Подробное руководство по ipfw nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
FilosofBeer
ефрейтор
Сообщения: 53
Зарегистрирован: 2009-10-22 21:41:46

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение FilosofBeer » 2009-10-23 6:33:18

С МАС'ами решил пока не заморачиваться. Поработаем так, посмотрим что получиться.
А из рабочего примера мне кажется не весь трафик проходит, или в ответ не проходит, я не знаю, но пример такой, на майле.ру не воспроизводятся видеоклипы. Не заходит Гарена, и ещё АСЮ не проверял. надо проверить, Маил Агента нет пока возможности проверить, его у меня нету.

P.S. Странно, а сегодня поставил рабочий вариант, и все работает, и видео показывает. Только вот Гарена не подключается, ошибка: Connection to server failed. Это она хочет обновить клиента. АСЯ работает, а все остальное пока не проверялось. Вечером провериться на юзверах.
Самое странно, это то что Скайп работает практически всегда.
А когда делаю так:

Код: Выделить всё

/usr/home/fill/>/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Line 1: setsockopt(IP_FW_TABLE_ADD): File exists
Firewall rules loaded.
net.inet.ip.fw.enable: 0
То на этом месте все останавливается. Это я делаю удаленно, может из=за этого ттак получается, приходиться ребут всегда делать.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение Гость » 2009-10-23 7:17:07

ТАк, контрольная проверка показа что все вроде работет ))) Я рад. Вечером буду запускать юзверов.
Только вот когда Гарена хочет обновиться, то пишет ошибку сервера, а рабочая Гарена работает в норме.
Так что надо немного покапаться в связях наверно, что то не пропускается или обрубается может на входе.

FilosofBeer
ефрейтор
Сообщения: 53
Зарегистрирован: 2009-10-22 21:41:46

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение FilosofBeer » 2009-10-23 10:30:53

Предыдущий пост мой )
А видео на страничках показывает рывками и с заиканиями. Это из=за pipe ??
(((
И ещё радио он-лайн не работает.
А ещё пользователи жалуются что на МАил.ру в Мой мир заходит, а письма не открывает. У меня нет возможности проверить самому, т.к. нет мира на майле. ((
А можно в конфиге ната убрать редирект: redirect_port tcp 192.168.1.3:6881 6881 redirect_port udp 192.168.1.3:4444 4444 ???
А мне можно в мой рабочий пример добавить к pipe : queue 60 gred 0.002/10/30/0.1 ???

А ещё у меня вот (мне что то кажется что это как то не так работает) :

Код: Выделить всё

/usr/home/fill/>ps auxw | grep unbound
unbound   642  0.0  2.9 20708  7228  ??  Is    8:07AM   0:00.16 /usr/local/sbin/unbound
/usr/home/fill/>netstat -an | grep *.53
grep: No match.
/usr/home/fill/>netstat -an | grep *.953
grep: No match.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-10-24 19:42:12

Что-то как-то много проблем для одного раза :pardon:
А видео на страничках показывает рывками и с заиканиями. Это из=за pipe ??
Ну уберите пайпы - попробуйте без них. А что же вы хотели, если условие было ограничить юзеров в 16Kbit/s или сколько там?
Какой у вас канал в интернет по скорости?
А можно в конфиге ната убрать редирект: redirect_port tcp 192.168.1.3:6881 6881 redirect_port udp 192.168.1.3:4444 4444 ???
Ну так если у вас нет необходимости делать форвардинг портов то уберайте. Это же просто пример был...
А мне можно в мой рабочий пример добавить к pipe : queue 60 gred 0.002/10/30/0.1 ???
Все зависит от скорости подключения - если канал очень маленький, то эти настройки надо подгонять.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Гость
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение Гость » 2009-10-24 21:58:21

Канал у Юзверов получается в 20 Кб. Видео подгружается и потом просматривается, а тут получается всё сразу, и поэтому я думаю проигрывается рывками и с заиканиями.
Значит канал получается маленький, и как подогнать настройки queue 60 gred 0.002/10/30/0.1 под канал 20 кб ?? Или эти настройки для общего канала ???
А как насчёт ДНС'a, мне кажетя что он немного неправельно работает.

