Не сбить нас с верного пути, нам по фигу куда идти
https://forum.lissyara.su/
блин точно. я их делал чтобы перекрыть 10130 и 10131 и не подумал что они могут перекрыть нат.terminus писал(а):эти не нужны. с ними ответный трафик не доходит до ната.Код: Выделить всё
add 01075 allow ip from any to 10.0.2.16 in recv em0 add 01076 allow ip from any to 10.0.3.16 in recv em1
Это помогло?
Не надо перекрывать. Из интернета не могут приходить "правельные" пакеты на внешний интерфейс якобы от внутренней сети. С 10130 и 10131 все будет работать.я их делал чтобы перекрыть 10130 и 10131
Да, я понимаю, но у меня не прямое подключение к интернету, а через nat virtualbox'a, и он по dhcp выдает ip в диапазоне 10.0.0.0/16terminus писал(а): Не надо перекрывать. Из интернета не могут приходить "правельные" пакеты на внешний интерфейс якобы от внутренней сети. С 10130 и 10131 все будет работать.
Код: Выделить всё
setfib 1 route delete default
setfib 1 route add default ${setfib1_defaultroute}
один раз при старте системы. или вручную потом.в какой момент времени и как часто запускается скрипт setfib1?
если рукми его не выполнять, то до следующей перезагрузки.то не будет ли скрипт setfib1 затирать результат выполнения моего скрипта?
Код: Выделить всё
#!/bin/sh
gw1=10.0.2.2
gw2=10.0.3.2
h1=77.88.21.3 #ya.ru
h2=93.158.134.11 #ya.ru
h3=74.125.43.147 #google.com
h4=74.125.43.99 #google.com
ping -q -c 1 $h1 > /dev/null 2>&1
ph1=$?
ping -q -c 1 $h2 > /dev/null 2>&1
ph2=$?
pgw1=`expr $ph1 '*' $ph2`
ping -q -c 1 $h3 > /dev/null 2>&1
ph3=$?
ping -q -c 1 $h4 > /dev/null 2>&1
ph4=$?
pgw2=`expr $ph3 '*' $ph4`
lg(){
echo `date` \|$ph1 $ph2 $ph3 $ph4\| $1 >> /var/log/gwchecker.log
}
case $pgw1 in
0) if [ -f /tmp/gw1.na ]; then
( route change default $gw1 && rm /tmp/gw1.na && lg 'gw1 is up now. change fib0 to gw1') || lg '!!! gw1 restore failed'
fi
case $pgw2 in
0) if [ -f /tmp/gw2.na ]; then
( setfib 1 route delete default && setfib 1 route add default $gw2 && rm /tmp/gw2.na && lg 'gw2 is up now. change fib1 to gw2') || lg '!!! gw2 restore failed'
else lg OK #delete this line for decrease log size
fi
;;
*) if [ ! -f /tmp/gw2.na ]; then
( setfib 1 route delete default && setfib 1 route add default $gw1 && touch /tmp/gw2.na && lg 'gw2 is down. change fib1 to gw1') || lg '!!! change fib1 to gw1 failed'
else lg 'gw2 still NA'
fi
;;
esac;;
*) if [ ! -f /tmp/gw1.na ]; then
touch /tmp/gw1.na
fi
case $pgw2 in
0) if [ -f /tmp/gw2.na ]; then
( setfib 1 route delete default && setfib 1 route add default $gw2 && rm /tmp/gw2.na ) || lg '!!! change fib1 to gw2 failed'
lg 'gw2 is up now. change fib1 to gw2'
fi
if [ -f /tmp/gw1.na ]; then
route change default $gw2 || lg '!!! change fib0 to gw2 failed'
lg 'change fib0 to gw2'
else
lg 'gw1 still NA'
fi
;;
*) if [ ! -f /tmp/gw2.na ]; then
touch /tmp/gw2.na
fi
lg 'gw1 and gw2 are still NA'
;;
esac;;
esac
Код: Выделить всё
add 1040 setfib 0 ip from any to any via fxp0 keep-state
add 1050 allow ip from any to any via fxp0
add 1060 setfib 1 ip from any to any via fxp0 keep-state
add 1070 allow ip from any to any via fxp0
http://nuclight.livejournal.com/124348.htmlпочему keep-state стоит на правилах 1040 и 1060, а не на правилах 1050 и 1070?
