Страница 1 из 2
Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:17:07
AHapku
Помогите пожалуйста разобраться, не запускаются правила NAT во FreeBSD 7.1.вот конфиги ядра для фаервола:
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options LIBALIAS
options IPFIREWALL_FORWARD_EXTENDED
Правила для NAT:
Код: Выделить всё
${ipfw} add nat 100 all from any to any
${ipfw} nat 100 config ip ${IpOut} log
${ipfw} add nat 100 all from ${NetIn}/12 to any
${ipfw} add nat 100 all from any to ${IpOut}
А это ошибки которые выскакивают при попытке запустить правила:
Код: Выделить всё
ipfw: getsockopt(IP_FW_ADD): Invalid argument
Где я ошибся?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:33:42
schizoid
а ядро точно с фаерволом установлено?
что-товыдает?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:37:59
AHapku
Код: Выделить всё
www# sysctl -a| grep ip.fw
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 33
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.debug: 1
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:43:27
schizoid
а с консоли вручную что выдает?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:48:53
AHapku
я с консоли и запускаю это правило!=)
Код: Выделить всё
www# ipfw add nat 100 all from any to any
ipfw: getsockopt(IP_FW_ADD): Invalid argument
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:52:02
schizoid
в rc.conf есть?
Код: Выделить всё
firewall_enable="YES"
firewall_type="SIMPLE"
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:52:51
schizoid
ну или для начала простое правило добавить? без НАТа?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:57:22
AHapku
Этой строчки не было=)
после ввода ничем не поправило:( проблема осталась
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 10:59:59
schizoid
та строчка просто указывает какой типа фаера. у ят может и другой быть...
а просто команда к прмеру
что говорит?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:02:12
AHapku
Правила фаервола работают. не работают правила NATa
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:09:54
ADRE
а ты gateway_enable="YES" сделал? )
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:14:33
AHapku
вот мой rc.conf=) всё что относится к фаерволу
Код: Выделить всё
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_type="SIMPLE
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:16:30
schizoid
прям полтергейст какой-то...ребут после пересборки ядра делал?
оно ж то почему то пишет на ошибку в синтаксисе...
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:19:12
ADRE
может че поменять забыл? при пересборке мира, там в ipfw какие-то изменения были (6.2 -> 7.1)
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:26:01
AHapku
недавно обновлял с 6.3 по 7.1 версию с диска! После установки фаервола в мире ничего не менял=)
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:37:23
kirgudu
nat сконфигурен?
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:41:12
AHapku
что ты имеешь ввиду? если есть возможность, выложи пример с грамотно сконфигуреным натом
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 11:58:23
ADRE
билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))
-------------
ой там же че-то менялось ))) ну и ладно.....
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 12:09:08
hizel
только для пропуска пользователей
Код: Выделить всё
$fw nat 8672 config ip $nat_ip unreg_only
$fw disable one_pass
$fadd 70 nat 8672 all from any to $uplink_ip in via $nat_int
$fadd 1000 allow all from table\($client_table\) to any in via $client_int
$fadd 1001 allow all from any to table\($client_table\) out via $client_int
$fadd 1002 skipto 65000 all from table\($client_table\) to any out via $nat_int
$fadd 1003 allow all from any to table\($client_table\) in via $nat_int
$fadd 50000 deny from any to any
$fadd 65000 nat 8672 all from any to any out via $nat_int
$fadd 65100 allow all from any to any
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 12:12:49
schizoid
ADRE писал(а):билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))
-------------
ой там же че-то менялось ))) ну и ладно.....
речь не о natd
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 14:57:00
AHapku
Сделал как сказал тов. hizel=). Показало вот такую фигню:
Код: Выделить всё
www# ipfw 70 nat 100 all from any ${IpOut} in via fxp1
ipfw: bad command `100'
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 15:06:28
hizel
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 15:10:49
AHapku
извиняюсь) исправил, всё равно:
Код: Выделить всё
www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 15:22:46
hizel
бред, вы уверены , что пересобрали ядро?
Код: Выделить всё
[15:20vpn2] /etc/namedb> sudo ipfw nat 10 config ip 10.0.0.1
ipfw nat 10 config ip 10.0.0.1
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 10 all from any to any
65103 nat 10 ip from any to any
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 11 all from any to any
65103 nat 11 ip from any to any
Код: Выделить всё
[15:22vpn2] /etc/namedb> uname -r
7.0-RELEASE-p5
Re: Проблемы с NAT во FreeBSD 7.1
Добавлено: 2009-01-28 15:23:37
hizel
AHapku писал(а):извиняюсь) исправил, всё равно:
Код: Выделить всё
www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument
вместо ${IpOut} нормальный ip внедрите