FilosofBeer
ефрейтор
Сообщения: 53
Зарегистрирован: 2009-10-22 21:41:46

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение FilosofBeer » 2009-10-24 22:21:16

Выше пост мой )))
Осталось ДНС настроить поуму и настройки queue 60 gred 0.002/10/30/0.1 под канал 20 кб подобрать.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-10-25 17:25:45

Какая общая скорость у интернетовского подключения?
Какую скорость собираетесь давать юзерам?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

FilosofBeer
ефрейтор
Сообщения: 53
Зарегистрирован: 2009-10-22 21:41:46

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение FilosofBeer » 2009-10-25 19:44:09

terminus писал(а):Какая общая скорость у интернетовского подключения?
Какую скорость собираетесь давать юзерам?
2 Мбит. У Юзверов будет по 20 Кбайт.

bwdude
рядовой
Сообщения: 14
Зарегистрирован: 2009-09-01 11:19:26
Откуда: Москва
Контактная информация:

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение bwdude » 2009-10-27 13:55:28

bwdude писал(а):уже спрашивал, но не нашел ответа. Никак не получается.
есть шлюз:
10.0.0.1 - внутренний адрес;
1.2.3.4 - внешний адрес;
10.0.0.202 - адрес сервера который нужно открыть по порту 5222 (Jabber)
делаю следующее:
${FwCMD} nat 123 config redirect_port tcp 10.0.0.202:5222 1.2.3.4:5222
${FwCMD} add nat 123 log ip from any to 1.2.3.4 5222
${FwCMD} add nat 123 log tcp from 10.0.0.202 5222,5223 to any

При доступе к этой системе из интернет всё работает. А вот не работает в случае доступа из локальной сети к адресу 1.2.3.4
т.е. на ноуте (10.0.0.20) настроен Jabber клиент на адрес 1.2.3.4
Снаружи работает, а изнутри приходится адрес сервера менять на 10.0.0.202
Это частный случай. Jabber это не единственное что должно работать таким образом.
tcpdump при доступе из локалки выдает лишь как пакет с компа приходит на шлюз, а со шлюза на комп и так три раза.
Так вот как бы так сделать чтобы ip адрес в клиенте менять не приходилось.
Заранее огромное спасибо за варианты.
я победил-таки эту систему. получилось

jetiten
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-10-16 13:15:41

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение jetiten » 2009-10-28 13:20:58

Код: Выделить всё

sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 1
uname -a
FreeBSD srv.gsp.local 7.2-RELEASE-p4 FreeBSD 7.2-RELEASE-p4 #2: Thu Oct 15 03:17:17 MSD 2009     root@srv.gsp.local:/usr/obj/usr/src/sys/main_kernell.2009-15-09  i386

Код: Выделить всё

fw="/sbin/ipfw  "
ext_if="fxp0"
ext_ip="x.x.x.x"
int_if="sk0"
int_ip="10.0.0.1"
inf_net="10.0.0.0/24"
win_serv="10.0.0.5"

${fw} -f flush
${fw} add allow ip from any to any via lo0
${fw} add allow ip from any to any 3784
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
${fw} nat 1 config log if ${ext_if} reset same_ports redirect_port tcp ${win_serv}:3784 3784 
${fw} add nat 1 ip from any to any via ${ext_if}
${fw} add fwd 127.0.0.1,3128 tcp from ${inf_net} to any 80 via ${int_if}
${fw} add allow ip from any to any via ${int_if}
${fw} add deny ip from any to any

Код: Выделить всё

nmap -P0 -sT -p 3784 x.x.x.x
Starting Nmap 5.00 ( http://nmap.org ) at 2009-10-28 04:28 MSK
Interesting ports on x.x.x.x:
PORT     STATE  SERVICE
3784/tcp closed unknown
Вот начинаю с простейшего. 3784 - voip ventrilo сервачек на вин32 маншинке в локалке.
Никак не пойму в чем дело( подскажите пожалста в чем может быть проблема...

bwdude
рядовой
Сообщения: 14
Зарегистрирован: 2009-09-01 11:19:26
Откуда: Москва
Контактная информация:

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение bwdude » 2009-10-28 14:56:50

jetiten писал(а):

Код: Выделить всё

sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 1
uname -a
FreeBSD srv.gsp.local 7.2-RELEASE-p4 FreeBSD 7.2-RELEASE-p4 #2: Thu Oct 15 03:17:17 MSD 2009     root@srv.gsp.local:/usr/obj/usr/src/sys/main_kernell.2009-15-09  i386

Код: Выделить всё

fw="/sbin/ipfw  "
ext_if="fxp0"
ext_ip="x.x.x.x"
int_if="sk0"
int_ip="10.0.0.1"
inf_net="10.0.0.0/24"
win_serv="10.0.0.5"

${fw} -f flush
${fw} add allow ip from any to any via lo0
${fw} add allow ip from any to any 3784
${fw} add deny ip from any to 127.0.0.0/8
${fw} add deny ip from 127.0.0.0/8 to any
${fw} nat 1 config log if ${ext_if} reset same_ports redirect_port tcp ${win_serv}:3784 3784 
${fw} add nat 1 ip from any to any via ${ext_if}
${fw} add fwd 127.0.0.1,3128 tcp from ${inf_net} to any 80 via ${int_if}
${fw} add allow ip from any to any via ${int_if}
${fw} add deny ip from any to any

Код: Выделить всё

nmap -P0 -sT -p 3784 x.x.x.x
Starting Nmap 5.00 ( http://nmap.org ) at 2009-10-28 04:28 MSK
Interesting ports on x.x.x.x:
PORT     STATE  SERVICE
3784/tcp closed unknown
Вот начинаю с простейшего. 3784 - voip ventrilo сервачек на вин32 маншинке в локалке.
Никак не пойму в чем дело( подскажите пожалста в чем может быть проблема...
а ты откуда порты сканишь? с какой машины? снаружи?

я бы порты пробросил немного иначе:

Код: Выделить всё

fw="/sbin/ipfw  "
ext_if="fxp0"
ext_ip="x.x.x.x"
int_if="sk0"
int_ip="10.0.0.1"
inf_net="10.0.0.0/24"
win_serv="10.0.0.5"

${fw} -f flush
${fw} add allow ip from any to any via lo0
${fw} add allow ip from me to any via lo0

${fw} nat 1 config log if ${ext_if} reset same_ports redirect_port tcp ${win_serv}:3784 3784 #трансляция
${fw} add nat 1 ip from any to ${ext_ip} 3784	#отправляем в трансляцию то, что пришло на ext_ip 3784
${fw} add nat 1 tcp from ${win_serv} 3784 to any	#отправляем в расрансляцию то, что пришло с win_serv 3784

${fw} add fwd 127.0.0.1,3128 tcp from ${inf_net} to any 80 via ${int_if}
${fw} add allow ip from any to any via ${int_if}

jetiten
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-10-16 13:15:41

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение jetiten » 2009-10-29 17:57:13

пробывал и снаружи и изнутри, никаких телодвижений( решил вопрос через inetd+socket

Код: Выделить всё

cd /usr/ports/sysutils/socket/ && make && install && clean
echo 'redirt3784     3784/tcp' >> /etc/services
echo 'redir3784 stream tcp nowait root /usr/local/bin/socket socket ip 3784' >> /etc/inetd.conf
echo 'inetd_enable="YES"' >> /etc/rc.conf
/etc/rc.d/inetd start

wed
рядовой
Сообщения: 20
Зарегистрирован: 2007-10-26 8:26:08

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение wed » 2009-11-09 14:56:24

Snake писал(а):Попробую и так и так, позже отпишусь. Проблема в том, что падение скорости очень плохо отслеживается - например у кого-то вообще не реагирует на изменения на роутере (как не качалось так и не качается), кто-то вообще этих изменений не заметил (как все работало так и работает). Бывает что скорость начинает пропадать со временем. При этом на втором канале того же роутера вообще ничего подобного не наблюдается - интренет работает вполне нормально.
Примерно аналогичная ситуация, часто отваливается http, минут на 5-10, подвисает потом продолжает дальше работать.
Snake, удалось что нибудь раскопать по этому вопросу?

