nat + ipfw

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

nat + ipfw

Непрочитанное сообщение CTOPMbI4 » 2010-03-01 14:29:21

конфа.
Роутер на базе 8.0-RELEASE-p2
2 физ. интерфейса.
rl0 - смотрит в сеть провайдера.
rl1 - смотрить в офисную сеть.
Так же подняты 2 туннеля по средствам mpd до сервера провайдера.
ng0 для внешки
ng1 для локалки

Требуется вывести ПК из офисной сетки в инет посредствам nat.

конфиги.
rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/testfire"

#nat
natd_enable="YES"
natd_interface="ng0"
natd_flags="-same_ports"
natd_flags="-f /etc/natd.conf"

gateway_enable="YES"
natd.conf

Код: Выделить всё


dynamic         yes
same_ports      yes
use_sockets     yes
unregistered_only yes
testfirewall

Код: Выделить всё

#nat
${fw} add 40 add divert natd ip from ${Lan_net} to any out via ${Wan_external}
${fw} add 45 add divert natd ip from any to ${ipng0} in via ${Wan_external}
Фишка то что ип выдается динамически, и указать его нет возможности. Как я понял в правиле ipfw должен быть указан жестко ип внешнего ng0 интерфейса.

Код: Выделить всё

${fw} add 45 add divert natd ip from any to ${ipng0} in via ${ng0}
Требуется грамотный совет. Как можно обойти ?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

кегля
проходил мимо

Re: nat + ipfw

Непрочитанное сообщение кегля » 2010-03-01 15:48:50

не надо там, сам тока что настраивал, тока у меня РРРоЕ

дайверт писал так

Код: Выделить всё

ipfw add 500 divert natd ip from any to any via tun0
работает

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: nat + ipfw

Непрочитанное сообщение CTOPMbI4 » 2010-03-06 7:58:24

да вроде как работает.
Но...только при firewall="open"
Что нужно добавить в firewall чтобы заработало?
привожу свой конфиг

Код: Выделить всё

Lan_int="rl1"
Wan_int="rl0"
Wan_external="ng0"
Wan_internal="ng1"
Lan_net="192.168.1.0/24"
Wan_net="10.0.0.0/8"
Drs_ip="10.0.0.1"
Lan_ip="192.168.1.1"
Wan_ip="172.27.25.100"

#flush
${fw} -f flush

#
${fw} add 10 check-state

#allow all lo interface
${fw} add 20 allow ip from any to any via lo0

#nat
${fw} add 29 divert 8668 ip4 from any to any via ${Wan_external}

#rl1
${fw} add 40 allow ip from ${Lan_net} to ${Lan_net} via ${Lan_int}

#rl0
${fw} add 50 allow tcp from me to ${Wan_net} out via ${Wan_int}
${fw} add 51 allow tcp from ${Wan_net} to me in via ${Wan_int}
${fw} add 52 allow udp from me to ${Wan_net} out via ${Wan_int}
${fw} add 53 allow udp from ${Wan_net} to me in via ${Wan_int}

#icmp packet
${fw} add 54 allow icmp from me to ${Wan_net} out via ${Wan_int}
${fw} add 55 allow icmp from ${Wan_net} to me in via ${Wan_int}

#gre tunnel
${fw} add 56 allow gre from me to ${Drs_ip} via ${Wan_int}
${fw} add 57 allow gre from ${Drs_ip} to me via ${Wan_int}

#ng0
${fw} add 60 allow ip from me to any out via ${Wan_external}
${fw} add 65 allow ip from any to me in via ${Wan_external}
${fw} add 69 deny tcp from any to me 20,21,22,23,80,3128,5190 in via ${Wan_external}

#ng1
${fw} add 70 allow ip from me to any out via ${Wan_internal}
${fw} add 75 allow ip from any to me in via ${Wan_internal}
${fw} add 76 deny ip from "table(1)" to me in via ${Wan_internal}
${fw} add 77 deny ip from 10.0.0.0/8 to me in via ${Wan_internal}

${fw} add deny ip from any to any

Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: nat + ipfw

Непрочитанное сообщение CTOPMbI4 » 2010-03-19 11:31:23

Есть шаристые камрады в ipfw? :smile:
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!