Не работает NATD.

[denmin]

Здравствуйте.

На FreeBSD 8.0 пытаюсь запустить nat. У машины 2 сетевых интерфейса: один смотрит в инет rl0-10.12.4.200, другой- rl1-192.168.1.3, воткнут в ADSL модем-192.168.1.1 настроенный PPPoE с автоконнектом. На самой машине пинг в инет идет и по имени и по ip. Надо пока добиться, чтобы с рабочих мест, используя FreeBSD+NAT, выходить в инет. Решил начать потихоньку, сначала nat, а потом уж firewall. Сделал следующее:

1) добавил строчку

Код: Выделить всё

options         IPDIVERT                # Enable NATD / Den

в GENERIC

Код: Выделить всё

#cpu		I586_CPU
cpu		I686_CPU
ident		GENERIC

# To statically compile in device wiring instead of /boot/device.hints
#hints		"GENERIC.hints"		# Default places to look for devices.

# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env		"GENERIC.env"

makeoptions	DEBUG=-g		# Build kernel with gdb(1) debug symbols

options         IPDIVERT                # Enable NATD / Den
options 	SCHED_ULE		# ULE scheduler 

запустил

Код: Выделить всё

/usr/src/>make buildkernel KERNCONF=GENERIC && \
make installkernel KERNCONF=GENERIC

вроде все прошло нормально.

2) В rc.conf присутствовали да и добавил такие строки :

Код: Выделить всё

ifconfig_rl1="inet 192.168.1.3  netmask 255.255.255.0" - интерфейс смотрящий в инет.
defaultrouter="192.168.1.1" - модем
hostname="bsd.domain.ru"

router_enable="NO"
gateway_enable="NO"
inetd_enable="YES"

natd_enable="YES"
natd_interface="rl1"
natd_flags="-m -u" 

gateway_enable="YES" 

После этих действий, машину перезагрузил, на клиентской машине произвел настройки сетевой карты, но:
- FreeBSD с рабочей станции видно
- FreeBSD инет видит
- инета с рабочей станции не видно.

Прошу помощи. Буду очень рад статьям на эту тему, а ответам еще больше.
Заранее благодарен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

natd работает в связке с ipfw. вам надо настроить правила фильтрации чтобы использовать нат.

[BirdGovorun]

Надо еще в /etc/resolv.conf и /etc/natd.conf чё-то писать

[GREY]

http://www.lissyara.su/doc/docs/handbook_-_ipfw/

[Гость]

как я понимаю, natd без ipfw не работает?
или по словам BirdGovorun у меня что-то не прописано просто?

[Evil]

да, без ipfw нат работать не будет, так как трафик нужно заворачивать на нат

[BirdGovorun]

как я понимаю, natd без ipfw не работает?
или по словам BirdGovorun у меня что-то не прописано просто?

И вдобавок к IPFW не прописано:
в /etc/resolv.conf -> DNS
в /etc/natd.conf

Код: Выделить всё

use_sockets yes
same_ports yes
unregistered_only yes

[Гость]

спасибо. попробую.

[denmin]

скомпилировал ядро с NATD+IPFIREWALL. теперь с рабочей станции под Win XP, где шлюзом прописан ip FreeBSD пинг по ip в инет идет.
с машины с FreeBSD пинг идет и по имени и по ip.
запускаю кэширующий BIND на FreeBSD.
внес строки
rc.conf

Код: Выделить всё

named_enable="YES"
named_flags="-u bind" 

расскоментировал и добавил ip своего провайдера
/etc/namedb/named.conf

Код: Выделить всё

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

	forwarders {isp_ip1; isp_ip2;};


// If the 'forwarders' clause is not empty the default is to 'forward first'
// which will fall back to sending a query from your local server if the name
// servers in 'forwarders' do not have the answer.  Alternatively you can
// force your name server to never initiate queries of its own by enabling the
// following line:
	forward only; 

ipfw show показывает

Код: Выделить всё

00050   7    589 divert 8668 ip4 from any to any via rl1
00100   0      0 allow ip from any to any via lo0
00200   0      0 deny ip from any to 127.0.0.0/8
00300   0      0 deny ip from 127.0.0.0/8 to any
65000 719 113489 allow ip from any to any
65535   0      0 deny ip from any to any 

вырезки из rc.firewall

Код: Выделить всё

[Cc][Ll][Ii][Ee][Nn][Tt])
	############
	# This is a prototype setup that will protect your system somewhat
	# against people from outside your own network.
	#
	# Configuration:
	#  firewall_client_net:		Network address of local network.
	############

	# set this to your local network
	net="$firewall_client_net"
               
	# Allow DNS queries out in the world
	${fwcmd} add pass udp from me to any 53 keep-state

	${fwcmd} add pass udp from any to me 53 keep-state [b]# новое добавил[/b]