zam
проходил мимо

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение zam » 2009-11-28 18:31:33

Покдскажите плиз как лучше реализовать следующее, есть 2 провайдера, 1 локалка, надо что бы пользователи с локалки ходили на определенные ip адреса через одного провайдера, а на все остальные через другово.как это лучше реализовать, по правилам фаера все понятно, непонятно как лучше указать пользователем, через какой сетевой интерфейс им идти.Заранее спасибо!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-11-29 13:21:15

http://www.lissyara.su/?id=1967#example_4

Модифицируйте его - викинте все, что касается fxp1 (второго внутреннего интерфейса ктоторо у вас нет), а вместо

Код: Выделить всё

add 1050 setfib 1 ip from any to any in recv fxp1
пишите

Код: Выделить всё

add 1050 setfib 1 ip from table(1) to any in recv fxp0
Заполните table(1) ip адресами того кого надо слать через второй канал, и все.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vintovkin » 2009-11-30 15:40:16

вопрос про конфиг ipfw:
его чмодить или нет (если он не по дефолту лежит /etc/rc.firewall)?
JunOS kernel based on FreeBSD UNIX.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-11-30 15:45:15

файл /etc/firewall не исполняемый - схмод на 5 делать для него не надо.

Код: Выделить всё

firewall_type=/etc/firewall
это стандартный метод указать откуда ipfw будет брать правила.

Да, я не правлю rc.firewall потому, что считаю, что он системный и делать так - плохой стиль... но в этом есть и минус так как внутри /etc/firewall нельзя использовать переменные... В общем решайте сами каким способом вам лучше правила в ipfw закидывать.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vintovkin » 2009-11-30 16:05:23

terminus писал(а):файл /etc/firewall не исполняемый - схмод на 5 делать для него не надо.

Код: Выделить всё

firewall_type=/etc/firewall
это стандартный метод указать откуда ipfw будет брать правила.

Да, я не правлю rc.firewall потому, что считаю, что он системный и делать так - плохой стиль... но в этом есть и минус так как внутри /etc/firewall нельзя использовать переменные... В общем решайте сами каким способом вам лучше правила в ipfw закидывать.
правил собственно нет :smile: пермит айпи эни эни,

Код: Выделить всё

zabbix# cat /etc/rc.firewall
#!/bin/sh -
ipfw -q -f flush
ipfw -q add 200 allow ip from any to any via lo0
ipfw -q add 300 allow all from win to me via rl0
ipfw -q add 400 drop tcp from me to 213.172.16.20 80 out via rl0
#ipfw -q add 401 drop tcp from me to cisco 23 out via rl0
ipfw -q add 2000 allow ip from any to any in via rl0
ipfw -q add 3000 allow ip from any to any out via rl0
zabbix#
JunOS kernel based on FreeBSD UNIX.


Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-11-30 23:10:47

Нет толковых идей.

Получается, что надо добиться того, чтобы трафик генерируемый экземпляром sshd который обслуживает внешнее соединение от клиента, шел в интернет из-под 1.0.0.2. Как такое сделать? Единственное на основании чего можно разделить трафик самого сервера и трафик sshd пользователя - это uid пользователя. Я никогда не использовал uid так как помню, что с ними постоянно были какие-то проблемы (не работала толком эта функциональность в ipfw).

Хотите проверит, что получится?

em0 - интерфейс ssh сервера
1.0.0.1 - адрес для выхода в интернет всего серева
1.0.0.2 - адрес для выхода в интернет для клиента

Код: Выделить всё

ipfw add allow ip from any to any via lo0
ipfw add deny ip from any to 127.0.0.0/8
ipfw add deny ip from 127.0.0.0/8 to any

ipfw nat 1 config ip 1.0.0.1 deny_in same_ports redirect_port tcp 1.0.0.1:22 22
ipfw nat 2 config ip 1.0.0.2 deny_in same_ports redirect_port tcp 1.0.0.2:22 22

ipfw add nat 2 ip from any to any out xmit em0 uid sshuzername
ipfw add nat 1 ip from any to any out xmit em0

ipfw add nat 2 ip from any to 1.0.0.2 in recv em0
ipfw add nat 1 ip from any to 1.0.0.1 in recv em0
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение Div » 2009-12-01 9:09:41

Подскажите плиииз...

