forum.lissyara.su

Добавлено: **2009-07-25 3:55:35**

lan_if="em0"
lan_if_subnet="10.0.0.0/8"
lan_if_ip="10.28.11.10"
jail_vps_server_ip="202.54.2.3"
nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

ради интереса, как подобное реализовать на ipfw или на natd ?

ни кто не шарит вообще, не хочется на pf переходить...

вот еще похожее

Код: Выделить всё

[code]# Macros: define common values, so they can be referenced and changed easily.
ext_if="em0"                                            # The external interface
int_if="em1"                                            # The internal interface
external_addr="192.168.42.5"                            # Your public IP address
internal_net="192.168.69.0/24"                          # Your internal subnet
# Translation: specify how addresses are to be mapped or redirected.
# nat: packets going out through $ext_if with source address $internal_net will
# get translated as coming from the address of $ext_if, a state is created for
# such packets, and incoming packets will be redirected to the internal address.
nat on $ext_if from $internal_net to any -> ($ext_if)
# rdr: packets coming in on $ext_if with destination $external_addr:1234 will
# be redirected to 10.1.1.1:5678. A state is created for such packets, and
# outgoing packets will be translated as coming from the external address.
rdr on $ext_if proto tcp from any to $external_addr/32 port 80 -> 192.168.69.11 port 8080
rdr on $ext_if proto tcp from any to $external_addr/32 port 443 -> 192.168.69.11 port 8443
# Make sure we don't block any traffic
pass in all
pass out all

[/code]

Добавлено: **2009-07-25 4:18:40**

ну и что там реализовывать? обычный нат
ты для начала сделай kldload pf.ko
поверь будет ли оно работать так как тебе надо
а потом уже будешь думать как переводить

Добавлено: **2009-07-25 5:02:25**

дело в том что нат не работает почему-то, я фаервол открыл и написал

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

-redirect_address 192.168.1.231 10.7.0.100

Код: Выделить всё

#!/bin/sh
flush 

add 100 check-state
#add divert 8668 ip from 192.168.1.231 to any in via rl0
#add divert natd all from any to any in via rl0
add allow  ip from any to any

не работает

одну строку сложно подсказать?

Код: Выделить всё

nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

я так понимаю что нужно маршрутизацию написать если обычный НАТ делать? в клетке роута не работает!
и в любом случае pf не хотелось бы использовать...

Добавлено: **2009-07-25 5:40:14**

точно не работает c pf тоже

paradox писал(а):сделай kldload pf.ko

этого точно достаточно?

Код: Выделить всё

 # pfctl -e
No ALTQ support in kernel
ALTQ related functions disabled
pfctl: pf already enabled

Добавлено: **2009-07-25 6:06:45**

что то я никак не пойму что увас так не получаеться

Добавлено: **2009-07-25 6:13:55**

http://forums.freebsd.org/showthread.ph ... #post33676

http://forum.lissyara.su/viewtopic.php?f=8&t=19174
http://forum.lissyara.su/viewtopic.php?f=8&t=19178

Добавлено: **2009-07-25 6:22:55**

посмотри там я написал

Добавлено: **2009-07-25 6:53:26**

да ты много всего написал
но нормального вопроса ты так четко и не сформулировал...

Добавлено: **2009-07-25 6:54:36**

если в клетке стоит айпи локальный (в алиасе локальный, не из той сети в которой айпи на интерфейсе), то как настроить НАТ чтобы сеть была из клетки?
я пробовал много чего

Код: Выделить всё

ifconfig_rl0="inet 10.8.0.100"
ifconfig_rl0_alias0="inet 192.168.1.231"

там я написал что айпи 10.8.0.100 из клетки пингуется, но в интернет не выходит, при обычном нате нужно маршрут написать, праивльно? но там говорят что в клетке маршрту не прописывается!!
может я что-то прогнал, но я не вижу, может НАТ между алиасом нельзя настроить? вообще-то в гугле тот пример на pf много кто использует

раньше я ставил в алиас айпи именно рельный - сеть была

Добавлено: **2009-07-25 6:58:13**

запусти tcpdump на хост машине на интерфейсе что смотрит в нет и через который стоит дефолт шлюз

а в джаиле сделай пинг инет адресса

и смотри что видно в tcpdump по поводу твоего джаил пинга

Добавлено: **2009-07-25 7:03:10**

я не нашел как посмотреть в tcpdump только icmp? а то сейчас трафика валит дофига, там не видно никакого пинга

http://www.google.com.ua/search?hl=uk&q ... 0%BA&meta=

Добавлено: **2009-07-25 7:08:26**

хе
ты не нашол
а я не помню
но знаю что в man tcpdump есть

и фаеры в джаиле повырубай и все что ты там начудил

нат работает на хост машине для того что бы натит то что выходид с джаила
и роутиться все тоже на хост машине

Добавлено: **2009-07-25 7:20:34**

сори, прогнал tcpdump -i rl0 proto ICMP -nnn

но он сейчас пишет такую хрень

Код: Выделить всё

 tcpdump -n -i rl0
tcpdump: (cannot open device) /dev/bpf: No such file or directory

Добавлено: **2009-07-25 7:24:52**

tcpdump: (cannot open device) /dev/bpf: No such file or directory

это на ХОСТ машине???
тогда переставляй бсд
и все настраивай наженерике
нефиг оптимизациями занимататься если незнаеш что они делают

Добавлено: **2009-07-25 7:31:59**

тая видел его, случайно закоментировал

Код: Выделить всё

#device bpf # Berkeley packet filter

Добавлено: **2009-07-25 7:45:01**

а где гарантия что ты еще там чего то случайно не закомментировал?м
ставь женерик

Добавлено: **2009-07-25 8:23:00**

bpf может влиять на НАТ? он оне работает все из-за bpf?

ядро я соберу, я фаервол открыл, в клетке его нету, tcpdump врядли что-то новое покажет...

forum.lissyara.su

pf -> ipfw

pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw

Re: pf -> ipfw