Код: Выделить всё
|
v фрагмент ipfw_chk(): начало правила с keep-state
| ______________________
| | ТАБЛИЦА ДИНАМИЧЕСКИХ |
проверить таблицу (неявный check-state): <=======>| ПРАВИЛ |
есть ли соответствующее пакету правило? | (с таймером удаления |
| \ .-------->| для каждого правила) |
нет да-->--перейти к действию в / '----------------------'
| найденном "родительском" ^
v правиле и сбросить таймер |
| в таблице \ |
| \ |
правило N: пакет соответствует указанному | |
условию в статическом правиле номер N ? | указано keep-state:
| \ | создать в таблице
нет да-->----------------->--------|-------> новое динамическое
| | правило |
v v |
перейти к проверке следующего выполнить параметры <---'
по списку статического правила действия статического
| правила N (log, tag, ...)
v |
| выполнить действие, |
| указанное в статическом <-------'
| правиле N и обновить на
| правиле N счетчики
v
ну да, я просто имел ввиду что на правилах 1040 и 1060 keep-state делает именно этоterminus писал(а):он запоминает не таблицу маршрутизации, а действие родительского правила
да, я решил что стоит снова перечитать его статью о сложных случаях) статьи nuclight'а таковы, что лично я их не могу сразу усвоить всю ту информацию, которая в них преподносится, поэтому каждый раз читая их делаю для себя все новые и новые открытияterminus писал(а):Почитайте внимательно статью nuclight'а - много интересного для себя откроете.
uasash писал(а):перехожу на ядерный нат (пока не совсем проникся), може кто кинет сылку на пример проброски на внутрений фтп
Код: Выделить всё
ipfw nat 1 config log if em0 reset same_ports deny_in redirect_port tcp 192.168.1.2:21 21 а как же все остальное у меня это прописано...terminus писал(а):uasash писал(а):перехожу на ядерный нат (пока не совсем проникся), може кто кинет сылку на пример проброски на внутрений фтпredirect_port tcp 192.168.1.2:21 21Код: Выделить всё
ipfw nat 1 config log if em0 reset same_ports deny_in redirect_port tcp 192.168.1.2:21 21
192.168.1.2:21 - куда делаем мапинг
21 - какой внешний порт мапим
Код: Выделить всё
redirect_port tcp 192.168.1.205:21 21 \
redirect_port tcp 192.168.1.205:20 20 \
Код: Выделить всё
add allow ip from 127.0.0.0/8 to any
add allow ip from any to 127.0.0.0/8
add allow ip from any to any via sis0
nat 1 config log if ng0 same_ports reset deny_in
add nat 1 ip from any to any via ng0
add allow ip from any to any
add divert natd all from any to any via ng0 Код: Выделить всё
FwCMD="/sbin/ipfw"
IfExt="vr0"
IfInt="nfe0"
IpExt="212.12.111.115"
IpInt="10.10.10.76"
## Servers table ##
ipfw table 3 flush
ipfw table 3 add 10.10.10.1
ipfw table 3 add 10.10.10.2
ipfw table 3 add 10.10.10.65
ipfw table 3 add 10.10.10.101
ipfw table 3 add 10.10.10.76
ipfw table 3 add 10.10.10.78
ipfw table 3 add 10.10.10.113
ipfw table 3 add 10.10.10.100
ipfw table 3 add 10.10.10.119
Netmask="24"
Netmask1="30"
NetInt="10.10.10.0/24"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add 00600 allow all from any to any via nfe0
ipfw nat 1 config log if vr0 reset same_ports
ipfw add 02000 nat 1 all from "table(3)" to any via vr0
ipfw add 02100 allow all from "table(3)" to any via nfe0
ipfw add 02110 allow icmp from "table(3)" to any via nfe0
ipfw add 02120 allow icmp from "table(3)" to any via vr0
ipfw add 02200 nat 1 all from any to any via vr0
ipfw add 02300 allow icmp from any to any via vr0