Прочитал этот пост, статьи на сайте, еще кое чего (маны и т.д.), но чет не получается...

Есть задача - пробросить udp/nat с локальной машины ( cisco vpn client) на внешнюю в инет.
Конфиги:
Ядро собрано как положено.

Код: Выделить всё

one_pass=1
настройка файрвола

Код: Выделить всё

fwcmd="/sbin/ipfw -q"
# set these to your outside interface network and netmask and ip
oif="xl1"
oip="1.2.3.4"
# set these to your inside interface network and netmask and ip
iif="xl2"
inet="192.168.2.0"
imask="255.255.255.0"
iip="192.168.2.252"
# set these to your inside admin network netmask and ip
iadmip="192.168.2.15"
#
${fwcmd} flush
#
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add deny  ip from any to 127.0.0.0/8
#
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
#
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 192.168.0.0:255.255.0.0 to any via ${oif}
${fwcmd} add deny all from any to 192.168.0.0:255.255.0.0 via ${oif}
${fwcmd} add deny all from 172.16.0.0:255.240.0.0 to any via ${oif}
${fwcmd} add deny all from any to 172.16.0.0:255.240.0.0 via ${oif}
${fwcmd} add deny all from 10.0.0.0:255.0.0.0 to any via ${oif}
${fwcmd} add deny all from any to 10.0.0.0:255.0.0.0 via ${oif}
#
# Deny, but no log  multicast traffic
#
${fwcmd} add deny all from any to 224.0.0.0:255.0.0.0 via ${iif}
${fwcmd} add deny all from any to 224.0.0.0:255.0.0.0 via ${oif}
#
# Allow TCP through if setup succeeded
${fwcmd} add allow tcp from any to any frag
${fwcmd} add allow tcp from any to any established
#
# Allow setup of any other TCP outgoing connection
${fwcmd} add allow tcp from ${oip} to any setup
# Allow access to WWW server
${fwcmd} add allow tcp from ${inet}:${imask} to ${iip} 80 setup
#
# Allow passw through SQUID proxy
${fwcmd} add allow tcp from ${inet}:${imask} to ${iip} 3128 setup
#
# for passive ftp connections
#
##${fwcmd} add allow tcp from any to any 40000-43999 setup
${fwcmd} add allow tcp from ${inet}:${imask} 40000-43999 to ${iip} setup
#
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup
${fwcmd} add deny log tcp from any to any in via ${iif} setup
#
#  Block any other connections
#
${fwcmd} add deny log tcp from any to any
#
#---------------------------------
#   UDP section
#---------------------------------
# Allow NAT udp out from adm mashine
${fwcmd} add allow log ip from any to any via ${iif}
${fwcmd} nat 10 config log if ${oif} reset same_ports deny_in redirect_port udp ${oip}:500 500
${fwcmd} add nat 10 log ip from any to any out xmit ${oif}
${fwcmd} add nat 10 log ip from any to any in recv ${oif}
#
# Deny broadcasts (don't log it!)
${fwcmd} add deny udp from any to 255.255.255.255
#
# Deny  and log other UDP packets
${fwcmd} add deny log udp from any to any

${fwcmd} add pass icmp from any to ${iip}
${fwcmd} add pass icmp from any to ${oip}
${fwcmd} add pass icmp from ${iip} to any
${fwcmd} add pass icmp from ${oip} to any

# Everything else is denied as default.
${fwcmd} add 65534 deny log ip from any to any
#
на xl2 отключен -rxcsum , а на xl1 не могу, так как он выдается по DHCP провайдером.
в rc.conf

Код: Выделить всё

gateway_enable="YES"
Стоит
Так вот при таком конфиге при запуске прибора с локальной машины в логах следующее

