Подробное руководство по ipfw nat

[terminus]

Мне нужно чтобы чтобы потребители не указанные в таблице получали инет только с прокси, мне не совсем понятно следующее:

Код: Выделить всё

${FwCMD} nat 1 config log if vr0 deny_in reset same_ports - Зачем запрещать вход пакетов на внешний интерфейс ?

Все входяшие извне соединения которые не фигирируют в таблице ната (не инициированы клиентами или не сделаны через redirect_port) отрубаются чтобы не мозолили глаза. Так "секюрней"...

Код: Выделить всё

${FwCMD} add 00600 allow all from ${NetInt} to me in recv nfe0
${FwCMD} add 00601 allow all from me to ${NetInt} out xmit nfe0

${FwCMD} add 00602 allow all from "table(3)" to any in recv nfe0
${FwCMD} add 00603 allow all from any to "table(3)" out xmit nfe0   Не до конца понятна логика этих правил хотя возможно я просто не правильно их трактую

Все соединения из локальной сети на IP самого рутера разрешены. Если адрес не из таблицы полезет в интернет (то есть не на IP рутера), то его зарежет 00604.

Все соединения от IP из таблицы разрешены куда угодно (и на сам рутер, и в интернет).

И почему последнее правило

Код: Выделить всё

${FwCMD} add 00800 allow all from any to any

В FreeBSD 8.1 поломали sysctl one_pass, поэтому для того чтобы трафик после ната уходил в интернет надо такую фигню ставить. Так как нат запущен с deny_in то из интернета ничего лишнего не прилетит.

Мне нужно чтобы чтобы потребители не указанные в таблице получали инет только с прокси

Это будет работать.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[SOBAN]

После рестарта машины скорость нормализовалась вроде, но только я это почуствовал качая с tracker'a. То есть там почти до полной дожимает как и была. Но вот с http:// все равно низкая скорость загрузки и не открывание сайтов, так же при открытии большинства, очень долго ищет страничку типа...

У netstat вообще все хорошо!

Код: Выделить всё

# netstat -ibdn
Name    Mtu Network       Address              Ipkts Ierrs     Ibytes    Opkts Oerrs     Obytes  Coll Drop
sis0   1500 <Link#1>      00:16:e6:d5:96:a2   125058     0   79128968   105214     0   76511242     0    0
sis0   1500 10.86.232.0/2 10.86.232.10         73448     -   62441682    44651     -   16303659     -    -
lo0   16384 <Link#2>                               0     0          0        0     0          0     0    0
lo0   16384 127.0.0.0/8   127.0.0.1                0     -          0        0     -          0     -    -
ng0    1460 <Link#3>                           69137     0   59321513    42770     0   14425440     0    0
ng0    1460 93.81.242.17 93.81.242.17          153     -      11957      133     -      10628     -    -

VPN подключение к провайдеру по mpd5 протокол l2tp.

Поднял весь софт который стоял на предыдущем шлюзе, сменил железо на более современное, софт поставил тот же, только версия FreeBSD не 8.0, а

Код: Выделить всё

FreeBSD xsj.ru 7.3-RELEASE FreeBSD 7.3-RELEASE #0: Thu Oct  7 16:41:58 MSD 2010     root@xsj.ru:/usr/obj/usr/src/sys/Kernell_ipfw_apache22.2010-07-10.1  i386

[SOBAN]

Решил трабл, дело было не в софте и не в железе... прямота рук дала о себе знать!
Подконектился к провайдеру по pptp, все отлично стало работать... не каких трблов с трафиком. Спасибо hizel, если бы не он, не полез бы в конфиг ковыряться.
В mpd5 накосячил в конфиге с l2tp, не знаю где, надо покопать...

terminus и hizel спасибо за поддержку в бою!

[Gamerman]

Обновлял систему недавно и зметил такую неприятную вещь:

Код: Выделить всё

# ./ipfw restart
net.inet.ip.fw.enable: 1 -> 0
kldload: can't load ipfw_nat: File exists
./ipfw: WARNING: Unable to load kernel module ipfw_nat

Загружаю вручную, все работает.

