помогите с NAT

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 13:08:30

вообщем такая ситуация до этого сколько раз натсраивал все было в порядке а тут не хочет он работать и все система FreeBSD 7.0?

Код: Выделить всё

/etc/rc.conf

defaultrouter="212.112.xx.yy"
gateway_enable="YES"
#локаль
hostname="super"
#локал
ifconfig_rl0="inet 192.168.0.171  netmask 255.255.255.0"
#внешка
ifconfig_rl1="inet 212.112.xx.zz netmask 255.255.255.224"

natd_enable="YES"
natd_interface="rl1"
natd_flags="
"

Код: Выделить всё

/etc/natd.cf
se_sockets             yes
deny_incoming           no
same_ports              yes
verbose                 no
log                     no
port                    8668
alias_address           212.112.xx.zz
в правила фаерволла добавляю следующее

Код: Выделить всё

ipfw add 10 divert 8668 ip from 192.168.0.0/24 to any out xmit rl1
ipfw add 11 divert 8668 ip from any to 212.112.xx.zz in recv rl1

Код: Выделить всё

ps aux | grep natd
root       645  0.0  0.1  3372  1220  ??  Is   Sat10AM   0:03.56 /sbin/natd -n rl1
root     49592  0.0  0.1  1660   920  p1  D+    4:08PM   0:00.00 grep natd
при этом почему то такие сообщения валяться

Код: Выделить всё

Aug 21 16:05:49 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 21 16:07:57 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 21 16:14:56 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: помогите с NAT

Непрочитанное сообщение hizel » 2009-08-21 14:24:14

у вас обе сетевые карты ни в один сегмент засунуты случаем?
при таких параметрах в /etc/rc.conf natd.cf не используется natd-ом
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:14:47

нет не в один , внешнии интерфеис , сетевои кабель воткнут напрямую в модем, а локальный в хаб (точка доступа WIFI)

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение serge » 2009-08-21 15:16:56

Может этот 192.168.0.8 комп в 2-х сетях сразу?

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:24:18

serge писал(а):Может этот 192.168.0.8 комп в 2-х сетях сразу?
если б он один был , сообщения такие о каждои машине в локалке ,
физически провода куда надо воткнуты , с модема провод напрямую в сетевуху на фрюхе , и с локальнои сетевои провод воткнут в точку доступа , компы в сети по ваи фаи уже в сеть объединенны

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: помогите с NAT

Непрочитанное сообщение hizel » 2009-08-21 15:26:49

но это не нат, это лаер два и питля
у вас в мопеде антенка не торчит? ^_^
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:28:05

в мопеде :ROFL: , нет не торчит ничаво есть только две сетвые карточки куда чаво смотрит писал

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение serge » 2009-08-21 15:39:33

Вобщем еще раз все проверяйте. Не просто так же в логи такое лезет. :unknown:

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:43:03

serge писал(а):Вобщем еще раз все проверяйте. Не просто так же в логи такое лезет. :unknown:
уж и не наю что еще можно проверить , третии день бьюсь с этим натом , блин
ну сами то настроики правила и прочее верны ?

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: помогите с NAT

Непрочитанное сообщение hizel » 2009-08-21 15:44:08

Код: Выделить всё

tcpdump -i rl1 -npe 

повтыкайте ;)
Последний раз редактировалось hizel 2009-08-21 15:44:42, всего редактировалось 2 раза.
Причина: лучше rl1
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:49:17

кстати о tcpdump делал на внутреннем интерфеисы пакеты видно что идут а вот делал tcpdump -i rl1 host 192.168.0.8 полная тишина при этом счетчики фаерволла увеличиваются ну всмысле на тех правилах которые про диверт


Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 15:55:49

Код: Выделить всё

# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0e:2e:33:df:36
        inet 192.168.0.171 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:19:66:06:r4:5r
        inet 212.112.xx.zz netmask 0xffffffe0 broadcast 212.112.xx.cc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000


Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-21 16:02:55

Код: Выделить всё

2# netstat -ar
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            212-112-xx-yy.akn UGS         0  2952930    rl1
10.1.10.32         10.1.10.31         UH          1        0   tun0
localhost          localhost          UH          0      306    lo0
192.168.0.0        link#1             UC          0        0    rl0
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1      124    rl0
192.168.25.0       10.1.10.32         UGS         0     2870   tun0
212.112.xx.yc/27  link#2             UC          0        0    rl1
212-112-xx-yy.akn 00:07:e9:17:f7:71  UHLW        2        0    rl1    859

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UHL         lo0
fe80::%lo0         fe80::1%lo0        U           lo0
fe80::1%lo0        link#4             UHL         lo0
ff01:4::           fe80::1%lo0        UC          lo0
ff02::%lo0         fe80::1%lo0        UC          lo0

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 4:43:26

ужель никто не знает

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: помогите с NAT

Непрочитанное сообщение snorlov » 2009-08-24 10:47:24

Запрети файрволом внутреннюю сетку на внешнем интерфейсе...

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 10:54:44

snorlov писал(а):Запрети файрволом внутреннюю сетку на внешнем интерфейсе...
оппа а это как , если не сложно
тип такого добавить ?

Код: Выделить всё

deny all from 192.168.0.0/24 to any via rl1
deny all from all to 192.168.0.0/24 via rl1

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: помогите с NAT

Непрочитанное сообщение snorlov » 2009-08-24 11:02:44

Посмотри стандартный rc.firewall, там предлагается гробить на внешнем интерфейсе все приватные сети, а не только 192.168.0.0...

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 11:14:34

оно ?

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: помогите с NAT

Непрочитанное сообщение snorlov » 2009-08-24 11:32:34

KaiF писал(а):оно ?

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
И оно и не оно, в том смысле, что данное правило всегда должно быть,
посмотри там пониже еще кажется 3-и правила есть , касаемые сеток 10. , 172. ну и 192.

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 11:37:17

не знаю я дабавил , добавил их в самом начале

Код: Выделить всё

deny ip from 192.168.0.0/24 to any via rl1
 deny ip from any to 192.168.0.0/24 via rl
1
это теперь получается надо до этих правил засунуть ?

Код: Выделить всё

skipto 50000 ip from 192.168.0.0/24 to any out via rl1 keep-state
да и не смотря мои правила , все равно лезет эта фигня

Код: Выделить всё

Aug 24 14:39:21 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 12:13:17

при всем этом , а в messages ошибки

Код: Выделить всё

 arp -a
? (192.168.0.3) at 00:19:7e:9b:43:b0 on rl0 [ethernet]
? (192.168.0.4) at 00:1c:26:6b:72:e3 on rl0 [ethernet]
? (192.168.0.8) at 00:15:af:ae:3d:0a on rl0 [ethernet]
? (192.168.0.99) at 00:24:8c:98:df:a8 on rl0 [ethernet]

Код: Выделить всё

Aug 24 14:59:34 192 kernel: arp: 192.168.0.4 is on rl0 but got reply from 00:16:ec:79:cf:3a on rl1
Aug 24 15:00:34 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 24 15:01:59 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 24 15:06:02 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Аватара пользователя
KaiF
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-12-17 8:40:31
Откуда: Кыргызстан
Контактная информация:

Re: помогите с NAT

Непрочитанное сообщение KaiF » 2009-08-24 12:45:34

народ а не может ли это быть проблемои со стороны проваидера ?

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: помогите с NAT

Непрочитанное сообщение snorlov » 2009-08-24 13:22:22

KaiF писал(а):народ а не может ли это быть проблемои со стороны проваидера ?
Конечно может, в канале и не такое может быть, я к примеру после подключения видел в канале и протокол ipx/spx, пришлось бодаться с провайдером. Ты посмотри какие mac адреса у твоих 192.168.0.8, если они не совпадают, то точно идет грязь извне
В принципе у тебя должно быть
1. правило разрешающие хождения к localhost
2.правило разрешающее хождение пакетов с адресов локальной сетке на внутреннем интерфейсе

Код: Выделить всё

${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} in via ${iif}
3.правило рубящее пакеты адресов локальной сетке на внешнем интерфейсе

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}