kernel ipfw NAT и ICMP

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
rambomax
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-12-06 13:57:20

kernel ipfw NAT и ICMP

Непрочитанное сообщение rambomax » 2010-04-29 12:42:03

Я случайно заметил, что с тех пор, как сделал простенький ipfw NAT у меня из внутренней сетки перестал пинговаться внешний мир.
Методом пристального взгляда я понял, что судя по всему ICMP не проходит через NAT.

Прав ли я, что в правилах ipfw all = ip но ip != icmp ?
Т.е. должен ли я, если хочу натить ICMP прописать ещё правила ната для ICMP?

В настройках всё тривиально просто.

Код: Выделить всё

ipfw nat 1 config log if rl0 reset same_ports
ipfw add 12000 nat 1 ip from 10.0.1.0/28 to any out recv re0 xmit rl0
ipfw add 15000 nat 1 ip from any to 99.66.99.66 in recv rl0

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: kernel ipfw NAT и ICMP

Непрочитанное сообщение terminus » 2010-04-29 13:55:09

не должно такого быть. у меня все работает.

перед правилами ната нет других которые бы влияли на icmp трафик?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

rambomax
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-12-06 13:57:20

Re: kernel ipfw NAT и ICMP

Непрочитанное сообщение rambomax » 2010-04-29 15:04:47

Огромное спасибо за интерес к проблеме!
Когда стал сюда писать нашёл до НАТа подлую строчку
В системе net.inet.ip.fw.one_pass=1

Код: Выделить всё

ipfw add 2100 allow log logamount 300 icmp from any to any
прибил эту строчку - всё заработало.
Сам виноват.