The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPFW+NATD"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"IPFW+NATD"  +/
Сообщение от Romkins email(ok) on 20-Июл-12, 13:11 
день всем добрый

не совсем понятна ситуация с NATD. Freebsd 9.0

система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а дальше провайдер сам натит за реальным адресом.
rc.conf, лишнее вырезано

ifconfig_sk0=" inet 10.3.1.66 netmask 255.255.255.252"
ifconfig_rl0=" inet 192.168.1.3 netmask 255.255.255.0"
gateway_enable=YES
firewall_enable="YES"
firewall_script="/etc/firewall"
firewall_logging="YES"
natd_enable="YES"

natd.conf
port 8669
same_ports
use_sockets yes
#unregistered_only
interface sk0
log

firewall

#!/bin/sh -

cmd="/sbin/ipfw -q add"

/sbin/ipfw -f flush
$cmd 100 allow ip from any to any via lo0
$cmd 100 deny ip from any to 127.0.0.0/8
$cmd 100 deny ip from 127.0.0.0/8 to any
$cmd 101 deny ip from me to table\(1\)
$cmd 101 deny ip from table\(1\) to me
$cmd 102 divert natd ip from 192.168.1.0/24 to any 110,25 out via sk0

$cmd 102 divert natd ip from any to 82.200.x.x in via sk0
$cmd 102 divert natd ip from any 110 to 10.3.1.66 in via sk0
$cmd 102 divert natd ip from any 25 to 10.3.1.66 in via sk0

killall -9 natd
/sbin/natd -config /etc/natd.conf -log_denied

ipfw show 102
00102     99     4752 divert 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
00102      0        0 divert 8668 ip from any to 82.200.68.114 in via sk0
00102      0        0 divert 8668 ip from any 110 to 10.3.1.66 in via sk0
00102      0        0 divert 8668 ip from any 25 to 10.3.1.66 in via sk0

выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
спасибо

Ответить | Правка | Cообщить модератору

Оглавление

  • IPFW+NATD, PavelR, 13:48 , 20-Июл-12, (1)  
    • IPFW+NATD, Romkins, 05:55 , 21-Июл-12, (6)  
      • IPFW+NATD, PavelR, 08:56 , 21-Июл-12, (9)  
  • IPFW+NATD, DN, 14:25 , 20-Июл-12, (2)  
    • IPFW+NATD, nagual, 17:04 , 20-Июл-12, (3)  
  • IPFW+NATD, михалыч, 18:27 , 20-Июл-12, (4)  
    • IPFW+NATD, Аноним, 21:37 , 20-Июл-12, (5)  
      • IPFW+NATD, Romkins, 05:56 , 21-Июл-12, (7)  
        • IPFW+NATD, михалыч, 08:15 , 21-Июл-12, (8)  
          • IPFW+NATD, Romkins, 05:29 , 23-Июл-12, (12)  
        • IPFW+NATD, DN, 00:33 , 22-Июл-12, (10)  
          • IPFW+NATD, Romkins, 05:28 , 23-Июл-12, (11)  

Сообщения по теме [Сортировка по времени | RSS]


1. "IPFW+NATD"  +/
Сообщение от PavelR (ok) on 20-Июл-12, 13:48 

> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(

у вас отсутствует шлюз по умоланию.

> спасибо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "IPFW+NATD"  +/
Сообщение от Romkins (ok) on 21-Июл-12, 05:55 
>> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
>> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
>> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
> у вас отсутствует шлюз по умоланию.
>> спасибо

он присутствует, я его просто вырезал здесь, как лишнее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "IPFW+NATD"  +/
Сообщение от PavelR (ok) on 21-Июл-12, 08:56 
>>> выглядит так, вижу, что правило 102 первое отрабатывает, счётчик увеличивается, а назад
>>> не дивертит. включаю tcpdump -ni sk0 port 110 и ничего не
>>> вижу, ни исходящие, ни входящие пакеты. ничего не понимаю ;(
>> у вас отсутствует шлюз по умоланию.
>>> спасибо
> он присутствует, я его просто вырезал здесь, как лишнее.

Обращаю ваше внимание, что вы лишним посчитали и весь вывод "ipfw show", а значит точно знаете, что там лишнее, а что нет. С такой уверенностью вы без проблем справитесь со всеми своими сложностями.  (собственно, думаю, что решение в этой теме уже озвучено).

