PPP NAT и IPFW

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

PPP NAT и IPFW

Непрочитанное сообщение BAV_Lug » 2007-02-09 11:49:57

Поставил сервак с модемом на филиале. Настроил там сквид, статистику и т.д. Все ок. Но тут, одному из начальников тама, приспичило получать почту со своих ящиков на бесплатных серваках, не через веб интерфейс, а через клиента.
Подумал. Варианта два - либо настраивать проброс портов, либо поднимать NAT.
Решил остановиться на втором.
PPP там настроен пользовательского уровня. Почитал маны, по идее все просто. Нужно добавить ключик -nat при запуске ppp.
А вот c ipfw понятно не очень. Делал так.

Код: Выделить всё

LanOut="tun0" #Интерфейс который поднимает модем
.....
ipfw add divert natd ip from 192.168.1.111 25,110 to any out via ${LanOut}
ipfw add divert natd ip from any to me in via ${LanOut}
.....
Но получилось, что все пакеты (которые приходят на tun0) просто застревают на втором правиле и усе.
Как разрулить это?

ЗЫ 192.168.1.111 это айпишник начальника

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-09 12:23:31

Что за PPP подключение? Модем? PPPoE?

Скорее всего просто нужно разрешить:
allow tcp from НАЧАЛЬНИК to any 25,110 setup
allow tcp from any 25,110 to НАЧАЛЬНИК established
Типа того.

P.S. 80% вероятность что NATD не нужен вовсе.
:-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2007-02-09 12:43:59

dikens3 писал(а):Что за PPP подключение? Модем? PPPoE?

Скорее всего просто нужно разрешить:
allow tcp from НАЧАЛЬНИК to any 25,110 setup
allow tcp from any 25,110 to НАЧАЛЬНИК established
Типа того.

P.S. 80% вероятность что NATD не нужен вовсе.
:-)
Обычный модем (для телефонной линии).
А че это за параметр такой "setup" ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-09 12:54:17

Ктобы написал статейку по настройке обычного модема под фрю...
просто ни разу не сталкивался...
Убей их всех! Бог потом рассортирует...

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2007-02-09 13:04:11

lissyara писал(а):Ктобы написал статейку по настройке обычного модема под фрю...
просто ни разу не сталкивался...
Зачем? Открываешь хендбук и делаешь как там написано. Один в один. На самом деле там все очень просто.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-09 13:24:28

Код: Выделить всё

# Уже установленные соединения с почтовиками пропускаем.
allow tcp from НАЧАЛЬНИК to any 25,110 established
# Обратные пакеты тоже пускаем.
allow tcp from any 25,110 to НАЧАЛЬНИК established
# Разрешаем начальнику устанавливать связь с почтовиками.
allow tcp from НАЧАЛЬНИК to any 25,110 setup
# Фиксируем в лог и убиваем.
deny log tcp from НАЧАЛЬНИК to any
Так можно сделать.
setup, это флаг возможности установить соединение. В данном случае с почтовиками для принятия и отправки почты. Можно ещё и IP-Адреса вписать.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2007-02-09 14:31:20

dikens3 писал(а):

Код: Выделить всё

# Уже установленные соединения с почтовиками пропускаем.
allow tcp from НАЧАЛЬНИК to any 25,110 established
# Обратные пакеты тоже пускаем.
allow tcp from any 25,110 to НАЧАЛЬНИК established
# Разрешаем начальнику устанавливать связь с почтовиками.
allow tcp from НАЧАЛЬНИК to any 25,110 setup
# Фиксируем в лог и убиваем.
deny log tcp from НАЧАЛЬНИК to any
Так можно сделать.
setup, это флаг возможности установить соединение. В данном случае с почтовиками для принятия и отправки почты. Можно ещё и IP-Адреса вписать.
Красиво конечно, но только на первый взгляд. А потом я задумался зачем я нат вообще использую, если все так просто. Но, ведь, при такой схеме получается, что начальник, имея серый адрес, посылает пакет на белый адрес напрямую. Как потом сервак (в данном случае почтовый) ему ответит? Да, никак. Не будет так работать, даже в теории.

Какие будут еще соображения, по поставленной задаче?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-09 14:42:50

Мне вот Proxy-man поверил на слово, и причём сделал без разлагольствований и теорий. Всё у него заработало.
Попробуй, потом скажешь результат. Запусти TCPDUMP на внешнем и посмотри с какими IP-Адресами выходят пакеты.

Я делал на основе PPPoE и всё замечательно работает.

P.S. Выпусти хоть ОДИН пакет через PPP интерфейс с исходным IP 192.168.x.x. и т.п. сетей.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2007-02-09 15:00:17

dikens3 писал(а):Мне вот Proxy-man поверил на слово, и причём сделал без разлагольствований и теорий. Всё у него заработало.
Попробуй, потом скажешь результат. Запусти TCPDUMP на внешнем и посмотри с какими IP-Адресами выходят пакеты.

Я делал на основе PPPoE и всё замечательно работает.

P.S. Выпусти хоть ОДИН пакет через PPP интерфейс с исходным IP 192.168.x.x. и т.п. сетей.
Ну попробовал :) Не выходит - пакет уходит, но ответа нет :(
ЗЫ Теория только подтверждается

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-02-09 15:29:40

http://forum.lissyara.su/viewtopic.php?t=1856
Здесь посмотри. Так есть пример с нат.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.