forum.lissyara.su

Добавлено: **2008-06-14 13:54:24**

Пишет что нат стартует но не работает?Посмотрите конфиги где то ошибка..???

mail2# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Stopping natd.
Waiting for PIDS: 52815, 52815, 52815, 52815, 52815.
Starting divert daemons: natdipfw: hostname ``vr0'' unknown
ipfw: unrecognised option [-1] em0

ipfw: unrecognised option [-1] em0

ipfw: hostname ``vr0'' unknown
ipfw: bad width ``255.255.255.248''
Firewall rules loaded.
net.inet.ip.fw.enable: 0 -> 1







[code]mail2# ipfw list
00100 allow ip from any to any via lo0
00200 allow ip from any to any
00300 allow ip from any to any frag
00400 allow tcp from any to any established
00500 allow ip from xxx.xxxx.xxx.xxx  to any out xmit em0
00600 allow ip from any to me dst-port 4848,15000 in via vr0
00700 deny ip from 192.168.0.0/16 to any in via em0
00800 deny ip from 172.16.0.0/12 to any in via em0
00900 deny ip from 10.0.0.0/8 to any in via em0
01000 allow ip from any to 193.232.88.17
01100 allow ip from any to 194.84.23.125
01200 allow ip from 193.232.88.17 to me
01300 allow ip from 194.84.23.125 to me
01400 allow icmp from any to any
01500 deny icmp from any to any frag
01600 divert 8668 ip from any to any via em0
65535 deny ip from any to any

[

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q"

LanOut="em0"
IPOut="xxx.xxx.xxx.xxx"
#NetOut="8"
MaskOut="255.255.255.248"

LanIn="vr0"
IPIn="192.168.0.235"
NetInIP="192.168.0.0"
NetInMask="24"
MaskIn="255.255.255.0"

Dns1="193.232.88.17"
Dns2="194.84.23.125"

### SBROS STARblX PRAVIL
${fwcmd} -f flush

### TRAFF SERVERA
${fwcmd} add allow all from any to any via lo0
${fwcmd} add allow all from any to any
### SAMBA
###${fwcmd} add allow all from ${LanIn} to me 137-139

### 'FRAGMENT' PAKETbl
${fwcmd} add allow all from any to any frag

### YSTANOVLENNblE SOEDINENIIA
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut}

### PROXY,SOCKS IZ LAN
${fwcmd} add allow all from any to me 4848,15000 in via ${LanIn}

### FTP
#${fwcmd} add allow all from any to any 20,ftp
#${fwcmd} add allow all from any to any 1024-65535

### Terminal,MAIL(POP3,SMTP,IMAP4),DNS

#${fwcmd} add pass tcp from any to any 23,25,110 in via ${LanIn}
#${fwcmd} add pass tcp from any 23,25,110 to any in via ${LanIn}
${fwcmd} add pass tcp from any to any 22
${fwcmd} add pass tcp from any 22 to any
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any


### WWW
${fwcmd} add pass tcp from any to me 80

### ZAPRET POIAVLENIIA PRIVAT ADRESOV NA VNEWNEM INTERFEISE


${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut}
${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${LanOut}

### RAZREWENIE LYUBOGO TRAFIKA OT/NA DNS SERVERA
${fwcmd} add allow all from any to ${Dns1}
${fwcmd} add allow all from any to ${Dns2}
${fwcmd} add allow all from ${Dns1} to me
${fwcmd} add allow all from ${Dns2} to me

### ICMP I ZAPRET FRAGMENTACII
${fwcmd} add allow icmp from any to any
${fwcmd} add deny icmp from any to any frag

### STOP SPOOFING
${fwcmd} add deny all from ${LanIn}/${MaskIn} to any in via ${LanOut}
${fwcmd} add deny all from ${IPOut}/${MaskOut} to any in via ${LanIn}

${fwcmd} add divert natd all from any to any via ${LanIn}


################### ZAPRET ##########################################
${fwcmd} add 65535 deny all from any to any

Добавлено: **2008-06-14 13:58:36**

разберитесь с ошибками

Starting divert daemons: natdipfw: hostname ``vr0'' unknown
ipfw: unrecognised option [-1] em0

ipfw: unrecognised option [-1] em0

ipfw: hostname ``vr0'' unknown
ipfw: bad width ``255.255.255.248''

у вас неправильный синтаксис в фаере

Добавлено: **2008-06-14 16:31:08**

Код: Выделить всё

cat /etc/rc.firewall

в студию
но предварительно
http://www.lissyara.su/?id=1127
http://www.lissyara.su/?id=1356

Добавлено: **2008-06-14 22:20:00**

статья супер пока все путем! natd пока не проверял но правила заработали , есть предположение что синтаксис был неправильный и самое начала файла сильно отличается.

разберусь опишу ситуацию!!!

статьи супер сайт рулит реально!!

Добавлено: **2008-06-15 6:07:11**

aheles писал(а):статья супер пока все путем! natd пока не проверял но правила заработали , есть предположение что синтаксис был неправильный и самое начала файла сильно отличается.

разберусь опишу ситуацию!!!