Код: Выделить всё

# kldload ./ipfw_nat.ko
# ./ipfw restart
net.inet.ip.fw.enable: 0 -> 0
Flush: not found
ipfw nat 1 config if re0 same_ports
Firewall rules loaded.
net.inet.ip.fw.enable: 0 -> 1

Код: Выделить всё

# uname -a
FreeBSD ***.org.ua 8.1-STABLE FreeBSD 8.1-STABLE #2: Mon Oct 11 19:59:26 EEST 2010     root@***.org.ua:/usr/obj/usr/src/sys/KERNELGAMER81  i386

Код: Выделить всё

# cat loader.conf
##nvidia_load="YES"
ipfw_nat_load="YES"
##dummynet_load="YES"
##snd_hda_load="YES"
ext2fs_load="YES"
linux_load="YES"
accf_http_load="YES"
##dahdi_load="YES"
##dahdi_dummy_load="YES"

[Gamerman]

И такое обнаружил еще

Код: Выделить всё

# dmesg -a | grep ipfw
ipfw2 (+ipv6) initialized, divert enabled, nat loadable, rule-based forwarding disabled, default to accept, logging disabled
interface ipfw.2 already present in the KLD 'kernel'!
can't load ipfw_nat
/etc/rc: WARNING: Unable to load kernel module ipfw_nat
interface ipfw.2 already present in the KLD 'kernel'!
interface ipfw.2 already present in the KLD 'kernel'!
ipfw2 (+ipv6) initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to accept, logging disabled
interface ipfw.2 already present in the KLD 'kernel'!
can't load ipfw_nat
/etc/rc: WARNING: Unable to load kernel module ipfw_nat
ipfw2 (+ipv6) initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to accept, logging disabled
interface ipfw.2 already present in the KLD 'kernel'!
can't load ipfw_nat
/etc/rc: WARNING: Unable to load kernel module ipfw_nat
module ipfw already present!
ipfw2 (+ipv6) initialized, divert enabled, nat loadable, rule-based forwarding enabled, default to accept, logging disabled
interface ipfw.2 already present in the KLD 'kernel'!
can't load ipfw_nat
/etc/rc: WARNING: Unable to load kernel module ipfw_nat
interface ipfw.2 already present in the KLD 'kernel'!

[Essential]

В FreeBSD 8.1 поломали sysctl one_pass, поэтому для того чтобы трафик после ната уходил в интернет надо такую фигню ставить. Так как нат запущен с deny_in то из интернета ничего лишнего не прилетит.

Укажите это в статье пожалуйста. Потратил кучу времени пока не заглянул на форум.

[Essential]

Да уж намутили они там в ipfw.....

Ядро не пересобирал. Правила ipfw:

Код: Выделить всё

01040 allow ip from any to any via em0
nat 1 config if em1 log deny_in same_ports reset
10130 nat 1 ip from any to any via em1
65535 deny ip from any to any

Само собой такое не работает из-за one_pass

Добавляю правила

Код: Выделить всё

65500 allow all from any to any

начинает работать. Выполняю команду netstat -r и kernel panic
Может если пересобрать ядро все будет ок? Счас все подгружал модулями.

[favt]

В FreeBSD 8.1 поломали sysctl one_pass, поэтому для того чтобы трафик после ната уходил в интернет надо такую фигню ставить. Так как нат запущен с deny_in то из интернета ничего лишнего не прилетит.

Укажите это в статье пожалуйста. Потратил кучу времени пока не заглянул на форум.

Присоединюсь к вопросу. Где такое указано?
П.С. и ведь сколько мозга поломал из-за этого.

[terminus]

Подпишу потом. Только они это вроде уже починили и в 8.2 исправят.
http://lists.freebsd.org/pipermail/free ... 04394.html

[Essential]

Пересобрал ядро (есть подозрения на ipv6). Кернел паник пропали.

[Gamerman]

Пересобрал ядро (есть подозрения на ipv6). Кернел паник пропали.

ipfw_nat как стартуете? Вернее модуль подключаете.

[Essential]

Пересобрал ядро (есть подозрения на ipv6). Кернел паник пропали.

ipfw_nat как стартуете? Вернее модуль подключаете.

