NAT+IPFW

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 19:08:43

Sorry za pervy raz - iz lynx-a pishu
Ishodnye:
vr0 - setevaya smotrit v modem IP poluchaet po DHCP.
fxp0 - smotrit v switch(domashnaya set)
ng0 - podnatiy sredstvami Mpd interfeys.

Код: Выделить всё

home# ifconfig
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether 00:0e:0c:a1:66:3d
        inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether 00:0e:0c:a1:98:5e
        inet 192.168.3.1 netmask 0xffffff00 broadcast 192.168.3.255
        media: Ethernet autoselect (none)
        status: no carrier
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0f:ea:41:b1:2d
        inet 10.3.44.94 netmask 0xfffffc00 broadcast 10.3.47.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 146          0
        inet 10.128.31.173 --> 93.125.5.137 netmask 0xffffffff
home#

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            93.125.5.137       UGS         0    19793    ng0
10.0.0.0/12        10.3.44.1          UGS         0        0    vr0
10.3.44.0/22       link#3             UC          0        0    vr0
10.3.44.1          00:14:a9:27:78:43  UHLW        3        0    vr0     68
10.254.254.1       10.3.44.1          UGHS        0    25919    vr0
93.125.5.137       10.128.31.173      UH          1        0    ng0
127.0.0.1          127.0.0.1          UH          0        0    lo0
192.168.2.0/24     link#1             UC          0        0   fxp0
192.168.2.2        00:14:85:be:6a:8f  UHLW        1    32979   fxp0   1188
192.168.2.255      ff:ff:ff:ff:ff:ff  UHLWb       1      203   fxp0
192.168.3.0/24     link#2             UC          0        0   fxp1
192.168.3.255      ff:ff:ff:ff:ff:ff  UHLWb       1      203   fxp1
213.184.225.32/27  10.3.44.1          UGS         0     6067    vr0

Na servere dostup k netu est. Teper nado dat dostup domashnim PC k netu
IPFW:

Код: Выделить всё

home# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 check-state
08668 divert 8668 ip4 from 192.168.2.0/24 to any out xmit ng0
08668 divert 8668 ip4 from any to me in recv ng0
08768 allow tcp from me to any dst-port 1223
08868 allow tcp from any 1723 to me
08968 allow gre from any to any
09068 allow tcp from any to any established
09168 allow ip from me to any out xmit ng0
09268 allow udp from any 53 to any
09368 allow tcp from any to any
09468 allow udp from any to any
09568 allow icmp from any to any
65535 allow ip from any to any
home#

Poka nichego ne zakryval
Po IP vneshka pinguetsa i po IP mozhno hodit v net. DNS ne pashet voobche. Vnutrennyaa set prova tozhe nedostupna(10.x.x.x). Esli NAT-it vr0 to vsio naoboro. DNS rabotaet i vnutrennie resursy.
Chego delat ?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox · Непрочитанное сообщение **paradox** » 2009-05-17 19:10:48

круто
а по рууски?

))

xelak · Непрочитанное сообщение **xelak** » 2009-05-17 20:05:20

Код: Выделить всё

cat /etc/rc.conf

08668 divert 8668 ip4 from 192.168.2.0/24 to any out xmit ng0
на
divert 8668 ip from any to any via ng 0

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 20:21:33

xelak писал(а):
Код: Выделить всё
cat /etc/rc.conf
08668 divert 8668 ip4 from 192.168.2.0/24 to any out xmit ng0
на
divert 8668 ip from any to any via ng 0

Вообще то при такой схеме вообще все отваливается.
Я сейчас пишу тут потому что пробросил порт RDP на рабочий сервак и подключился к нему(внешний IP помню.)

Я аот думаю про два ната.....

paradox · Непрочитанное сообщение **paradox** » 2009-05-17 21:01:58

конечно отваливатьеся если через него идеть
нужно прописать и перегузить сервак
что бы все нормально поднялось

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 21:11:48

paradox писал(а):конечно отваливатьеся если через него идеть
нужно прописать и перегузить сервак
что бы все нормально поднялось

поставил и перегрузился - ноль эффекта...

paradox · Непрочитанное сообщение **paradox** » 2009-05-17 21:14:05

ps ax
и
оставь токо один диверт и allow all from any to any

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 21:23:56

paradox писал(а):ps ax
и
оставь токо один диверт и allow all from any to any

paradox · Непрочитанное сообщение **paradox** » 2009-05-17 21:31:13

тьфу ты
так на компах пропиши айпишники DNS которые тебе дал провайдер VPN

всего то
у тебяж на версере не кеширующий DNS

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 21:34:47

paradox писал(а):тьфу ты
так на компах пропиши айпишники DNS которые тебе дал провайдер VPN

всего то
у тебяж на версере не кеширующий DNS

paradox · Непрочитанное сообщение **paradox** » 2009-05-17 21:56:42

213.184.225.32/27 10.3.44.1 UGS 0 6067 vr0

ммда

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-17 22:19:36

paradox писал(а):
213.184.225.32/27 10.3.44.1 UGS 0 6067 vr0
ммда

Ага.. грохнул - все завертелось.
Этот путь по умолчанию подымается.
В скрипт MPD внес грохать его после установления связи и заново прописывать при дауне интерфейса.

Paradox-у респект за помосч !

Fastman · Непрочитанное сообщение **Fastman** » 2009-05-19 0:43:42

Дополню. С вышеописанной схемой было неудобство - все оказалоь пошло через внешку - и сеть провайдера с торрентами и хабом тоже через внешку пошло - что крайне неудобно и медленно.
Покурив немного ман про natd повесил вышеописанный NATD в двойном комплекте. И теперь внутренние ресурсы видим через один интерфейс(vr0) а внешку через vpn(ng0)
в rc.conf нат вообще забанил.
а в IPFW сотворил что то типа:

Код: Выделить всё

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 check-state
//Внутренняя сеть
00500 divert 8668 ip4 from 192.168.2.0/24 to any via vr0
00600 divert 8668 ip4 from any to me in recv vr0
//Внешняя сеть
00700 divert 8669 ip4 from 192.168.2.0/24 to any via ng0
00800 divert 8669 ip4 from any to me in recv ng0
00900 allow tcp from me to any dst-port 1723
01000 allow tcp from any 1723 to me
01100 allow gre from any to any
01200 allow tcp from any to any established
01300 allow tcp from any to any
01400 allow udp from any to any
01500 allow icmp from any to any
65535 allow ip from any to any

Это минимальный конф. открытый всем ветрам который работает.
Не забудьте привести все в адекватный вид после

И еще раз спасибо всем кто помогал

forum.lissyara.su

NAT+IPFW

NAT+IPFW

Услуги хостинговой компании Host-Food.ru

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW

Re: NAT+IPFW