natd не фурычит.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

natd не фурычит.

Непрочитанное сообщение Spook1680 » 2010-08-16 13:12:53

Ой беда, беда.
чегото - инета нет.
и вроде должен и нет.)) грешу на над.
:oops:
вот конфиг
rc.firewall

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"

#Внешний интерфейс
oif="fxp0"
onet="77"
oip="7"
#Внутрений интерфейс
iif="stge0"
inet="192.168.5.0/24"
iip="192.168.5.1"
###Сброс всех правил при загрузке скрипта
${fwcmd} -f flush
###Рубим попытку кудато и откуда-то лазить из l0
${fwcmd} add 105 deny ip from any to 127.0.0.0/8
${fwcmd} add 110 deny ip from 127.0.0.0/8 to any
##Разрешаем все через lo0
${fwcmd} add 111 allow ip from any to any via lo0

###Разрешить ssh с наружи и внутри
${fwcmd} add 115 allow log tcp from any to ${oip} 22 via ${oif}
###ICMP
${fwcmd} add 117 allow log icmp from any to any icmptypes 0,3,4,8,11,12

## FTP
${fwcmd} add 120 allow log tcp from any to ${oip} 21 via ${oif}
${fwcmd} add 136 allow tcp from any to me 49152-65535 in via ${oif}

#${fwcmd} add 140 allow ip from any to an 21 out via ${oif} setup keep-state
## Разрешаем 80 порт открываем его
${fwcmd} add 145 allow tcp from any to ${oip} 80 via ${oif}
#${fwcmd} add 150 allow tcp from ${inet} to any 80 via ${oif}
${fwcmd} add 160 allow tcp from any to me 80 in via ${oif}

##Пропускаем трафик через NATD
${fwcmd} add 500 divert natd log all from ${inet} to any out via ${oif}
${fwcmd} add 510 divert natd log all from any to ${oip} in via ${oif}
#Разрешаем трафик 80 исходящий www
${fwcmd} add 512 allow log tcp from any to any 80,443 out via ${oif} setup keep-state

##Разрешаем DNS снаружи
${fwcmd} add 515 allow udp from any 53 to any via ${oif}
${fwcmd} add 520 allow udp from any to any 53 via ${oif}
#Разрешаем ICMP пакеты
#${fwcmd} add 530 allow log icmp from any to any icmptypes 0,3,4,8,11,12
#Разрешаем ssh в нутри сети
${fwcmd} add 540 allow log tcp from any to ${iip} 22 via ${iif}
#FTP внутри сети
#${fwcmd} add 545 allow log tcp from any to ${iip} 20 via ${iif}
#${fwcmd} add 550 allow log udp from any to ${iip} 21 via ${iif}
##Разрешаем весть tcp трафик внутри локальной сети
${fwcmd} add 600 allow log tcp from any to any via ${iif}
${fwcmd} add 610 allow log udp from any to any via ${iif}
${fwcmd} add 620 allow log icmp from any to any via ${iif}

##Разрешаем все установленные соединения. Разрешаем всесь исходящий траф серверу
${fwcmd} add 1000 allow log tcp from any to any established
${fwcmd} add 1100 allow log ip from ${oip} to any out xmit ${oif}
##Все что не пропустилось в лог
${fwcmd} add 1500 deny log logamount 3000 all from any to any
:crazy:
где мож быть касяк
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: natd не фурычит.

Непрочитанное сообщение rmn » 2010-08-16 13:39:38

а где конфиг natd?

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: natd не фурычит.

Непрочитанное сообщение Spook1680 » 2010-08-16 14:00:35

rmn писал(а):а где конфиг natd?
natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
rc.conf

Код: Выделить всё

ifconfig_stge0="inet 192.168.5.1 netmask 255.255.255.0"
ifconfig_fxp0="inet 7. netmask 255.255.255.248"
defaultrouter="77."
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_login="YES"
#firewall_type="OPEN"
firewall_natd_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"
Вот так.
У меня по умолчанию фаэрвол все запрещает. Т.е. все что не разрешено, все запрещено.
Мож из-за этого.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: natd не фурычит.

Непрочитанное сообщение mediamag » 2010-08-20 10:10:02

у тебя же есть последнее правило

Код: Выделить всё

${fwcmd} add 1500 deny log logamount 3000 all from any to any
посмотри в логах, попадает ли туда запрос с локальной тачки и что вообще рубится....сделай пинг с локалки в мир (узнаешь есть ли инет вообще), сделай пинг на внешний айпи шлюза с локалки (узнаешь работает ли натд). И кстати не вижу правила которое разрешит инет с локалки (хотябы 80 порт). Вижу открытый 80 порт только на внешней сетевой.