Подключал /etc/rc.conf

Код: Выделить всё

firewall_nat_enable="YES"

[Gamerman]

В loader.conf ничего для этого не писали? В ядро опции хитрые для НАТа писали?

[favt]

Подпишу потом. Только они это вроде уже починили и в 8.2 исправят.
http://lists.freebsd.org/pipermail/free ... 04394.html

Ну и глупый вопрос: если я у себя поправлю как по ссылке ip_fw_pfil.c и пересоберу ядро, это поможет?

[Essential]

В loader.conf ничего для этого не писали? В ядро опции хитрые для НАТа писали?

нет. кроме one_pass ничего не менялось.

[ktulkhu]

Подскажите, если не сложно, не могу победить, как настроить nat так, чтобы трафик, который приходит самому серверу, от имени которого происходит nat проходил к нему прозрачно?
Почему-то если я не указываю в конфигурации nat'a параметр deny_in, у меня, тем не менее, входящий трафик куда-то деется.

Что я имею в виду:
Есть внутренняя подсеть, внешний мир и сам сервер. Через сервер пробую настроить NAT для внутренней подсети. Сам нат чудесно работает, внутренняя подсеть видит внешний мир, но сам сервер внешнего мира не видит. Потому что весь входящий через внешний интерфейс трафик забегает в нат, и там гибнет по непонятной мне причине, если он адресован самому серверу. Например dns-запросы от сервера. Или пинги.
Вот моя конфигурация:

if_as="внешний интерфейс"
if_local="внутренний интерфейс"
local="192.168.1.0/24"

$ipfw -f flush

$ipfw add allow ip from any to any via lo


### NAT rules
$ipfw nat 1 config log ip $ip_as reset same_ports

$ipfw add nat 1 ip from 192.168.1.0/24 to any out via $if_as
$ipfw add nat 1 ip from any to $ip_as in via $if_as

### established connects allow
$ipfw add allow tcp from any to any established

### dns enable
$ipfw add allow udp from me to any 53
$ipfw add allow udp from any 53 to me

### allow me to any
$ipfw add allow ip from me to any

## allow icmp
$ipfw add allow icmp from any to any icmptypes 0,8,11

## allow localnet
$ipfw add allow ip from $local to any in via $if_local
$ipfw add allow ip from any to $local out via $if_local


При этом
fw# sysctl -a | grep net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1


Если я правильно понимаю механизм, то должно происходить следующее:
Исходящий трафик от локальной подсети пронатится, исходящий трафик от самого сервера пройдет без изменений.
Входящий трафик от всего на свете адресованный внешнему ip-aдресу будет в любом случае заворачиваться в nat, где, не найдя соответствия в таблицах nat'a трафик должен передаться самому серверу, так как опция deny_in отключена.
На внешнем интерфейсе трафик по 53-му порту присутствует как исходящий так и входящий. Но вот самому серверу он не передается почему-то. В чем моя ошибка?

[terminus]

Сетевуха интеловская em?
поставьте в rc.conf в ее настройках -rxcsum -txcsum

Код: Выделить всё

ifconfig_em0="inet 1.2.3.4 netmask 255.255.255.0 -rxcsum -txcsum"

[Гость]

Сетевуха интеловская em?
поставьте в rc.conf в ее настройках -rxcsum -txcsum

Код: Выделить всё

ifconfig_em0="inet 1.2.3.4 netmask 255.255.255.0 -rxcsum -txcsum"

Да, интеловская, как узнали?
Спасибо, попробую.
А можно поподробней, или ссылку, где почитать? Или хотя бы в кратце, куда копнуть, что это такое и почему?
Всмысле, почему проблема такая, и почему с интеловской сетевухой, и почему решается этими ключами?
С фрихой только начинаю разбираться, через это такие вопросы.

Я тут на сайте уже после своего вопроса нашел похожую проблему. Решилась эта проблема ребутом. У меня тоже решилась, но на мой взгляд это как-то не совсем правильно, чтобы настройки ната применять ребутом, а не перезагрузкой файерволла.. Тем более, когда натов может быть несколько.

