Страница 1 из 1
nat + ipfw
Добавлено: 2010-03-01 14:29:21
CTOPMbI4
конфа.
Роутер на базе 8.0-RELEASE-p2
2 физ. интерфейса.
rl0 - смотрит в сеть провайдера.
rl1 - смотрить в офисную сеть.
Так же подняты 2 туннеля по средствам mpd до сервера провайдера.
ng0 для внешки
ng1 для локалки
Требуется вывести ПК из офисной сетки в инет посредствам nat.
конфиги.
rc.conf
Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/testfire"
#nat
natd_enable="YES"
natd_interface="ng0"
natd_flags="-same_ports"
natd_flags="-f /etc/natd.conf"
gateway_enable="YES"
natd.conf
Код: Выделить всё
dynamic yes
same_ports yes
use_sockets yes
unregistered_only yes
testfirewall
Код: Выделить всё
#nat
${fw} add 40 add divert natd ip from ${Lan_net} to any out via ${Wan_external}
${fw} add 45 add divert natd ip from any to ${ipng0} in via ${Wan_external}
Фишка то что ип выдается динамически, и указать его нет возможности. Как я понял в правиле ipfw должен быть указан жестко ип внешнего ng0 интерфейса.
Код: Выделить всё
${fw} add 45 add divert natd ip from any to ${ipng0} in via ${ng0}
Требуется грамотный совет. Как можно обойти ?
Re: nat + ipfw
Добавлено: 2010-03-01 15:48:50
кегля
не надо там, сам тока что настраивал, тока у меня РРРоЕ
дайверт писал так
Код: Выделить всё
ipfw add 500 divert natd ip from any to any via tun0
работает
Re: nat + ipfw
Добавлено: 2010-03-06 7:58:24
CTOPMbI4
да вроде как работает.
Но...только при firewall="open"
Что нужно добавить в firewall чтобы заработало?
привожу свой конфиг
Код: Выделить всё
Lan_int="rl1"
Wan_int="rl0"
Wan_external="ng0"
Wan_internal="ng1"
Lan_net="192.168.1.0/24"
Wan_net="10.0.0.0/8"
Drs_ip="10.0.0.1"
Lan_ip="192.168.1.1"
Wan_ip="172.27.25.100"
#flush
${fw} -f flush
#
${fw} add 10 check-state
#allow all lo interface
${fw} add 20 allow ip from any to any via lo0
#nat
${fw} add 29 divert 8668 ip4 from any to any via ${Wan_external}
#rl1
${fw} add 40 allow ip from ${Lan_net} to ${Lan_net} via ${Lan_int}
#rl0
${fw} add 50 allow tcp from me to ${Wan_net} out via ${Wan_int}
${fw} add 51 allow tcp from ${Wan_net} to me in via ${Wan_int}
${fw} add 52 allow udp from me to ${Wan_net} out via ${Wan_int}
${fw} add 53 allow udp from ${Wan_net} to me in via ${Wan_int}
#icmp packet
${fw} add 54 allow icmp from me to ${Wan_net} out via ${Wan_int}
${fw} add 55 allow icmp from ${Wan_net} to me in via ${Wan_int}
#gre tunnel
${fw} add 56 allow gre from me to ${Drs_ip} via ${Wan_int}
${fw} add 57 allow gre from ${Drs_ip} to me via ${Wan_int}
#ng0
${fw} add 60 allow ip from me to any out via ${Wan_external}
${fw} add 65 allow ip from any to me in via ${Wan_external}
${fw} add 69 deny tcp from any to me 20,21,22,23,80,3128,5190 in via ${Wan_external}
#ng1
${fw} add 70 allow ip from me to any out via ${Wan_internal}
${fw} add 75 allow ip from any to me in via ${Wan_internal}
${fw} add 76 deny ip from "table(1)" to me in via ${Wan_internal}
${fw} add 77 deny ip from 10.0.0.0/8 to me in via ${Wan_internal}
${fw} add deny ip from any to any
Re: nat + ipfw
Добавлено: 2010-03-19 11:31:23
CTOPMbI4
Есть шаристые камрады в ipfw?