Код: Выделить всё

Dec  1 11:52:01 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 80.93.56.210:123 out via xl1
Dec  1 11:55:34 sterlet kernel: ipfw: 2600 Deny TCP 94.251.88.39:4543 94.251.116.107:445 in via xl1
Dec  1 11:55:38 sterlet kernel: ipfw: 2900 Accept UDP 192.168.2.15:1603 5.6.7.8:500 in via xl2
Dec  1 11:55:43 sterlet kernel: ipfw: 2900 Accept UDP 192.168.2.15:1603 5.6.7.8:500 in via xl2
Dec  1 11:55:48 sterlet kernel: ipfw: 2900 Accept UDP 192.168.2.15:1603 5.6.7.8:500 in via xl2
Dec  1 11:55:53 sterlet kernel: ipfw: 2900 Accept UDP 192.168.2.15:1603 5.6.7.8:500 in via xl2
Dec  1 11:56:19 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 80.93.56.210:123 out via xl1
Dec  1 11:56:31 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 83.229.137.52:123 out via xl1
Dec  1 11:56:43 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 207.46.232.182:123 out via xl1
Dec  1 11:57:03 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 193.125.143.173:123 out via xl1
Dec  1 11:57:14 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:123 77.234.200.98:123 out via xl1
Dec  1 11:57:22 sterlet kernel: ipfw: 2600 Deny TCP 94.19.4.213:1877 1.2.3.4:135 in via xl1
Dec  1 11:57:25 sterlet kernel: ipfw: 2600 Deny TCP 94.19.4.213:1877 1.2.3.4:135 in via xl1
Dec  1 11:57:44 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:65507 81.1.192.5:53 out via xl1
Dec  1 11:57:44 sterlet kernel: ipfw: 3000 Nat UDP 1.2.3.4:65507 81.1.192.5:53 out via xl1
На xl2 есть пакеты , а на xl1 есть все кроме нужных
Конфиги ната

Код: Выделить всё

sterlet# ipfw nat show
nat 10: icmp=0, udp=4, tcp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=4
sterlet#

Код: Выделить всё

sterlet# ipfw nat show config
ipfw nat 10 config if xl1 log deny_in same_ports reset redirect_port udp 1.2.3.4:500 500
sterlet#
Почему ничего нет касаемо 500 порта на xl1 и можно ли посмотреть как-то в логах более подробно прохождение пакетов по нату??? И можно ли отключить rxcsum на интерфейсе при выдаче ему всех сетевых реквизитов по DHCP?
С уважением Сергей

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-12-01 11:02:12

можно ли отключить rxcsum на интерфейсе при выдаче ему всех сетевых реквизитов по DHCP?
С уважением Сергей

Код: Выделить всё

ifconfig_xl1="DHCP -rxcsum"
---

по нату конкретнее опишите что и куда должно идти.
у вас сейчас сделана дырка для приема на внешем IP сервера UDP трафика на 500 порт идущего к самому серверу, а не на машину за ним или еще куда-то.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение Div » 2009-12-01 11:12:48

по нату конкретнее опишите что и куда должно идти.
у вас сейчас сделана дырка для приема на внешем IP сервера UDP трафика на 500 порт идущего к самому серверу, а не на машину за ним или еще куда-то.
а первое сенкс большой...
По второму...

Из локальной сети с локальной машины 192.168.2.15 (где стоит випин клиент) трафик должен выходить в инет на внешнюю машину через 192.168.2.252 (натится ч/з внешний интерфейс этой машины, как я понимаю)... Мне не нужно, чтобы шел трафик снаружи во внутрь... Тогда как прописать чтобы было изнутри наружу. Вроде я и интерфейсы менял местами (в конфиге ната), резалтс те же...
Если нужны еще какие-нибудь подробности - без проблем скажу...
С уважением Сергей

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение terminus » 2009-12-01 12:23:05

вам тогда вообще никаких настроек ната не надо делать. он должен работать на внешнем интерфейсе (как сейчас вроде правильно) и не надо redirect_port.

единственное если vpn pptp то надо еще запустить модуль libalias:

Код: Выделить всё

kldload alias_pptp.ko
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Подробное руководство по ipfw nat

Непрочитанное сообщение vintovkin » 2009-12-01 12:31:36

как логировать правила?

Код: Выделить всё

ipfw -q add 300 allow all from win to me via rl0
один раз попробовал - всё отвалилолсь нах :(
пришлось топать в сервачную прикручивать монитор и тд
JunOS kernel based on FreeBSD UNIX.