forum.lissyara.su

Добавлено: **2009-08-21 13:08:30**

вообщем такая ситуация до этого сколько раз натсраивал все было в порядке а тут не хочет он работать и все система FreeBSD 7.0?

Код: Выделить всё

/etc/rc.conf

defaultrouter="212.112.xx.yy"
gateway_enable="YES"
#локаль
hostname="super"
#локал
ifconfig_rl0="inet 192.168.0.171  netmask 255.255.255.0"
#внешка
ifconfig_rl1="inet 212.112.xx.zz netmask 255.255.255.224"

natd_enable="YES"
natd_interface="rl1"
natd_flags="

"

Код: Выделить всё

/etc/natd.cf
se_sockets             yes
deny_incoming           no
same_ports              yes
verbose                 no
log                     no
port                    8668
alias_address           212.112.xx.zz

в правила фаерволла добавляю следующее

Код: Выделить всё

ipfw add 10 divert 8668 ip from 192.168.0.0/24 to any out xmit rl1
ipfw add 11 divert 8668 ip from any to 212.112.xx.zz in recv rl1

Код: Выделить всё

ps aux | grep natd
root       645  0.0  0.1  3372  1220  ??  Is   Sat10AM   0:03.56 /sbin/natd -n rl1
root     49592  0.0  0.1  1660   920  p1  D+    4:08PM   0:00.00 grep natd

при этом почему то такие сообщения валяться

Код: Выделить всё

Aug 21 16:05:49 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 21 16:07:57 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 21 16:14:56 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Добавлено: **2009-08-21 14:24:14**

у вас обе сетевые карты ни в один сегмент засунуты случаем?
при таких параметрах в /etc/rc.conf natd.cf не используется natd-ом

Добавлено: **2009-08-21 15:14:47**

нет не в один , внешнии интерфеис , сетевои кабель воткнут напрямую в модем, а локальный в хаб (точка доступа WIFI)

Добавлено: **2009-08-21 15:16:56**

Может этот 192.168.0.8 комп в 2-х сетях сразу?

Добавлено: **2009-08-21 15:24:18**

serge писал(а):Может этот 192.168.0.8 комп в 2-х сетях сразу?

если б он один был , сообщения такие о каждои машине в локалке ,
физически провода куда надо воткнуты , с модема провод напрямую в сетевуху на фрюхе , и с локальнои сетевои провод воткнут в точку доступа , компы в сети по ваи фаи уже в сеть объединенны

Добавлено: **2009-08-21 15:26:49**

но это не нат, это лаер два и питля
у вас в мопеде антенка не торчит? ^_^

Добавлено: **2009-08-21 15:28:05**

в мопеде

, нет не торчит ничаво есть только две сетвые карточки куда чаво смотрит писал

Добавлено: **2009-08-21 15:39:33**

Вобщем еще раз все проверяйте. Не просто так же в логи такое лезет.

Добавлено: **2009-08-21 15:43:03**

serge писал(а):Вобщем еще раз все проверяйте. Не просто так же в логи такое лезет.

уж и не наю что еще можно проверить , третии день бьюсь с этим натом , блин
ну сами то настроики правила и прочее верны ?

Добавлено: **2009-08-21 15:44:08**

Код: Выделить всё

tcpdump -i rl1 -npe

повтыкайте

Добавлено: **2009-08-21 15:49:17**

кстати о tcpdump делал на внутреннем интерфеисы пакеты видно что идут а вот делал tcpdump -i rl1 host 192.168.0.8 полная тишина при этом счетчики фаерволла увеличиваются ну всмысле на тех правилах которые про диверт

Добавлено: **2009-08-21 15:53:27**

ifconfig покажи.

