pf -> ipfw

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 3:55:35

Код: Выделить всё

lan_if="em0"
lan_if_subnet="10.0.0.0/8"
lan_if_ip="10.28.11.10"
jail_vps_server_ip="202.54.2.3"
nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

ради интереса, как подобное реализовать на ipfw или на natd ?

ни кто не шарит вообще, не хочется на pf переходить...

вот еще похожее

Код: Выделить всё

[code]# Macros: define common values, so they can be referenced and changed easily.
ext_if="em0"                                            # The external interface
int_if="em1"                                            # The internal interface
external_addr="192.168.42.5"                            # Your public IP address
internal_net="192.168.69.0/24"                          # Your internal subnet
# Translation: specify how addresses are to be mapped or redirected.
# nat: packets going out through $ext_if with source address $internal_net will
# get translated as coming from the address of $ext_if, a state is created for
# such packets, and incoming packets will be redirected to the internal address.
nat on $ext_if from $internal_net to any -> ($ext_if)
# rdr: packets coming in on $ext_if with destination $external_addr:1234 will
# be redirected to 10.1.1.1:5678. A state is created for such packets, and
# outgoing packets will be translated as coming from the external address.
rdr on $ext_if proto tcp from any to $external_addr/32 port 80 -> 192.168.69.11 port 8080
rdr on $ext_if proto tcp from any to $external_addr/32 port 443 -> 192.168.69.11 port 8443
# Make sure we don't block any traffic
pass in all
pass out all
[/code]
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 4:18:40

ну и что там реализовывать? обычный нат
ты для начала сделай kldload pf.ko
поверь будет ли оно работать так как тебе надо
а потом уже будешь думать как переводить

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 5:02:25

дело в том что нат не работает почему-то, я фаервол открыл и написал

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

-redirect_address 192.168.1.231 10.7.0.100

Код: Выделить всё

#!/bin/sh
flush 

add 100 check-state
#add divert 8668 ip from 192.168.1.231 to any in via rl0
#add divert natd all from any to any in via rl0
add allow  ip from any to any
не работает


одну строку сложно подсказать?

Код: Выделить всё

nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip
я так понимаю что нужно маршрутизацию написать если обычный НАТ делать? в клетке роута не работает!
и в любом случае pf не хотелось бы использовать...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 5:40:14

точно не работает c pf тоже
paradox писал(а):сделай kldload pf.ko
этого точно достаточно?

Код: Выделить всё

 # pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 6:06:45

что то я никак не пойму что увас так не получаеться


Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 6:22:55

посмотри там я написал
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 6:53:26

да ты много всего написал
но нормального вопроса ты так четко и не сформулировал...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 6:54:36

если в клетке стоит айпи локальный (в алиасе локальный, не из той сети в которой айпи на интерфейсе), то как настроить НАТ чтобы сеть была из клетки?
я пробовал много чего

Код: Выделить всё

ifconfig_rl0="inet 10.8.0.100"
ifconfig_rl0_alias0="inet 192.168.1.231"
там я написал что айпи 10.8.0.100 из клетки пингуется, но в интернет не выходит, при обычном нате нужно маршрут написать, праивльно? но там говорят что в клетке маршрту не прописывается!!
может я что-то прогнал, но я не вижу, может НАТ между алиасом нельзя настроить? вообще-то в гугле тот пример на pf много кто использует

раньше я ставил в алиас айпи именно рельный - сеть была
Последний раз редактировалось ProFTP 2009-07-25 7:00:59, всего редактировалось 2 раза.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 6:58:13

запусти tcpdump на хост машине на интерфейсе что смотрит в нет и через который стоит дефолт шлюз

а в джаиле сделай пинг инет адресса

и смотри что видно в tcpdump по поводу твоего джаил пинга

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 7:03:10

я не нашел как посмотреть в tcpdump только icmp? а то сейчас трафика валит дофига, там не видно никакого пинга

http://www.google.com.ua/search?hl=uk&q ... 0%BA&meta=
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 7:08:26

хе
ты не нашол
а я не помню
но знаю что в man tcpdump есть

и фаеры в джаиле повырубай и все что ты там начудил

нат работает на хост машине для того что бы натит то что выходид с джаила
и роутиться все тоже на хост машине

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 7:20:34

сори, прогнал tcpdump -i rl0 proto ICMP -nnn


но он сейчас пишет такую хрень :)

Код: Выделить всё

 tcpdump -n -i rl0
tcpdump: (cannot open device) /dev/bpf: No such file or directory
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 7:24:52

tcpdump: (cannot open device) /dev/bpf: No such file or directory
это на ХОСТ машине???
тогда переставляй бсд
и все настраивай наженерике
нефиг оптимизациями занимататься если незнаеш что они делают

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 7:31:59

тая видел его, случайно закоментировал

Код: Выделить всё

#device bpf # Berkeley packet filter
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pf -> ipfw

Непрочитанное сообщение paradox » 2009-07-25 7:45:01

а где гарантия что ты еще там чего то случайно не закомментировал?м
ставь женерик

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: pf -> ipfw

Непрочитанное сообщение ProFTP » 2009-07-25 8:23:00

bpf может влиять на НАТ? он оне работает все из-за bpf?

ядро я соберу, я фаервол открыл, в клетке его нету, tcpdump врядли что-то новое покажет...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение