Помогите сделать гейт

[Fogel]

Не знаю, какими средствами воспользоваться, что бы реализовать следующую вещь:
Имеется локальная сеть с выходом в инет через виндовую проксю. В этой же локальной сети находится машина под FreeBSD, использующая тот же выход в инет, но без прокси. Цель - прописать на bsd машине гейт для одного из компьютеров, в настоящее время находящегося за прокси.

Боюсь, не совсем понятно объяснил

Сеть 192.168.0.x/24
Прокси 192.168.0.10 (под Win)
FreeBSD (7.2) 192.168.0.200 (одна сетевая, возможности установить вторую и прокладывать кабель, что бы юзать стандартную маршрутизацию нет)
WS 192.168.0.155 - рабочая станция под виндой, которой нужно предоставить выход в инет через машину с FreeBSD

Заранее благодарен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

на фре поднять НАТ и на виндовой машине сделать шлюз по-умолчанию фрю?

[Fogel]

Да, фрибсд должна быть шлюзом для виндовой машины. Как реализовать NAT с учетом того, что у меня один интерфейс, что использовать, примерные настройки?

[schizoid]

на вскидку
в /etc/ipnat.rules

Код: Выделить всё

map rl0 192.168.10.32/32 -> 0.0.0.0/32

где rl0 - интерфейс
192.168.10.32 - Ип, который нуно натить

ну и старт
в rc.conf

Код: Выделить всё

ipnat_enable="YES"
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.rules"
ipnat_flags="-v"

Код: Выделить всё

/etc/rc.d/ipnat start

но хз, заработает или нет

[GRooVE]

на мой взгляд, красивее, конечно, было бы сделать организовать дополнительный туннель компьютер<=>компьютер
ну а если... так... "по-быстрому", то тогда способом, который описал уважаемый schizoid постом ранее
от себя добавлю:
в случае использования ipfw_nat, правила будут иметь следующий вид, например:

Код: Выделить всё

intf="rl0"
ws="192.168.0.155"

ipfw nat 1 config if ${intf}
ipfw add nat 1 all from not ${ws} to any in via ${intf}
ipfw add nat 1 all from any to not ${ws} out via ${intf}
ipfw add allow all from ${ws} to any in via ${intf} keep-state
ipfw add allow all from me to any
ipfw add deny all from any to any

[Fogel]

schizoid
GRooVE
Спасибо. Завтра попробую и отпишусь.

[schizoid]

2 GRooVE, я в начале тоже думал написать, что можно ВПН-сервер поднять и т.д. и т.п., но ради одного хоста так замарачиваться ...

[GRooVE]

Согласен
Просто если чисто эстетически, то это равносильно, что есть и, звините за выражение, ср*ть через одно и то же место...
Хотя если никто никогда этого не увидит, то можно и так....

[Hunta]

у меня временно работает сл. схема, почему временно, в планах отказаться от виндового гейта, пока все это тестится.
win машина - прокся, с двумя сетевухами, одна смотрит в локалку, другая в adsl.
freebsd машина - сквид, самс, одна сетевуха.
Клиенты которых надо ограничивать по времени и трафику пускаю через freebsd, остальных через win гейт.
есть одна загвоздка, не могу понять как настроить NAT на freebsd с одной сетевухой. Надо чтоб клиенты ещё забирали почту, НО к примеру прописываем проксю (freebsd) в IE, то эти же настройки и оутлуке. как пробросить порты (25, 110) на Freebsd????
и ещё вопрос по правилам ipfw

Код: Выделить всё

ipfw nat 1 config if ${intf}
ipfw add nat 1 all from not ${ws} to any in via ${intf}
ipfw add nat 1 all from any to not ${ws} out via ${intf}

почему

Код: Выделить всё

add nat 1

, в некоторых руковдствах вижу

Код: Выделить всё

add natd

, NAT 1 или NATD это имя какой то переменной? Где она задается?
Понимаю схема перегружена и не блещет, но осталось вот решить проблему проброса портов и можно полностью переходить на проксю на freebsd

[GRooVE]

Так Вам nat нужен или прокси?

NAT 1 или NATD это имя какой то переменной? Где она задается?

Это один и тот же нат
Только ранее он работал как демон natd
А, начиная с 7-й FreeBSD, его можно вкомпилить в ядро таким образом:

Код: Выделить всё

options      IPFIREWALL_NAT

[Hunta]

Мне надо для вэба прокся, а для почты и ещё нескольких прог, пробрасывать порты.
Прокся работает, но вот с почтой косяк. Просто недопонимаю, прописываю в IE прокси (freebsd), и порт 3128, а аутлук же тоже долбится, я так понимаю на порт который прописан в IE. или нет? А там squid сидит
А я разве не могу использовать и прокси и нат?

[GRooVE]

Мне надо для вэба прокся, а для почты и ещё нескольких прог, пробрасывать порты.
Прокся работает, но вот с почтой косяк. Просто недопонимаю, прописываю в IE прокси (freebsd), и порт 3128, а аутлук же тоже долбится, я так понимаю на порт который прописан в IE. или нет? А там squid сидит
А я разве не могу использовать и прокси и нат?

Не совсем понял задачу
"Проброс портов" в Вашем понимании нат?
Объясните нормально, например:
веб через свкид
почта, ася и т.п. через нат
остальное блочить

[schizoid]

переползите в другую тему, ибо эта тема не об этом.

[Hunta]

Ткните пожалуйста в какую тему, переползем конечно.
web - squid
icq, smtp,pop3, эл.отчетность (бух) - через нат
ну да, я имею ввиду проброс портов это NAT, есть ещё варианты? буду благодарен за предложенные варианты....

[skeletor]

Проброс портов можно делать не только через NAT. Как пример redir.

[schizoid]

создаете новую тему и там обсуждаете проблему.
тут просто заведено: один вопрос - одна тема.
так что создавайте, я потом перенесу сообщения.

[Hunta]

все создал, переползаем на
http://forum.lissyara.su/viewtopic.php?f=8&t=22861

[Fogel]

Не получается что-то.

Код: Выделить всё

ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:80:48:1a:77:e4
        inet 192.168.0.200 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

/etc/ipnat.rules

Код: Выделить всё

intf="rl0"
ws="192.168.0.155"
map rl0 192.168.0.155/24 -> 0.0.0.0/24
ipfw nat 1 config if ${intf}
ipfw add nat 1 all from not ${ws} to any in via ${intf}
ipfw add nat 1 all from any to not ${ws} out via ${intf}
ipfw add allow all from ${ws} to any in via ${intf} keep-state
ipfw add allow all from me to any
ipfw add deny all from any to any

Код: Выделить всё

root .//etc >>/etc/rc.d/ipnat start
Installing NAT rules.
0 entries flushed from NAT table
0 entries flushed from NAT list
syntax error error at "ws", line 3

Пробовал закомментировать #ws и #map

Код: Выделить всё

root .//etc >>/etc/rc.d/ipnat start
Installing NAT rules.
0 entries flushed from NAT table
0 entries flushed from NAT list
syntax error error at "ipfw", line 6

что-то не установлено?

[GRooVE]

вы правила для ipfw загружаете в ipnat, а это два разных фаервола
для ipfw необходимо:
в ядро:

Код: Выделить всё

options      IPFIREWALL
options      IPFIREWALL_NAT

в rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/usr/local/etc/ipfw.sh"

Код: Выделить всё

# cat /usr/local/etc/ipfw.sh
fwcmd="/sbin/ipfw"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

intf="rl0"
ws="192.168.0.155/32"

${fwcmd} allow ip from any to any via lo0
${fwcmd} deny ip from any ot 127.0.0.0/8
${fwcmd} deny ip from 127.0.0.0/8 to any
${fwcmd} nat 1 config if ${intf}
${fwcmd} add nat 1 all from not ${ws} to any in via ${intf}
${fwcmd} add nat 1 all from any to not ${ws} out via ${intf}
${fwcmd} add allow all from ${ws} to any in via ${intf} keep-state
${fwcmd} add allow all from me to any
${fwcmd} add deny all from any to any

[Fogel]

Да, кажется, я данные опции при сборке ядра не включал.
Опять-таки, отпишусь завтра. Извините за задержку.