Проблемы с NATD+ipfw FreeBSD 5.3

mglushak

Помогите разобраться:
Что необходимо
1. Пакеты с внутреннего адреса 192.168.0.132 проходили напрямую в нет без ограничений
Что сделано:
1. Пересборка ядра с включением функций NATD
options IPFIREWALL
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options DUMMYNET
options HZ=1000
2. В rc.conf добавлено
gateway_enable="YES"
ifconfig_em0="inet 192.168.0.200 netmask 255.255.255.0"
ifconfig_em1="inet ххх.ххх.ххх.ххх netmask ххх.ххх.ххх.ххх"
natd_enable="YES"
natd_flags="-n em1 -p 8668 -f /etc/natd.conf"
sysctl net.inet.ip.forwarding=1
firewall_enable="YES"
firewall_script="/root/ipfw_conf"
firewall_logging="YES"
3. natd.conf
log yes
same_ports yes
use_sockets yes
4. ipfw
Внутренний ин-фейс em0
Внешний ин-фейс em1
ххх.ххх.ххх.ххх внешний адрес
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 10.0.0.0/8 to any via em1
00500 deny log ip from 172.16.0.0/12 to any via em1
00600 divert 8668 ip from 192.168.0.132 to any via em1
00700 allow ip from any to 192.168.0.132 in via em1
00800 deny log ip from 192.168.0.0/16 to any via em1
00900 deny log ip from 0.0.0.0/8 to any via em1
01000 deny log ip from 169.254.0.0/16 to any via em1
01100 deny log ip from 192.0.2.0/24 to any via em1
01200 deny log ip from 198.18.0.0/15 to any via em1
01300 deny log ip from 224.0.0.0/4 to any via em1
01400 deny log ip from 240.0.0.0/4 to any via em1
01500 deny log ip from any to any out recv em0 xmit em1
01600 allow ip from any to any via em0
01700 check-state
01800 allow tcp from any to any out via em1 setup keep-state
01900 allow ip from any to any frag
02000 allow tcp from 192.168.0.133 to 192.168.0.200 dst-port 80 in via em0
02100 deny tcp from 192.168.0.0/24 to 192.168.0.200 dst-port 80 in via em0
02800 allow tcp from any to ххх.ххх.ххх.ххх dst-port 25 in via em1
02900 allow tcp from any to (dns prov) dst-port 53 out via em1 setup keep-state
03000 allow udp from (dns prov) 53 to ххх.ххх.ххх.ххх in via em1
03100 unreach port udp from any to ххх.ххх.ххх.ххх dst-port 33435-33524 in via em1
03200 allow icmp from any to any in via em1 icmptypes 0,3,4,8,11
03300 allow ip from ххх.ххх.ххх.108/30 to any out via em1
03400 deny log ip from any to 255.255.255.255
03500 deny log ip from any to any
65535 deny ip from any to any
=================================================
Проблема в том что с 192.168.0.132 уходят но не возвращаются соответственно 192.168.0.132 никуда непущает
=========================================================
Помогите разобраться а то уже бошка разваливается

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

schizoid

фаер скорее всего режет. логи смотри

mglushak

Я прекрасно понимаю что гдето режет , но если бы кто-то тыкнул где........

schizoid

сделай

Код: Выделить всё

#ipfw resetlog
tail -f /var/log/security

и смотри что режет

dikens3 · Непрочитанное сообщение **dikens3** » 2008-01-26 21:33:21

Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)

options IPFILTER
options IPFILTER_LOG

Это не нужно для работы IPFW. Хотя и мешать не должно бы.

mglushak

dikens3 писал(а):Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)
options IPFILTER
options IPFILTER_LOG
Это не нужно для работы IPFW. Хотя и мешать не должно бы.

============================================================================================
нет один второй типа ип филтра молчит

harmless

Код: Выделить всё

00600 divert 8668 ip from 192.168.0.132 to any via em1

а преобразовка ната назад??????

Код: Выделить всё

divert 8668 ip from  any to ххх.ххх.ххх.ххх in via em1

и тут ошибка

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1

dikens3 · Непрочитанное сообщение **dikens3** » 2008-01-27 10:36:09

http://forum.lissyara.su/viewtopic.php?f=14&t=2432

mglushak

harmless писал(а):
Код: Выделить всё
00600 divert 8668 ip from 192.168.0.132 to any via em1
а преобразовка ната назад??????
Код: Выделить всё
divert 8668 ip from  any to ххх.ххх.ххх.ххх in via em1
и тут ошибка
Код: Выделить всё
00700 allow ip from any to 192.168.0.132 in via em1

===========================================================================
те необходимо добавить правило типа

Код: Выделить всё

divert 8668 ip from  192.168.0.132 to ххх.ххх.ххх.ххх in via em1

и удалить 700 правило

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1

dikens3 · Непрочитанное сообщение **dikens3** » 2008-01-28 14:59:43

Код: Выделить всё

600 divert 8668 ip from any to any via em1

Так попробуй. а 700 удали

forum.lissyara.su

Проблемы с NATD+ipfw FreeBSD 5.3

Проблемы с NATD+ipfw FreeBSD 5.3

Услуги хостинговой компании Host-Food.ru

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3

Re: Проблемы с NATD+ipfw FreeBSD 5.3