Не работает NATD.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-19 8:30:58

Здравствуйте.

На FreeBSD 8.0 пытаюсь запустить nat. У машины 2 сетевых интерфейса: один смотрит в инет rl0-10.12.4.200, другой- rl1-192.168.1.3, воткнут в ADSL модем-192.168.1.1 настроенный PPPoE с автоконнектом. На самой машине пинг в инет идет и по имени и по ip. Надо пока добиться, чтобы с рабочих мест, используя FreeBSD+NAT, выходить в инет. Решил начать потихоньку, сначала nat, а потом уж firewall. Сделал следующее:

1) добавил строчку

Код: Выделить всё

options         IPDIVERT                # Enable NATD / Den
в GENERIC

Код: Выделить всё

#cpu		I586_CPU
cpu		I686_CPU
ident		GENERIC

# To statically compile in device wiring instead of /boot/device.hints
#hints		"GENERIC.hints"		# Default places to look for devices.

# Use the following to compile in values accessible to the kernel
# through getenv() (or kenv(1) in userland). The format of the file
# is 'variable=value', see kenv(1)
#
# env		"GENERIC.env"

makeoptions	DEBUG=-g		# Build kernel with gdb(1) debug symbols

options         IPDIVERT                # Enable NATD / Den
options 	SCHED_ULE		# ULE scheduler 
запустил

Код: Выделить всё

/usr/src/>make buildkernel KERNCONF=GENERIC && \
make installkernel KERNCONF=GENERIC
вроде все прошло нормально.

2) В rc.conf присутствовали да и добавил такие строки :

Код: Выделить всё

ifconfig_rl1="inet 192.168.1.3  netmask 255.255.255.0" - интерфейс смотрящий в инет.
defaultrouter="192.168.1.1" - модем
hostname="bsd.domain.ru"

router_enable="NO"
gateway_enable="NO"
inetd_enable="YES"

natd_enable="YES"
natd_interface="rl1"
natd_flags="-m -u" 

gateway_enable="YES" 
После этих действий, машину перезагрузил, на клиентской машине произвел настройки сетевой карты, но:
- FreeBSD с рабочей станции видно
- FreeBSD инет видит
- инета с рабочей станции не видно.

Прошу помощи. Буду очень рад статьям на эту тему, а ответам еще больше.
Заранее благодарен.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Не работает NATD.

Непрочитанное сообщение terminus » 2010-04-19 9:37:18

natd работает в связке с ipfw. вам надо настроить правила фильтрации чтобы использовать нат.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
BirdGovorun
лейтенант
Сообщения: 878
Зарегистрирован: 2009-10-20 20:27:13
Откуда: Харьков.

Re: Не работает NATD.

Непрочитанное сообщение BirdGovorun » 2010-04-19 10:04:23

Надо еще в /etc/resolv.conf и /etc/natd.conf чё-то писать ;-)

Аватара пользователя
GREY
рядовой
Сообщения: 23
Зарегистрирован: 2009-09-03 0:05:44
Откуда: Ukraine
Контактная информация:

Re: Не работает NATD.

Непрочитанное сообщение GREY » 2010-04-19 10:18:01

CPU: Pentium II/Pentium II Xeon/Celeron (266.62-MHz 686-class CPU)

Гость
проходил мимо

Re: Не работает NATD.

Непрочитанное сообщение Гость » 2010-04-19 11:22:47

как я понимаю, natd без ipfw не работает?
или по словам BirdGovorun у меня что-то не прописано просто?

Evil
рядовой
Сообщения: 47
Зарегистрирован: 2007-05-27 10:47:20
Контактная информация:

Re: Не работает NATD.

Непрочитанное сообщение Evil » 2010-04-19 11:59:49

да, без ipfw нат работать не будет, так как трафик нужно заворачивать на нат

Аватара пользователя
BirdGovorun
лейтенант
Сообщения: 878
Зарегистрирован: 2009-10-20 20:27:13
Откуда: Харьков.

