Проблемы с NATD+ipfw FreeBSD 5.3

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
mglushak
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-26 10:34:28

Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение mglushak » 2008-01-26 11:16:48

Помогите разобраться:
Что необходимо
1. Пакеты с внутреннего адреса 192.168.0.132 проходили напрямую в нет без ограничений
Что сделано:
1. Пересборка ядра с включением функций NATD
options IPFIREWALL
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options DUMMYNET
options HZ=1000
2. В rc.conf добавлено
gateway_enable="YES"
ifconfig_em0="inet 192.168.0.200 netmask 255.255.255.0"
ifconfig_em1="inet ххх.ххх.ххх.ххх netmask ххх.ххх.ххх.ххх"
natd_enable="YES"
natd_flags="-n em1 -p 8668 -f /etc/natd.conf"
sysctl net.inet.ip.forwarding=1
firewall_enable="YES"
firewall_script="/root/ipfw_conf"
firewall_logging="YES"
3. natd.conf
log yes
same_ports yes
use_sockets yes
4. ipfw
Внутренний ин-фейс em0
Внешний ин-фейс em1
ххх.ххх.ххх.ххх внешний адрес
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 10.0.0.0/8 to any via em1
00500 deny log ip from 172.16.0.0/12 to any via em1
00600 divert 8668 ip from 192.168.0.132 to any via em1
00700 allow ip from any to 192.168.0.132 in via em1

00800 deny log ip from 192.168.0.0/16 to any via em1
00900 deny log ip from 0.0.0.0/8 to any via em1
01000 deny log ip from 169.254.0.0/16 to any via em1
01100 deny log ip from 192.0.2.0/24 to any via em1
01200 deny log ip from 198.18.0.0/15 to any via em1
01300 deny log ip from 224.0.0.0/4 to any via em1
01400 deny log ip from 240.0.0.0/4 to any via em1
01500 deny log ip from any to any out recv em0 xmit em1
01600 allow ip from any to any via em0
01700 check-state
01800 allow tcp from any to any out via em1 setup keep-state
01900 allow ip from any to any frag
02000 allow tcp from 192.168.0.133 to 192.168.0.200 dst-port 80 in via em0
02100 deny tcp from 192.168.0.0/24 to 192.168.0.200 dst-port 80 in via em0
02800 allow tcp from any to ххх.ххх.ххх.ххх dst-port 25 in via em1
02900 allow tcp from any to (dns prov) dst-port 53 out via em1 setup keep-state
03000 allow udp from (dns prov) 53 to ххх.ххх.ххх.ххх in via em1
03100 unreach port udp from any to ххх.ххх.ххх.ххх dst-port 33435-33524 in via em1
03200 allow icmp from any to any in via em1 icmptypes 0,3,4,8,11
03300 allow ip from ххх.ххх.ххх.108/30 to any out via em1
03400 deny log ip from any to 255.255.255.255
03500 deny log ip from any to any
65535 deny ip from any to any
=================================================
Проблема в том что с 192.168.0.132 уходят но не возвращаются соответственно 192.168.0.132 никуда непущает
=========================================================
Помогите разобраться а то уже бошка разваливается

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение schizoid » 2008-01-26 13:15:03

фаер скорее всего режет. логи смотри
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
mglushak
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-26 10:34:28

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение mglushak » 2008-01-26 14:53:23

Я прекрасно понимаю что гдето режет , но если бы кто-то тыкнул где........

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение schizoid » 2008-01-26 17:15:30

сделай

Код: Выделить всё

#ipfw resetlog
tail -f /var/log/security
и смотри что режет
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение dikens3 » 2008-01-26 21:33:21

Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)
options IPFILTER
options IPFILTER_LOG
Это не нужно для работы IPFW. Хотя и мешать не должно бы.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mglushak
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-26 10:34:28

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение mglushak » 2008-01-26 23:14:30

dikens3 писал(а):Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)
options IPFILTER
options IPFILTER_LOG
Это не нужно для работы IPFW. Хотя и мешать не должно бы.
============================================================================================
нет один второй типа ип филтра молчит

harmless
лейтенант
Сообщения: 675
Зарегистрирован: 2007-08-23 10:56:51
Откуда: Украина, г. Киев, г. Белая Церковь
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение harmless » 2008-01-26 23:39:23

Код: Выделить всё

00600 divert 8668 ip from 192.168.0.132 to any via em1
а преобразовка ната назад??????

Код: Выделить всё

divert 8668 ip from  any to ххх.ххх.ххх.ххх in via em1
и тут ошибка

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение dikens3 » 2008-01-27 10:36:09

Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mglushak
рядовой
Сообщения: 12
Зарегистрирован: 2008-01-26 10:34:28

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение mglushak » 2008-01-28 11:32:07

harmless писал(а):

Код: Выделить всё

00600 divert 8668 ip from 192.168.0.132 to any via em1
а преобразовка ната назад??????

Код: Выделить всё

divert 8668 ip from  any to ххх.ххх.ххх.ххх in via em1
и тут ошибка

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1
===========================================================================
те необходимо добавить правило типа

Код: Выделить всё

divert 8668 ip from  192.168.0.132 to ххх.ххх.ххх.ххх in via em1
и удалить 700 правило

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Непрочитанное сообщение dikens3 » 2008-01-28 14:59:43

Код: Выделить всё

600 divert 8668 ip from any to any via em1
Так попробуй. а 700 удали
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.