить всё
40092 0 0 queue 10 ip from table(2) to 10.7.6.91
40092 allow ip from table(2) to 10.7.6.91
40092 15 720 queue 12 ip from 10.7.6.91 to table(2)
40092 allow ip from 10.7.6.91 to table(2)
40092 0 0 pipe 9 ip from any to 10.7.6.91
40092 allow ip from any to 10.7.6.91
40092 338 19615 pipe 11 ip from 10.7.6.91 to any
40092 allow ip from 10.7.6.91 to any
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
в 3 25 ночи
я щас точно ничего внятного не скажу)
я щас точно ничего внятного не скажу)
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
такая конструкция не работает... продолжаем поиски
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-07-30 13:43:00
- Откуда: Киев
- Контактная информация:
Re: ipfw2 + pfnat
Блин, ну не получается у меня поднять взаимно pfnat и ipfw2. Пакеты в ipfw попадают только входящие от клиентов, с инета ничего нет счетчики по нулям.
Может есть у кого готовый конфиг подобной связки?
Может есть у кого готовый конфиг подобной связки?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: ipfw2 + pfnat
попробуй еще посмотретьпокрутить или что то типа того
Код: Выделить всё
sysctl -a | grep pf
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ipfw2 + pfnat
а зачем вообще такой изврат с двумя натами?
какая ОС? если 7-ка, то не хочешь ядерный НАТ использовать?
какая ОС? если 7-ка, то не хочешь ядерный НАТ использовать?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ipfw2 + pfnat
а, блин, увидел, фря 6.2...
а сколько пользователей? почему тогда не natd ?
эх ща заплюют...
а сколько пользователей? почему тогда не natd ?
эх ща заплюют...
ядерный взрыв...смертельно красиво...жаль, что не вечно...