Страница 1 из 2
Natd - странный редирект.
Добавлено: 2007-01-19 15:36:32
RipMan
Привет уважаемым гуру!
Прошу не бить, сам знаю, что туплю, но после 3 дней ковыряний в мозгах надо дефрагментацию делать, все смешалось.
Ситуация такая. Локальная сеть за сервером под фри 6.2РК.
На сервере - DHCP+NAT+IPFW+SAMBA+нужен VPN,
до него руки еще не дошли.
rc.conf:
hostname="SERVER.FILBI"
ifconfig_rl0="192.168.2.1"
usbd_enable="NO"
samba_enable="YES"
inetd_enable="YES"
sshd_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="rl1"
#
#
#natd_flags="-f /etc/natd.conf"
#
natd_flags="-redirect_port tcp 192.168.2.105:19199 19199"
natd_flags="-redirect_port tcp 192.168.2.105:13564 13564"
#
#
dhcpd_enable="YES"
dhcpd_ifaces="rl0"
#
#
# -- sysinstall generated deltas -- # Tue Jan 16 16:30:11 2007
ifconfig_rl1="inet 84.50.xxx.xxx netmask 255.255.255.252"
defaultrouter="84.50.xxx.xxx"
hostname="SERVER.FILBI"
Порт 13564 редиректится, а 19199 - нет.
Пробовал вынести настройки в natd.conf:
interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
Вообще не работает ничего, даже до сервака не достучаться.
ipfw.show:
00050 325033 194381957 divert 8668 ip4 from any to any via rl1
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 648140 388804227 allow ip from any to any
65535 0 0 allow ip from any to any
Уважаемые, не дайте помереть возле компа, еще впн делать надо..
Добавлено: 2007-01-19 15:45:35
dikens3
nterface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address ТВОЙ_ВНЕШНИЙ_ИП
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
Так сделай
Добавлено: 2007-01-19 15:48:56
Alex Keda
ДИКЕНС, ты вообще бываешь не тут?
))
Добавлено: 2007-01-19 16:03:54
dikens3
Бываю. Мне на работе скучно. Однообразно.
Щас я тебе кое-что в приват скину.
Добавлено: 2007-01-19 16:11:05
RipMan
Вот это да! Даже не ожидал такого оперативного ответа, спасибо!
Сейчас попробую.
Добавлено: 2007-01-19 16:20:23
RipMan
Упала сетка.
Даже к серверу из локалки не могу подсоединиться и нет пропал.
Добавлено: 2007-01-19 16:28:23
dikens3
Что то не так сделал, фаер не поднялся видать.
Код: Выделить всё
rc.conf
natd_enable="YES"
natd_flags="-f /etc/natd.cf"
Конфиг в natd.cf свой.
Добавлено: 2007-01-19 16:34:21
RipMan
Эти строки в rc.conf есть.
Я в нем только закомментировал редирект и раскомментировал строку
natd_flags. Выше есть конфиг.
Добавлено: 2007-01-19 16:45:46
dikens3
выложи что получилось в natd.conf.
Чуть не забыл
interface c alias вместе вроде не работают.
Добавлено: 2007-01-19 16:50:35
RipMan
Код: Выделить всё
interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adrecc 84.50.227.170
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
ошибку заметил. сейчас еще раз попробую, интерфейс уберу только
Добавлено: 2007-01-19 16:54:08
dikens3
RipMan писал(а):
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address ИП
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
Вот так примерно.
alias_address с двумя d и двумя s
Добавлено: 2007-01-19 16:59:45
RipMan
Ничего не получается.
Добавлено: 2007-01-19 17:02:50
dikens3
Показывай что в rc.conf (Что относиться к natd)
cat /etc/rc.conf | grep natd
Сам файл natd.conf и т.п.
проверь запущен ли natd?
ps -aux| grep natd
ipfw -a l (тут L, только маленькая)
Добавлено: 2007-01-19 17:19:19
RipMan
cat /etc/rc.conf | grep natd
Код: Выделить всё
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"
#natd_flags="-redirect_port tcp 192.168.2.105:19199 19199"
#natd_flags="-redirect_port tcp 192.168.2.105:13564 13564"
Сам файл natd.conf и т.п.
Код: Выделить всё
interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
ps.....
root 781 0,0 0,1 372 252 v1 R+ 16:11 0:00,00 grep natd
Вижу, что нат не запустился
ipfw -a l
написал, то же, что я раньше приводил
После каждой пробы приходиться бегать к серваку, править и запускать заново, что бы отвечать в конфу, веселуха
Добавлено: 2007-01-19 17:25:20
dikens3
Твой рабочий конфиг должен выглядеть так:
Код: Выделить всё
natd_enable="YES"
natd_flags="-f /etc/natd.conf"
И никаких упоминаний о интерфейсе
Код: Выделить всё
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
И никаких упоминаний о интерфейсе
Код: Выделить всё
выполняешь /etc/./netstart
И радуешься достижениям.
Я не против использования интерфейсов, просто я несколько дней парился что не так и как сделать если на внешнем интерфейсе несколько IP(Диапазон), а прогонять их нужно через NAT.
В принципе может поставить интерфейс, и убрать alias, симмерично.
Добавлено: 2007-01-19 17:29:48
dikens3
RipMan писал(а):
После каждой пробы приходиться бегать к серваку, править и запускать заново, что бы отвечать в конфу, веселуха
Мне не приходилось, как правило я звонил в другую часть города.
:-) Просил нажать RESET
Я полагаю что при недоступности NAT'a у тебя весь фаер не грузится?
Вот так проброс у меня сделан:
Код: Выделить всё
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
redirect_port tcp 192.168.2.105:19199 84.50.ххх.ххх:19199
redirect_port tcp 192.168.2.105:13564 84.50.ххх.ххх:13564
Добавлено: 2007-01-19 17:37:27
RipMan
Сделал все, как ты сказал, нат не запускается. Пипец какой-то.
Добавлено: 2007-01-19 17:39:58
dikens3
Код: Выделить всё
# /etc/rc.d/./natd rcvar
# natd
$natd_enable=YES
Запуск:
/etc/rc.d/./natd start
Попробуй ручками его запустить, посмотри логи, может там что есть.
Может PID процесс от него остался.
И adress с одной D в конфиге
Добавлено: 2007-01-19 17:42:19
RipMan
Я не знаю, как это делается
Добавлено: 2007-01-19 17:43:54
dikens3
# ll /var/run/ | grep natd
-rw-r--r-- 1 root wheel 4 27 дек 19:29 natd.pid
Проверь alias_address с двумя D, повнимательнее
Добавлено: 2007-01-19 17:49:03
RipMan
# ll /var/run/ | grep natd
Когда надо эту команду дать?
сейчас пишет - пропущена команда
Добавлено: 2007-01-19 17:49:26
dikens3
На время тестов DIVERT поставь последней строкой. Настроишь и переделаешь назад.
Вся беготня из-за неё.
Добавлено: 2007-01-19 17:50:33
dikens3
RipMan писал(а):# ll /var/run/ | grep natd
Когда надо эту команду дать?
сейчас пишет - пропущена команда
ls -lA /var/run | grep natd
Так пробуй.
Добавлено: 2007-01-19 17:52:58
RipMan
да, так работает, вывела ответ как у тебя
Добавлено: 2007-01-19 17:55:10
RipMan
На время тестов DIVERT поставь последней строкой.
это в rc.firewall?