ipfw add 02400 allow all from me to any via nfe0
Есть проблемное наследство от прошлого админа
Код: Выделить всё
FwCMD="/sbin/ipfw"
IfExt="vr0"
IfInt="nfe0"
IpExt="212.12.111.115"
IpInt="10.10.10.76"
Netmask="24"
Netmask1="30"
NetInt="10.10.10.0/24"
## Servers table ##
${FwCMD} table 3 flush
${FwCMD} table 3 add 10.10.10.1
${FwCMD} table 3 add 10.10.10.2
${FwCMD} table 3 add 10.10.10.65
${FwCMD} table 3 add 10.10.10.101
${FwCMD} table 3 add 10.10.10.76
${FwCMD} table 3 add 10.10.10.78
${FwCMD} table 3 add 10.10.10.113
${FwCMD} table 3 add 10.10.10.100
${FwCMD} table 3 add 10.10.10.119
${FwCMD} -f flush
${FwCMD} nat 1 config log if vr0 deny_in reset same_ports
${FwCMD} add 00600 allow all from ${NetInt} to me in recv nfe0
${FwCMD} add 00601 allow all from me to ${NetInt} out xmit nfe0
${FwCMD} add 00602 allow all from "table(3)" to any in recv nfe0
${FwCMD} add 00603 allow all from any to "table(3)" out xmit nfe0
${FwCMD} add 00604 deny all from any to any via nfe0
${FwCMD} add 00700 nat 1 all from any to any via vr0
${FwCMD} add 00800 allow all from any to any
netstat ошибок не показывет?Игорь писал(а):А да... сори, не убрал natd, вообще, ситуация как с natd так и с ipfw nat складываеться одинаковая! По этому и пробывал все.
Так же часть ресурсов не открывается и низкая скорость.
Код: Выделить всё
netstat -ibdnng это pptp\pppoe? тогда mtu\mss проблемаИгорь писал(а):А да... сори, не убрал natd, вообще, ситуация как с natd так и с ipfw nat складываеться одинаковая! По этому и пробывал все.
Так же часть ресурсов не открывается и низкая скорость.
Извиняюсь что не до конца уточнил,это шлюзовая машина раздающая инет. Мне нужно чтобы чтобы потребители не указанные в таблице получали инет только с прокси, мне не совсем понятно следующее:terminus писал(а):Есть проблемное наследство от прошлого админаКод: Выделить всё
FwCMD="/sbin/ipfw" IfExt="vr0" IfInt="nfe0" IpExt="212.12.111.115" IpInt="10.10.10.76" Netmask="24" Netmask1="30" NetInt="10.10.10.0/24" ## Servers table ## ${FwCMD} table 3 flush ${FwCMD} table 3 add 10.10.10.1 ${FwCMD} table 3 add 10.10.10.2 ${FwCMD} table 3 add 10.10.10.65 ${FwCMD} table 3 add 10.10.10.101 ${FwCMD} table 3 add 10.10.10.76 ${FwCMD} table 3 add 10.10.10.78 ${FwCMD} table 3 add 10.10.10.113 ${FwCMD} table 3 add 10.10.10.100 ${FwCMD} table 3 add 10.10.10.119 ${FwCMD} -f flush ${FwCMD} nat 1 config log if vr0 deny_in reset same_ports ${FwCMD} add 00600 allow all from ${NetInt} to me in recv nfe0 ${FwCMD} add 00601 allow all from me to ${NetInt} out xmit nfe0 ${FwCMD} add 00602 allow all from "table(3)" to any in recv nfe0 ${FwCMD} add 00603 allow all from any to "table(3)" out xmit nfe0 ${FwCMD} add 00604 deny all from any to any via nfe0 ${FwCMD} add 00700 nat 1 all from any to any via vr0 ${FwCMD} add 00800 allow all from any to any
Код: Выделить всё
${FwCMD} nat 1 config log if vr0 deny_in reset same_ports - Зачем запрещать вход пакетов на внешний интерфейс ?
${FwCMD} add 00600 allow all from ${NetInt} to me in recv nfe0
${FwCMD} add 00601 allow all from me to ${NetInt} out xmit nfe0
${FwCMD} add 00602 allow all from "table(3)" to any in recv nfe0
${FwCMD} add 00603 allow all from any to "table(3)" out xmit nfe0 Не до конца понятна логика этих правил хотя возможно я просто не правильно их трактую
Код: Выделить всё
${FwCMD} add 00800 allow all from any to any