Добавлено: **2009-08-21 15:55:49**

Код: Выделить всё

# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:0e:2e:33:df:36
        inet 192.168.0.171 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:19:66:06:r4:5r
        inet 212.112.xx.zz netmask 0xffffffe0 broadcast 212.112.xx.cc
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Добавлено: **2009-08-21 15:59:20**

Код: Выделить всё

netstat -ar

Добавлено: **2009-08-21 16:02:55**

Код: Выделить всё

2# netstat -ar
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            212-112-xx-yy.akn UGS         0  2952930    rl1
10.1.10.32         10.1.10.31         UH          1        0   tun0
localhost          localhost          UH          0      306    lo0
192.168.0.0        link#1             UC          0        0    rl0
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1      124    rl0
192.168.25.0       10.1.10.32         UGS         0     2870   tun0
212.112.xx.yc/27  link#2             UC          0        0    rl1
212-112-xx-yy.akn 00:07:e9:17:f7:71  UHLW        2        0    rl1    859

Internet6:
Destination        Gateway            Flags      Netif Expire
localhost          localhost          UHL         lo0
fe80::%lo0         fe80::1%lo0        U           lo0
fe80::1%lo0        link#4             UHL         lo0
ff01:4::           fe80::1%lo0        UC          lo0
ff02::%lo0         fe80::1%lo0        UC          lo0

Добавлено: **2009-08-24 4:43:26**

ужель никто не знает

Добавлено: **2009-08-24 10:47:24**

Запрети файрволом внутреннюю сетку на внешнем интерфейсе...

Добавлено: **2009-08-24 10:54:44**

snorlov писал(а):Запрети файрволом внутреннюю сетку на внешнем интерфейсе...

оппа а это как , если не сложно
тип такого добавить ?

Код: Выделить всё

deny all from 192.168.0.0/24 to any via rl1
deny all from all to 192.168.0.0/24 via rl1

Добавлено: **2009-08-24 11:02:44**

Посмотри стандартный rc.firewall, там предлагается гробить на внешнем интерфейсе все приватные сети, а не только 192.168.0.0...

Добавлено: **2009-08-24 11:14:34**

оно ?

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

Добавлено: **2009-08-24 11:32:34**

KaiF писал(а):оно ?

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

И оно и не оно, в том смысле, что данное правило всегда должно быть,
посмотри там пониже еще кажется 3-и правила есть , касаемые сеток 10. , 172. ну и 192.

Добавлено: **2009-08-24 11:37:17**

не знаю я дабавил , добавил их в самом начале

Код: Выделить всё

deny ip from 192.168.0.0/24 to any via rl1
 deny ip from any to 192.168.0.0/24 via rl

1
это теперь получается надо до этих правил засунуть ?

Код: Выделить всё

skipto 50000 ip from 192.168.0.0/24 to any out via rl1 keep-state

да и не смотря мои правила , все равно лезет эта фигня

Код: Выделить всё

Aug 24 14:39:21 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Добавлено: **2009-08-24 12:13:17**

при всем этом , а в messages ошибки

Код: Выделить всё

 arp -a
? (192.168.0.3) at 00:19:7e:9b:43:b0 on rl0 [ethernet]
? (192.168.0.4) at 00:1c:26:6b:72:e3 on rl0 [ethernet]
? (192.168.0.8) at 00:15:af:ae:3d:0a on rl0 [ethernet]
? (192.168.0.99) at 00:24:8c:98:df:a8 on rl0 [ethernet]

Код: Выделить всё

Aug 24 14:59:34 192 kernel: arp: 192.168.0.4 is on rl0 but got reply from 00:16:ec:79:cf:3a on rl1
Aug 24 15:00:34 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 24 15:01:59 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1
Aug 24 15:06:02 192 kernel: arp: 192.168.0.8 is on rl0 but got reply from 00:b0:d0:5c:6b:0b on rl1

Добавлено: **2009-08-24 12:45:34**

народ а не может ли это быть проблемои со стороны проваидера ?

Добавлено: **2009-08-24 13:22:22**

KaiF писал(а):народ а не может ли это быть проблемои со стороны проваидера ?

Конечно может, в канале и не такое может быть, я к примеру после подключения видел в канале и протокол ipx/spx, пришлось бодаться с провайдером. Ты посмотри какие mac адреса у твоих 192.168.0.8, если они не совпадают, то точно идет грязь извне
В принципе у тебя должно быть
1. правило разрешающие хождения к localhost
2.правило разрешающее хождение пакетов с адресов локальной сетке на внутреннем интерфейсе

Код: Выделить всё

${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask} in via ${iif}

3.правило рубящее пакеты адресов локальной сетке на внешнем интерфейсе

Код: Выделить всё

${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}

forum.lissyara.su

помогите с NAT

помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT

Re: помогите с NAT