Re: Не работает NATD.

Непрочитанное сообщение BirdGovorun » 2010-04-19 14:44:23

Гость писал(а):как я понимаю, natd без ipfw не работает?
или по словам BirdGovorun у меня что-то не прописано просто?
И вдобавок к IPFW не прописано:
в /etc/resolv.conf -> DNS
в /etc/natd.conf

Код: Выделить всё

use_sockets yes
same_ports yes
unregistered_only yes


denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-21 10:08:09

скомпилировал ядро с NATD+IPFIREWALL. теперь с рабочей станции под Win XP, где шлюзом прописан ip FreeBSD пинг по ip в инет идет.
с машины с FreeBSD пинг идет и по имени и по ip.
запускаю кэширующий BIND на FreeBSD.
внес строки
rc.conf

Код: Выделить всё

named_enable="YES"
named_flags="-u bind" 
расскоментировал и добавил ip своего провайдера
/etc/namedb/named.conf

Код: Выделить всё

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

	forwarders {isp_ip1; isp_ip2;};


// If the 'forwarders' clause is not empty the default is to 'forward first'
// which will fall back to sending a query from your local server if the name
// servers in 'forwarders' do not have the answer.  Alternatively you can
// force your name server to never initiate queries of its own by enabling the
// following line:
	forward only; 
ipfw show показывает

Код: Выделить всё

00050   7    589 divert 8668 ip4 from any to any via rl1
00100   0      0 allow ip from any to any via lo0
00200   0      0 deny ip from any to 127.0.0.0/8
00300   0      0 deny ip from 127.0.0.0/8 to any
65000 719 113489 allow ip from any to any
65535   0      0 deny ip from any to any 
вырезки из rc.firewall

Код: Выделить всё

[Cc][Ll][Ii][Ee][Nn][Tt])
	############
	# This is a prototype setup that will protect your system somewhat
	# against people from outside your own network.
	#
	# Configuration:
	#  firewall_client_net:		Network address of local network.
	############

	# set this to your local network
	net="$firewall_client_net"
               
	# Allow DNS queries out in the world
	${fwcmd} add pass udp from me to any 53 keep-state

	${fwcmd} add pass udp from any to me 53 keep-state [b]# новое добавил[/b]

	# Everything else is denied by default, unless the
	# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
	# config file.
	;;

[Ss][Ii][Mm][Pp][Ll][Ee])
	############
	# This is a prototype setup for a simple firewall.  Configure this
	# machine as a DNS and NTP server, and point all the machines
	# on the inside at this machine for those services.
	#
	# Configuration:
	#  firewall_simple_iif:		Inside network interface.
	#  firewall_simple_inet:	Inside network address.
	#  firewall_simple_oif:		Outside network interface.
	#  firewall_simple_onet:	Outside network address.
	############

	# set these to your outside interface network
	oif="$firewall_simple_oif"
	onet="$firewall_simple_onet"

	# set these to your inside interface network
	iif="$firewall_simple_iif"
	inet="$firewall_simple_inet"


	# Allow access to our DNS
	${fwcmd} add pass tcp from any to me 53 setup
	${fwcmd} add pass udp from any to me 53
	${fwcmd} add pass udp from me 53 to any

        ${fwcmd} add pass udp from any 53 to me [b]# новое добавил[/b]
        ${fwcmd} add pass udp from any to any 53[b] # новое добави[/b]л
        ${fwcmd} add pass udp from any 53 to any [b]# новое добавил[/b]

	# Allow DNS queries out in the world
	${fwcmd} add pass udp from me to any 53 keep-state

	${fwcmd} add pass udp from any to me 53 keep-state [b]# новое добавил[/b]

	# Everything else is denied by default, unless the
	# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
	# config file.
	;;
 

на рабочей станции прописал шлюз и dns - ip FreeBSD, но с рабочей станции пинг по имени не идет, а хочется. если в IE раб станции набрать в адресной строке ip сайта, то ie имя определяет, а страничку не грузит. ну это не главное, а главное, чтобы BIND r'iibhe.obq заработал. помогите пожалуйста.

denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-21 12:15:06

описался
*а главное, чтобы BIND кэширующий заработал.