статьи супер сайт рулит реально!!

а кто бы спорил

Добавлено: **2008-06-16 11:03:31**

nat теперь работает и правила нормально, шлюз тоже пашет (пингую инет через него с других машин),

но не работает инет через шлюз!? отключил правило чтобы всех отправлять на squid не помогает.

Добавлено: **2008-06-16 11:06:47**

>шлюз тоже пашет (пингую инет через него с других машин),
понятно

>но не работает инет через шлюз
непонятно

понятно+непонятно=?

Добавлено: **2008-06-16 12:18:43**

не проходит похоже трафик http ,ping проходит а браузер фигу показывает!?

Добавлено: **2008-06-16 13:33:37**

пишет браузер:
Ошибка при загрузке http://www.pc.org/:
Истекло время ожидания сервера
Соединение было с http://www.pc.org, порт 80

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

-объясните причем здесь порт80 ??

Добавлено: **2008-06-16 13:44:53**

80 порт?
еще как причем
там еще 443 есть
и вообще много всяких
а что вы собственно хотите сделать?
прибейте те правила которые незнаете что они делают

Добавлено: **2008-06-16 14:00:21**

paradox писал(а):80 порт?
еще как причем
там еще 443 есть
и вообще много всяких
а что вы собственно хотите сделать?
прибейте те правила которые незнаете что они делают

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut} -я понял что это правило отправляет всех на прокси сервер

у меня просто закрывает с этим правилом или без него! закоментил его всеравно не пускает в инет,только через прокси!!
мне необходимо 2 варианта
1 - прозрачный прокси
2 - просто на прокси отправляет

и просто чтобы без прокси как шлюз интернет раздавал ? я бы переключал правила в зависимости от потребности

Добавлено: **2008-06-16 14:02:20**

))
я бы сказал что нужно сделать таким админам что чистого доступа в инетернет юзерам не дают

Добавлено: **2008-06-16 14:32:32**

paradox писал(а):))
я бы сказал что нужно сделать таким админам что чистого доступа в инетернет юзерам не дают

ошибочка пользователей через прокси только лишь а шлюз тоже необходим это правда!!!

Добавлено: **2008-06-16 14:35:21**

а юзеры это не пользователи? +)

Добавлено: **2008-06-16 14:39:11**

сервер на котором прокси разве не может быть шлюзои одновременно..???

Добавлено: **2008-06-16 14:50:51**

может
но прокси нужно не навязывать как в вашем случае
а предлагать
а интернет раздавать по vpn

Добавлено: **2008-06-16 15:00:25**

paradox писал(а):может
но прокси нужно не навязывать как в вашем случае
а предлагать
а интернет раздавать по vpn

а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???

Добавлено: **2008-06-16 15:10:44**

по мегабайтно
у пользователя в винде будет удаленное подключение
по которому он будет смотреть контролировать скоко трафика прошло

а сквид может и полевому насчитать
а если умный пользователь
так вы еще и в минус гигабайты можете остаться с прокси

)

Добавлено: **2008-06-16 15:14:45**

Примерно так:

Код: Выделить всё

# WAN
oif="xl0"
onet="194.105.x.x"
omask="255.255.255.240"
oip="194.105.x.x"

# LAN
iif="em0"
inet="192.168.0.0"
imask="255.255.0.0"
iip="192.168.1.15"

## NAT IP
nip="192.168.1.15, 192.168.1.16, .... и так далее...нужные ипы"
natd_interface="xl0"

правила до НАТа:
## Proxy
${fwcmd} add fwd 127.0.0.1,3128 tcp from not ${nip} to any 80,443,21 in via ${iif}

Правила НАТа:
${fwcmd} add divert natd all from ${nip} to any via ${natd_interface}
${fwcmd} add divert natd all from any to ${oip} in via ${natd_interface}

при таком конфиге, до НАТа доходят только избранные ипы, все остальные заворачиваются на прокси.

Добавлено: **2008-06-16 15:20:22**

звери....

бедненькие пользователи
как мне их жаль
а потом незнаешь кого матом крыть
за то что какойто горе провайдер у сбея проксю поставил

Добавлено: **2008-06-16 15:25:05**

aheles писал(а): а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???

Есть такое замечательное слово "биллинг".

Добавлено: **2008-06-16 15:27:35**

paradox писал(а):звери....

бедненькие пользователи
как мне их жаль
а потом незнаешь кого матом крыть
за то что какойто горе провайдер у сбея проксю поставил

я не провайдер я админ

Добавлено: **2008-06-16 15:40:34**

tango писал(а):
aheles писал(а): а как трафик считать как сайты доступ квоты -через впн или я чето не понял..???
Есть такое замечательное слово "биллинг".

да прикольно

я делаю это с помощью логов squid и пока доволен даже очень!

Добавлено: **2008-06-16 15:58:35**

эт потому что ваши пользователи пока что несчитают своих денег=))))

надо их будет научить
как качать и не платить за траффик

))

Добавлено: **2008-06-16 16:03:29**

что сделать в сквиде чтобы был прозрачный..????

forum.lissyara.su

Не работет нат

Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат

Re: Не работет нат