forum.lissyara.su

Перегреется танк, заведу звездолёт...
https://forum.lissyara.su/

natd+ipfw

https://forum.lissyara.su/viewtopic.php?f=3&t=25129

Страница 1 из 1

natd+ipfw

Добавлено: 2010-03-26 22:30:16
ski
Что-то я в какой-то странной растерянности от непонятного поведения софта.
Значится, была у меня freebsd 7.2 release. В ней крутились natd и ipfw. Все работало (конфиги ниже), люди из внутренней сети ходили в интернет через нат, все были довольны. Недавно обновился до 7.3-prerelease. Что имеем теперь:

Код: Выделить всё

$ uname -a
FreeBSD unlim1.mlcom.pvt 7.3-PRERELEASE FreeBSD 7.3-PRERELEASE #0: Wed Mar 10 16:29:53 VOLT 2010     root@unlim1.mlcom.pvt:/usr/obj/usr/src/sys/GENERIC  amd64
кусок из rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="em1"
natd_flags="-f /etc/natd.conf"
В natd.conf только редирект адресов.

Конфиг ядра идентичен таковому в предыдущей версии системы. В ядре ipfw не вкомпилен, загружался модулями. Собственно, и продолжает. Но: вот ipfw.list c 7.2:

Код: Выделить всё

$ sudo ipfw list
00010 count ip from any to any in via em1
00011 count ip from any to any out via em1
00012 count ip from any to any in via em0
00013 count ip from any to any out via em0
00030 deny ip from 10.0.0.0/8 to any out via em1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
05000 divert 8668 ip from any to any via em1
65000 allow ip from any to any
65535 deny ip from any to any
После апгрейда системы строка №05000 не появляется, соответственно, трафик на нат не заворачивается, трансляции адресов нет, интернета нет, все злые и неприветливые.
Это что было, а? Я, конечно, ручками строчку дописал и все заработало, но зело непонятно мне это. IPFW в ядро вкомпилять? Или где еще руки править?

Re: natd+ipfw

Добавлено: 2010-03-26 22:34:29
hizel
слушайте больше советчиков обновлятся до STABLE, чо :-)

http://forum.lissyara.su/viewtopic.php? ... td#p229924

Re: natd+ipfw

Добавлено: 2010-03-26 22:39:39
terminus
переползай на кернел нат - нуего этот натд. ;-)
для кернел ната не надо пересобирать ядро - так же модулем можно запускать.

Код: Выделить всё

firewall_nat_enable="YES"

Re: natd+ipfw

Добавлено: 2010-03-26 22:42:27
ski
hizel писал(а):слушайте больше советчиков обновлятся до STABLE, чо :-)

http://forum.lissyara.su/viewtopic.php? ... td#p229924
Блин, а я жыж подписан на stable, как это я просмотрел такую штуку-то, а?
Говорила мне мама в децтве:"Работает, не трожь". Почему я не слушался мудрую женщину?

/пошел жечь хлам на пепел, чтобы сыпать на пустую голову.

Re: natd+ipfw

Добавлено: 2010-03-26 22:43:29
ski
terminus писал(а):переползай на кернел нат - нуего этот натд. ;-)
для кернел ната не надо пересобирать ядро - так же модулем можно запускать.

Код: Выделить всё

firewall_nat_enable="YES"
Я сейчас уже не вспомню, почему 3 года назад было мной принято решение использовать natd вместо kernel_nat. Кажися, он gre не пропускает, или что-то еще нужное мне не умеет.

Re: natd+ipfw

Добавлено: 2010-03-26 22:45:42
terminus
ski писал(а):Я сейчас уже не вспомню, почему 3 года назад было принято использовать natd вместо kernel_nat. Кажися, он gre не пропускает, или что-то еще нужное мне не умеет.
Умеет он теперь и gre и еще кучу всего:

Код: Выделить всё

alias_cuseeme.ko
alias_ftp.ko
alias_irc.ko
alias_nbt.ko
alias_pptp.ko
alias_skinny.ko
alias_smedia.ko
Вон у хизеля спроси как там все теперь отлично работает.
Он вот перешел на кернел нат, и ходит теперь всем рассказывает как все стало здорово. Видишь какое у него теперь довольное лицо на аватарке :]

Re: natd+ipfw

Добавлено: 2010-03-26 22:54:08
hizel
я вот смотрю сейчас на тот свой наброс в stable@ и нипупа не могу понять как такой заголовок мог написать:
ipfw & natd with recent MFC of firewall_coscripts functionality
пъяный был, штоле :-\

Re: natd+ipfw

Добавлено: 2010-03-26 22:55:47
ski
terminus писал(а): Вон у хизеля спроси как там все теперь отлично работает.
Он вот перешел на кернел нат, и ходит теперь всем рассказывает как все стало здорово. Видишь какое у него теперь довольное лицо на аватарке :]
У него все время лицо довольное, походу, вообще человек позитивный :)
Пойду читать щаз про kernel_nat, авось и у меня такое лицо станет. Он, говорят, и процессор грузит менгьше, чем natd. Правда, эта проблема вообще пока не стоит, но, мало ли.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/