[terminus]

Это интеловский проприетарный драйвер фигню какую-то делает. С другими сетевухами для ната выключать чексумы не надо.

На счнт перезагрузки - можно пытаться убивать экземпляр ната через

Код: Выделить всё

ipfw nat 1 delete

а потом создавать заново. Это уже нат глючит - им тоже в последнее время мало кто из разработчиков занимается

[Essential]

Это интеловский проприетарный драйвер фигню какую-то делает. С другими сетевухами для ната выключать чексумы не надо.

На счнт перезагрузки - можно пытаться убивать экземпляр ната через

Код: Выделить всё

ipfw nat 1 delete

а потом создавать заново. Это уже нат глючит - им тоже в последнее время мало кто из разработчиков занимается

а чем занимаются??? По моему нат это одна из нужных функциий. Вряху на шлюзы ставят.

сорри за оффтоп, но был в шоке от бага в релизе 8.1 one_pass. Я думал меня начального пользователя врядли когда-то коснуцца такие баги. Элементарное то должно работать как часики, а вообще обидно за фряху. Сейчас линуксы в интернете начинают рулить. Ставят уже убунту, центоси и прочее...

[Essential]

Тоесть либо натится все либо ничего, не понимаю почему не натится только таблица 3?

потому что у вас нету обратного ната....

nat 1 ip from table(3) to any via ExtIF
nat 1 ip from any to ExtIP via ExtIF

Ваша таблица натицца а вот ответ не натицца. Когда приходит ответ то у него адрес из интернета, но в правила указано натить только таблицу 3.

[Гость]

а чем занимаются??? По моему нат это одна из нужных функциий. Вряху на шлюзы ставят.

сорри за оффтоп, но был в шоке от бага в релизе 8.1 one_pass. Я думал меня начального пользователя врядли когда-то коснуцца такие баги. Элементарное то должно работать как часики, а вообще обидно за фряху. Сейчас линуксы в интернете начинают рулить. Ставят уже убунту, центоси и прочее...

А что за баг с one_pass? Где посмотреть? В чем выражается?

[mr.yaky]

А что за баг с one_pass? Где посмотреть? В чем выражается?

несколько страниц назад об этом говорилось что там именно не работает!
http://forum.lissyara.su/viewtopic.php? ... ss#p258675

Кстати вопрос к terminus, как к сведущему в этой проблеме:

Стоит FreeBSD 8.1 , хочу настраивать динамический шейпер с приоритетами (IPFW - Dummynet - weight)
переменная net.inet.ip.fw.one_pass в моем положении будет вести себя также - то есть я не смогу выставить нужное мне значение?
Видел похожий баг касательно netgraph -- http://www.mail-archive.com/freebsd-bug ... 02125.html
так там уже есть патч для решения.
Если есть та же проблема с Dummynet , то есть ли уже лекарство от этого?
Обстоят ли так же дела в ветке 8.1-STABLE как с RELEASE?



мо

[tired]

относительно one_pass по ссылке данной выше написано как исправить его во freebsd 8.1
в файле /usr/src/sys/netinet/ipfw/ip_fw_pfil.c найдите строчку case IP_FW_NAT: и добавте после неё

Код: Выделить всё

 		if (V_fw_one_pass)
 			break;
 		goto again;

получится должно примерно так

Код: Выделить всё

	  case IP_FW_NAT:
 		if (V_fw_one_pass)
 			break;
 		goto again;
 
  	case IP_FW_REASS:
  		goto again;		/* continue with packet */

Затем пересоберите ядро после чего one_pass работает как положено.

Собственно у меня по этой теме вопрос, можно сделать так чтобы пакеты для которых есть запись в нат уходили в него, а для которых записи нет возвращались из ната назад в файерволл?

[Гость]

Собственно у меня по этой теме вопрос, можно сделать так чтобы пакеты для которых есть запись в нат уходили в него, а для которых записи нет возвращались из ната назад в файерволл?

так ведь сейчас так и работает?
если есть соответствие в таблице ната, то преобразуется согласно таблице, если нету то возвращается обратно в файрволл, если не стоит deny_in, или что вы имеете в виду?