forum.lissyara.su

Если с нами Бог, то кто же против нас?
https://forum.lissyara.su/

freebsd 9 + nat + i[fw

https://forum.lissyara.su/viewtopic.php?f=53&t=38075

Страница 1 из 1

freebsd 9 + nat + i[fw

Добавлено: 2012-11-15 12:49:33
Максимус
Всем добрый день, прошу помощи у спецов т.к. уже крыша едет..

поставил freebsd 9 со встроенным натом

Пересобрал ядро с поддержкой IPFW и NAT
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options IPFIREWALL_NAT
options LIBALIAS
Далее отредактировал rc.conf
hostname="freebsd"
keymap="ru.koi8-r.kbd"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

defaultrouter="1.1.1.1"
gateway_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
firewall_script="/etc/ipfw.rules"
firewall_logging="YES"
firewall_type="OPEN"


font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"

ifconfig_em0="inet 192.168.1.254 netmask 255.255.255.0"
ifconfig_em1="inet 1.1.1.100 netmask 255.255.255.0"
Далее отредактировал IPFW
#!/bin/sh

FwCMD="/sbin/ipfw"
ExtIF="em1"
ExtIP="1.1.1.100"
LocalNet="192.168.1.0/24"

${FwCMD} -f flush

# deny flood traffic
${FwCMD} add 101 allow all from any to any via lo0
${FwCMD} add 102 deny all from any to 127.0.0.0/8
${FwCMD} add 103 deny all from 127.0.0.0/8 to any

${FwCMD} add 110 deny icmp from any to any frag

# NAT
${FwCMD} add 501 nat 1 ip from ${LocalNet} to any via ${ExtIF}
${FwCMD} add 502 nat 1 ip from any to ${ExtIP} via ${ExtIF}
Но не фига ни чего не пашет а именно:
т.е. с внутреннией подсетки на сервак могу зайти по ssh, но мир не видит и не пингует
с сервака тоже не могу пингонуть мир, но при выключенном фаерволе пингует с серваера мир, но с рабочий станции все равно не пингует.

Задача, тривиально настроить шлюз на фрюхе.
Объясните где туплю (((

За ранее буду очень признателен при направлении на путь истинный!

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-15 20:09:38
Shuba

Код: Выделить всё

ipfw -t show
ipfw nat 1 show config

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-15 22:12:27
snorlov
Если не умеете бороться с ipfw, то для начала используйте и изучите стандартный скрипт /etc/rc.firewall, а то у вас в rc.conf определены переменные firewall_nat_interface, firewall_type, ну и где они используются...

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 8:41:27
Максимус
Shuba
ipfw -t show
  • ipfw -t show
    00101 0 0 allow ip from any to any via lo0
    00102 0 0 deny ip from any to 127.0.0.0/8
    00103 0 0 deny ip from 127.0.0.0/8 to any
    00110 0 0 deny icmp from any to any frag
    00501 0 0 nat 1 ip from 10.239.2.0/24 to any via em1
    00502 0 0 nat 1 ip from any to 10.239.1.66 via em1
    65535 152 13926 Fri Nov 16 09:22:24 2012 allow ip from any to any
ipfw nat 1 show config
ни чего не выводит.

snorlov
Спасибо за рекомендацию, я обязательно изучу этот скрипт, но сейчас я бы хотел помощи, а не отправку в библиотеку потому как времени не так много!

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 9:57:37
Максимус
Вроде что то сделал и пинги пошли.
Если все будет ок выложу что сделал

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 11:02:30
Максимус
Рано радовался.....
Вопрос открыт!

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 12:38:51
snorlov
Заблокируй

Код: Выделить всё

firewall_script="/etc/ipfw.rules"
да перегрузись... Работать точно будет...

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 13:00:39
rmn
Максимус писал(а): ipfw nat 1 show config
ни чего не выводит.
настроить нат надо, чтобы выводил:

Код: Выделить всё

ipfw nat 1 config if em1 reset same_ports log deny_in

Re: freebsd 9 + nat + i[fw

Добавлено: 2012-11-16 14:37:14
Shuba
Максимус писал(а):Shuba
ipfw -t show
  • ipfw -t show
    00101 0 0 allow ip from any to any via lo0
    00102 0 0 deny ip from any to 127.0.0.0/8
    00103 0 0 deny ip from 127.0.0.0/8 to any
    00110 0 0 deny icmp from any to any frag
    00501 0 0 nat 1 ip from 10.239.2.0/24 to any via em1
    00502 0 0 nat 1 ip from any to 10.239.1.66 via em1
    65535 152 13926 Fri Nov 16 09:22:24 2012 allow ip from any to any
ipfw nat 1 show config
ни чего не выводит.

snorlov
Спасибо за рекомендацию, я обязательно изучу этот скрипт, но сейчас я бы хотел помощи, а не отправку в библиотеку потому как времени не так много!
Ну и не будет работать. В правилах ты NAT прописал, а сам NAT не сконфигурировал. Читай доку по ядерному NAT-у. Должно получится нечто вроде

Код: Выделить всё

ipfw nat 1 config if em1 deny_in same_ports unreg_only reset
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/