	# Everything else is denied by default, unless the
	# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
	# config file.
	;;

[Ss][Ii][Mm][Pp][Ll][Ee])
	############
	# This is a prototype setup for a simple firewall.  Configure this
	# machine as a DNS and NTP server, and point all the machines
	# on the inside at this machine for those services.
	#
	# Configuration:
	#  firewall_simple_iif:		Inside network interface.
	#  firewall_simple_inet:	Inside network address.
	#  firewall_simple_oif:		Outside network interface.
	#  firewall_simple_onet:	Outside network address.
	############

	# set these to your outside interface network
	oif="$firewall_simple_oif"
	onet="$firewall_simple_onet"

	# set these to your inside interface network
	iif="$firewall_simple_iif"
	inet="$firewall_simple_inet"


	# Allow access to our DNS
	${fwcmd} add pass tcp from any to me 53 setup
	${fwcmd} add pass udp from any to me 53
	${fwcmd} add pass udp from me 53 to any

        ${fwcmd} add pass udp from any 53 to me [b]# новое добавил[/b]
        ${fwcmd} add pass udp from any to any 53[b] # новое добави[/b]л
        ${fwcmd} add pass udp from any 53 to any [b]# новое добавил[/b]

	# Allow DNS queries out in the world
	${fwcmd} add pass udp from me to any 53 keep-state

	${fwcmd} add pass udp from any to me 53 keep-state [b]# новое добавил[/b]

	# Everything else is denied by default, unless the
	# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
	# config file.
	;;
 

на рабочей станции прописал шлюз и dns - ip FreeBSD, но с рабочей станции пинг по имени не идет, а хочется. если в IE раб станции набрать в адресной строке ip сайта, то ie имя определяет, а страничку не грузит. ну это не главное, а главное, чтобы BIND r'iibhe.obq заработал. помогите пожалуйста.

[denmin]

описался
*а главное, чтобы BIND кэширующий заработал.

[BirdGovorun]

Встроенные FreeBSD dns демон называется 'named' и является частью
порта 'bind' (/usr/ports/bind8). Директория '/etc/namedb' - это место,
где named ищет конфигурационные файлы / файлы зон.

А, запустил-ли ты named?

[kross]

Не хотел создавать новую тему, пиши тут. Вопрос похож
У меня та же проблема. Локалка + Сервак(Шлюз) FreeBSD 7.1.-перечитал уже кучю статей про настройки NAT и IPFW. В ядре все настроено и скомпилировано. IPFW настроен. Nat включен, настроен на интерфейс. А инета на компьютерах локальной сети как не было так инет. На компьютерах в лок сети шлюзом стоит айпишник сервака с FreeBSD и NAT. При попытке пингануть инет выдает вот это:

Код: Выделить всё

C:\Documents and Settings\Admin>ping -t ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Превышен интервал ожидания для запроса.

Как бы айпишник ресурса комп видит, а ответов не получает. Фиревол ставил и OPEN, и писал allow any to any- не работает.
КАК НАСТРОИТЬ ЭТОТ NAT???????
Щас открываю любую статью про настройку такой конфигурации - и ничего нового в ней не нахожу, потому что у меня уже все настроено, как в статье, а не работает!!!!!!!!!
сори..наболело уже..

[denmin]

-> BirdGovorun
запуск прописал в rc.conf. на /etc/rc.d/named forcestart получаю

Код: Выделить всё

named already runing? PID=788

в named.conf тоже прописал

Код: Выделить всё

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

   forwarders {isp_ip1; isp_ip2;};


// If the 'forwarders' clause is not empty the default is to 'forward first'
// which will fall back to sending a query from your local server if the name
// servers in 'forwarders' do not have the answer.  Alternatively you can
// force your name server to never initiate queries of its own by enabling the
// following line:
   forward only;

-> kross
делал все как описано в этом топике+скомпилил ядро с опциями как посоветовал Grey в http://www.lissyara.su/doc/docs/handbook_-_ipfw/ и все заработало само. тока вот BIND остался.

[Evil]

netstat -an | grep LISTEN

[denmin]

netstat -an | grep LISTEN

вот что выдает

Код: Выделить всё

tcp6       0      0 ::1.953                *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 *.23                   *.*                    LISTEN
tcp4       0      0 *.21                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.25           *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN 

замечу, что по ip пинг идет.

[denmin]

/etc/rc.d/named status дает следующее

Код: Выделить всё

named is running as pid 788.

[Evil]

sockstat | grep named | grep udp

[denmin]

заработало. надо было в named.conf закомментировать строку

Код: Выделить всё

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
	listen-on	{ 127.0.0.1; }; 

теперь постараюсь внимательно читать конфиги. думаю на этом тему можно закрыть.