forum.lissyara.su

Добавлено: **2009-07-06 12:56:58**

Народ! Объясните, может я чего не понимаю. Решил на новом шлюзе заюзать kernel nat. Собрал ядро с опциями:

options ipfirewall_nat
options libalias

Собрал, настроил ipfw по такому принципу:

Код: Выделить всё

NatIP="111.111.111.111"
ipfw nat 123 config ip ${NatIP} log
ipfw add 10 nat 123 ip from 192.168.0.0/16 to any
ipfw add 20 nat 123 ip from any to ${NatIP}

Но при таком раскладе получается, что не только разрешено натиться, но и весь доступ к внешнему ip. Как же тогда защититься?

P.S. До этого юзал IPdivert. не пинайте сильно. Может сам чего не догоняю.

Добавлено: **2009-07-06 14:00:40**

гуглите по форуму
такую тему уже поднимали

Добавлено: **2009-07-06 14:31:52**

Гуглил. В частности читал подобные темы на этом форуме. Но что-то никто не пришел к конкретному результату. Мне главное кусочек правил ipfw, с настроенным закрытым Kernel nat'ом. А дальше я сам разберусь

Добавлено: **2009-07-06 14:37:24**

плохо гуглили
там как раз такой же вопрос был
и был подробно рассмотрен
увы линка на тему я не помню

Добавлено: **2009-07-06 20:26:08**

но и весь доступ к внешнему ip.

в каком смысле?

Добавлено: **2009-07-06 21:38:46**

сначала делаете nat на внешнем интерфейсе, потом фильтруете
смотрите пример на freebsd.org в басурманском хэндбуке

смысл там в том, что вы фильтруете трафик как будто у вас нет НАТа :]

Добавлено: **2009-07-06 21:58:14**

по кернел нату даже в мане написано голяк строчек

мне боязно говорить к чему пришли мои мытарства с фреебсд кернел натом в форуме фреесбд

(вопрос был подобен вашему)

но, тем не менее, у некоторых кернел нат работает.

Добавлено: **2009-07-06 22:10:09**

paix писал(а):по кернел нату даже в мане написано голяк строчек
мне боязно говорить к чему пришли мои мытарства с фреебсд кернел натом в форуме фреесбд

?

Добавлено: **2009-07-06 22:30:21**

к оффтопику.
может ipfw кернел нат переписали и не плохо, но документировали препаршиво, да и примеров в инете очень мало (по крайней мере пол года назад так было).
Пару дней побыл бетатестером, потом надоело.
Если заявок на думминет не предвидется, то лучше сразу делать фаер на pf.

исходная точка вопроса тут:
http://groups.google.com.ua/group/uafug ... 6cff?pli=1

Добавлено: **2009-07-07 0:19:16**

странно, у мну работает, на несколько провайдеров, с думминетом...что я делаю не так?

Добавлено: **2009-07-07 11:47:22**

может ipfw кернел нат переписали и не плохо, но документировали препаршиво, да и примеров в инете очень мало

Согласен.

Давайте общими силами всего форума создадим ман/фак/примеры использования кернел ната. Типа берем функционал старого natd и пробуем то же самое с кернеловским. По-ходу описываем подводные камни.

Нужен план составления.

---

продолжим сдесь? http://forum.lissyara.su/viewtopic.php?f=8&t=18967

forum.lissyara.su

не понимаю я этот kernel nat

не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat

Re: не понимаю я этот kernel nat