"развлекайтесь" дальше сами.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "IPFW+NATD"  +/
Сообщение от DN (ok) on 20-Июл-12, 14:25 
> natd.conf
> port 8669

^^^^^^^^^^^^^^^^^^

8668  по default


> ipfw show 102
> 00102     99     4752 divert
> 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
> 00102      0      
>   0 divert 8668 ip from any to 82.200.68.114 in
> via sk0
> 00102      0      

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "IPFW+NATD"  +/
Сообщение от nagual email(ok) on 20-Июл-12, 17:04 
>[оверквотинг удален]
>> port 8669
> ^^^^^^^^^^^^^^^^^^
> 8668  по default
>> ipfw show 102
>> 00102     99     4752 divert
>> 8668 ip from 192.168.1.0/24 to any dst-port 110,25 out via sk0
>> 00102      0
>>   0 divert 8668 ip from any to 82.200.68.114 in
>> via sk0
>> 00102      0

NATD ? простите а какой год на дворе ? :-))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPFW+NATD"  +/
Сообщение от михалыч (ok) on 20-Июл-12, 18:27 
> день всем добрый

Добрый

> не совсем понятна ситуация с NATD. Freebsd 9.0

Угу ))

> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
> дальше провайдер сам натит за реальным адресом.

А зачем тогда натд?

> rc.conf, лишнее вырезано

Точно лишнее? ))

действительно, почему именно натд, а не просто ядреный нат?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "IPFW+NATD"  +/
Сообщение от Аноним (??) on 20-Июл-12, 21:37 
>> день всем добрый
> Добрый
>> не совсем понятна ситуация с NATD. Freebsd 9.0
> Угу ))
>> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
>> дальше провайдер сам натит за реальным адресом.
> А зачем тогда натд?
>> rc.conf, лишнее вырезано
> Точно лишнее? ))
> действительно, почему именно натд, а не просто ядреный нат?

Потому что начитаются всяких хау-ту лохматых годов и тупо делают по ним, совершенно не разбираясь в теме

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "IPFW+NATD"  +/
Сообщение от Romkins (ok) on 21-Июл-12, 05:56 
>[оверквотинг удален]
>>> не совсем понятна ситуация с NATD. Freebsd 9.0
>> Угу ))
>>> система поставлена с нуля. имеет два интерфейса, оба с фейковыми адресами, а
>>> дальше провайдер сам натит за реальным адресом.
>> А зачем тогда натд?
>>> rc.conf, лишнее вырезано
>> Точно лишнее? ))
>> действительно, почему именно натд, а не просто ядреный нат?
> Потому что начитаются всяких хау-ту лохматых годов и тупо делают по ним,
> совершенно не разбираясь в теме

ребята, я же не просил выносить на обсуждение, что кому нравится, а кому нет. это дело личное каждого, ядрёный или не ядрёный нат использовать. просил помочь

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "IPFW+NATD"  +/
Сообщение от михалыч (ok) on 21-Июл-12, 08:15 
> ребята, я же не просил выносить на обсуждение, что кому нравится, а
> кому нет. это дело личное каждого, ядрёный или не ядрёный нат
> использовать. просил помочь

Ну-ну.. ))
Конфиг нат и натд почти не отличаются друг от друга.
Ман нат и натд.
Нат быстрее, менее прожорливый и тд и тп

Протестируйте самый простейший конфиг,
если он работает, то потом и добавляйте свои таблицы, порты
и отдельные хосты.
А то, вроде как, получается вы в таблице 1 (правило 101)
блокируете нужный вам хост (вашего прова?)

50 divert 8668 ip from any to any via sk0
100 allow ip from any to any via lo0
200 deny ip from any to 127.0.0.0/8
300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "IPFW+NATD"  +/
Сообщение от Romkins (ok) on 23-Июл-12, 05:29 
>[оверквотинг удален]
> Протестируйте самый простейший конфиг,
> если он работает, то потом и добавляйте свои таблицы, порты
> и отдельные хосты.
> А то, вроде как, получается вы в таблице 1 (правило 101)
> блокируете нужный вам хост (вашего прова?)
> 50 divert 8668 ip from any to any via sk0
> 100 allow ip from any to any via lo0
> 200 deny ip from any to 127.0.0.0/8
> 300 deny ip from 127.0.0.0/8 to any
> 65000 allow ip from any to any

спасибо, попробую

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPFW+NATD"  +/
Сообщение от DN (ok) on 22-Июл-12, 00:33 
> использовать. просил помочь
> natd.conf
> port 8669

8668 должен быть. У Вас правила ipfw на него дивертят.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "IPFW+NATD"  +/
Сообщение от Romkins (ok) on 23-Июл-12, 05:28 
>> использовать. просил помочь
>> natd.conf
>> port 8669
> 8668 должен быть. У Вас правила ipfw на него дивертят.

большое вам спасибо, по невнимательности ;(

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру