Страница 1 из 2

Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:17:07
AHapku
Помогите пожалуйста разобраться, не запускаются правила NAT во FreeBSD 7.1.вот конфиги ядра для фаервола:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         LIBALIAS
options         IPFIREWALL_FORWARD_EXTENDED
Правила для NAT:

Код: Выделить всё

${ipfw} add nat 100 all from any to any
${ipfw} nat 100 config ip ${IpOut} log
${ipfw} add nat 100 all from ${NetIn}/12 to any
${ipfw} add nat 100 all from any to ${IpOut}
А это ошибки которые выскакивают при попытке запустить правила:

Код: Выделить всё

ipfw: getsockopt(IP_FW_ADD): Invalid argument
Где я ошибся?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:33:42
schizoid
а ядро точно с фаерволом установлено?

Код: Выделить всё

sysctl -a| grep ip.fw
что-товыдает?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:37:59
AHapku

Код: Выделить всё

www# sysctl -a| grep ip.fw
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.static_count: 33
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.debug: 1
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.enable: 1

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:43:27
schizoid
а с консоли вручную что выдает?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:48:53
AHapku
я с консоли и запускаю это правило!=)

Код: Выделить всё

www# ipfw add nat 100 all from any to any
ipfw: getsockopt(IP_FW_ADD): Invalid argument

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:52:02
schizoid
в rc.conf есть?

Код: Выделить всё

firewall_enable="YES"
firewall_type="SIMPLE"

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:52:51
schizoid
ну или для начала простое правило добавить? без НАТа?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:57:22
AHapku
Этой строчки не было=)

Код: Выделить всё

firewall_type="SIMPLE"
после ввода ничем не поправило:( проблема осталась

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 10:59:59
schizoid
та строчка просто указывает какой типа фаера. у ят может и другой быть...
а просто команда к прмеру

Код: Выделить всё

ipfw add count ip from any to any
что говорит?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:02:12
AHapku
Правила фаервола работают. не работают правила NATa

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:09:54
ADRE
а ты gateway_enable="YES" сделал? )

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:14:33
AHapku
вот мой rc.conf=) всё что относится к фаерволу

Код: Выделить всё

gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_type="SIMPLE

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:16:30
schizoid
прям полтергейст какой-то...ребут после пересборки ядра делал?
оно ж то почему то пишет на ошибку в синтаксисе...

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:19:12
ADRE
может че поменять забыл? при пересборке мира, там в ipfw какие-то изменения были (6.2 -> 7.1)

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:26:01
AHapku
недавно обновлял с 6.3 по 7.1 версию с диска! После установки фаервола в мире ничего не менял=)

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:37:23
kirgudu
nat сконфигурен?

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:41:12
AHapku
что ты имеешь ввиду? если есть возможность, выложи пример с грамотно сконфигуреным натом :oops:

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 11:58:23
ADRE
билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))

-------------
ой там же че-то менялось ))) ну и ладно.....

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 12:09:08
hizel
только для пропуска пользователей

Код: Выделить всё

$fw nat 8672 config ip $nat_ip unreg_only
$fw disable one_pass
$fadd 70 nat 8672 all from any to $uplink_ip in via $nat_int

$fadd 1000 allow all from table\($client_table\) to any in via $client_int
$fadd 1001 allow all from any to table\($client_table\) out via $client_int
$fadd 1002 skipto 65000 all from table\($client_table\) to any out via $nat_int
$fadd 1003 allow all from any to table\($client_table\) in via $nat_int

$fadd 50000 deny from any to any 

$fadd 65000 nat 8672 all from any to any out via $nat_int
$fadd 65100 allow all from any to any

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 12:12:49
schizoid
ADRE писал(а):билять, man natd говорит в ядро IPDIVERT стать, у меня правда 7.0 сейчас ) попробйу с дивертом собрать ) если даст конечно ))

-------------
ой там же че-то менялось ))) ну и ладно.....
речь не о natd

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 14:57:00
AHapku
Сделал как сказал тов. hizel=). Показало вот такую фигню:

Код: Выделить всё

www# ipfw 70 nat 100 all from any ${IpOut} in via fxp1
ipfw: bad command `100'

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 15:06:28
hizel

Код: Выделить всё

fw='/sbin/ipfw'
fadd='/sbin/ipfw add'

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 15:10:49
AHapku
извиняюсь) исправил, всё равно:

Код: Выделить всё

www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 15:22:46
hizel
бред, вы уверены , что пересобрали ядро?

Код: Выделить всё

[15:20vpn2] /etc/namedb> sudo ipfw nat 10 config ip 10.0.0.1
ipfw nat 10 config ip 10.0.0.1
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 10 all from any to any
65103 nat 10 ip from any to any
[15:20vpn2] /etc/namedb> sudo ipfw add 65103 nat 11 all from any to any
65103 nat 11 ip from any to any

Код: Выделить всё

[15:22vpn2] /etc/namedb> uname -r
7.0-RELEASE-p5

Re: Проблемы с NAT во FreeBSD 7.1

Добавлено: 2009-01-28 15:23:37
hizel
AHapku писал(а):извиняюсь) исправил, всё равно:

Код: Выделить всё

www# ipfw add 70 nat 100 all from any to ${IpOut} in via fxp1
ipfw: getsockopt(IP_FW_ADD): Invalid argument
вместо ${IpOut} нормальный ip внедрите