Аватара пользователя
BirdGovorun
лейтенант
Сообщения: 878
Зарегистрирован: 2009-10-20 20:27:13
Откуда: Харьков.

Re: Не работает NATD.

Непрочитанное сообщение BirdGovorun » 2010-04-21 15:21:19

Встроенные FreeBSD dns демон называется 'named' и является частью
порта 'bind' (/usr/ports/bind8). Директория '/etc/namedb' - это место,
где named ищет конфигурационные файлы / файлы зон.
А, запустил-ли ты named?

kross
рядовой
Сообщения: 25
Зарегистрирован: 2008-04-08 8:47:02

Re: Не работает NATD.

Непрочитанное сообщение kross » 2010-04-21 15:28:11

Не хотел создавать новую тему, пиши тут. Вопрос похож
У меня та же проблема. Локалка + Сервак(Шлюз) FreeBSD 7.1.-перечитал уже кучю статей про настройки NAT и IPFW. В ядре все настроено и скомпилировано. IPFW настроен. Nat включен, настроен на интерфейс. А инета на компьютерах локальной сети как не было так инет. На компьютерах в лок сети шлюзом стоит айпишник сервака с FreeBSD и NAT. При попытке пингануть инет выдает вот это:

Код: Выделить всё

C:\Documents and Settings\Admin>ping -t ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Превышен интервал ожидания для запроса.
Как бы айпишник ресурса комп видит, а ответов не получает. Фиревол ставил и OPEN, и писал allow any to any- не работает.
КАК НАСТРОИТЬ ЭТОТ NAT???????
Щас открываю любую статью про настройку такой конфигурации - и ничего нового в ней не нахожу, потому что у меня уже все настроено, как в статье, а не работает!!!!!!!!! :cz2:
сори..наболело уже..

denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-21 15:52:28

-> BirdGovorun
запуск прописал в rc.conf. на /etc/rc.d/named forcestart получаю

Код: Выделить всё

named already runing? PID=788
в named.conf тоже прописал

Код: Выделить всё

// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.

   forwarders {isp_ip1; isp_ip2;};


// If the 'forwarders' clause is not empty the default is to 'forward first'
// which will fall back to sending a query from your local server if the name
// servers in 'forwarders' do not have the answer.  Alternatively you can
// force your name server to never initiate queries of its own by enabling the
// following line:
   forward only;
-> kross
делал все как описано в этом топике+скомпилил ядро с опциями как посоветовал Grey в http://www.lissyara.su/doc/docs/handbook_-_ipfw/ и все заработало само. тока вот BIND остался.


denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-22 7:12:32

Evil писал(а):netstat -an | grep LISTEN
вот что выдает

Код: Выделить всё

tcp6       0      0 ::1.953                *.*                    LISTEN
tcp4       0      0 127.0.0.1.953          *.*                    LISTEN
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp4       0      0 *.23                   *.*                    LISTEN
tcp4       0      0 *.21                   *.*                    LISTEN
tcp4       0      0 127.0.0.1.25           *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN 
замечу, что по ip пинг идет.

denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-22 7:32:00

/etc/rc.d/named status дает следующее

Код: Выделить всё

named is running as pid 788.


denmin
рядовой
Сообщения: 23
Зарегистрирован: 2010-03-31 10:06:20

Re: Не работает NATD.

Непрочитанное сообщение denmin » 2010-04-22 10:09:17

заработало. надо было в named.conf закомментировать строку

Код: Выделить всё

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
	listen-on	{ 127.0.0.1; }; 
теперь постараюсь внимательно читать конфиги. думаю на этом тему можно закрыть.