forum.lissyara.su

Помогите разобраться:
Что необходимо
1. Пакеты с внутреннего адреса 192.168.0.132 проходили напрямую в нет без ограничений
Что сделано:
1. Пересборка ядра с включением функций NATD
options IPFIREWALL
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
options DUMMYNET
options HZ=1000
2. В rc.conf добавлено
gateway_enable="YES"
ifconfig_em0="inet 192.168.0.200 netmask 255.255.255.0"
ifconfig_em1="inet ххх.ххх.ххх.ххх netmask ххх.ххх.ххх.ххх"
natd_enable="YES"
natd_flags="-n em1 -p 8668 -f /etc/natd.conf"
sysctl net.inet.ip.forwarding=1
firewall_enable="YES"
firewall_script="/root/ipfw_conf"
firewall_logging="YES"
3. natd.conf
log yes
same_ports yes
use_sockets yes
4. ipfw
Внутренний ин-фейс em0
Внешний ин-фейс em1
ххх.ххх.ххх.ххх внешний адрес
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 10.0.0.0/8 to any via em1
00500 deny log ip from 172.16.0.0/12 to any via em1
00600 divert 8668 ip from 192.168.0.132 to any via em1
00700 allow ip from any to 192.168.0.132 in via em1
00800 deny log ip from 192.168.0.0/16 to any via em1
00900 deny log ip from 0.0.0.0/8 to any via em1
01000 deny log ip from 169.254.0.0/16 to any via em1
01100 deny log ip from 192.0.2.0/24 to any via em1
01200 deny log ip from 198.18.0.0/15 to any via em1
01300 deny log ip from 224.0.0.0/4 to any via em1
01400 deny log ip from 240.0.0.0/4 to any via em1
01500 deny log ip from any to any out recv em0 xmit em1
01600 allow ip from any to any via em0
01700 check-state
01800 allow tcp from any to any out via em1 setup keep-state
01900 allow ip from any to any frag
02000 allow tcp from 192.168.0.133 to 192.168.0.200 dst-port 80 in via em0
02100 deny tcp from 192.168.0.0/24 to 192.168.0.200 dst-port 80 in via em0
02800 allow tcp from any to ххх.ххх.ххх.ххх dst-port 25 in via em1
02900 allow tcp from any to (dns prov) dst-port 53 out via em1 setup keep-state
03000 allow udp from (dns prov) 53 to ххх.ххх.ххх.ххх in via em1
03100 unreach port udp from any to ххх.ххх.ххх.ххх dst-port 33435-33524 in via em1
03200 allow icmp from any to any in via em1 icmptypes 0,3,4,8,11
03300 allow ip from ххх.ххх.ххх.108/30 to any out via em1
03400 deny log ip from any to 255.255.255.255
03500 deny log ip from any to any
65535 deny ip from any to any
=================================================
Проблема в том что с 192.168.0.132 уходят но не возвращаются соответственно 192.168.0.132 никуда непущает
=========================================================
Помогите разобраться а то уже бошка разваливается

фаер скорее всего режет. логи смотри

Я прекрасно понимаю что гдето режет , но если бы кто-то тыкнул где........

сделай и смотри что режет

Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)

options IPFILTER
options IPFILTER_LOG

Это не нужно для работы IPFW. Хотя и мешать не должно бы.

dikens3 писал(а):Предположу что фаера у тебя 2-а. :-) Оставь IPFW. (IPFIREWALL)

options IPFILTER
options IPFILTER_LOG

Это не нужно для работы IPFW. Хотя и мешать не должно бы.

============================================================================================
нет один второй типа ип филтра молчит

а преобразовка ната назад?????? и тут ошибка

harmless писал(а):

Код: Выделить всё

00600 divert 8668 ip from 192.168.0.132 to any via em1

а преобразовка ната назад??????

Код: Выделить всё

divert 8668 ip from  any to ххх.ххх.ххх.ххх in via em1

и тут ошибка

Код: Выделить всё

00700 allow ip from any to 192.168.0.132 in via em1

===========================================================================
те необходимо добавить правило типа и удалить 700 правило

Так попробуй. а 700 удали