форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Нужна ваша критика и помощь"
Сообщение от vadimx (ok) on 07-Авг-05, 18:06  (MSK)
Нужно такое: Шлюз       IP 192.168.1.1 rl1            IP 10.0.0.1    rl0 Внешний    IP 11.0.100.2  ng0 Клиентская сеть 10.0.0.0/8                 192.168.1.0/24 ОС         FreeBSD 5.3 Нужно организовывать доступ в интернет пользователям с двух сетей с подсчетом трафика через IPA. Вот мой конфиг ipfw: #!/bin/sh ipfw='/sbin/ipfw -f' ${ipfw} flush ${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0 ${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0 ${ipfw} add divert natd ip from any to 11.0.100.2 ${ipfw} add allow ip from any to any via lo0 ${ipfw} add deny ip from any to 127.0.0.1/8 ${ipfw} add deny ip from 127.0.0.1/8 to any ${ipfw} add allow icmp from any to any ${ipfw} add allow ip from me to any keep-state ${ipfw} add allow ip from any to me keep-state ${ipfw} add allow ip from 192.168.1.2 to any keep-state ${ipfw} add allow ip from any to 192.168.1.2 keep-state ${ipfw} add allow ip from 10.0.0.5 to any keep-state ${ipfw} add allow ip from any to 10.0.0.5 keep-state Вот после некоторых часов работы ipfw show: 00100  40484  2239405 divert 8668 ip from 192.168.1.0/24 to any out xmit ng0 00200  38653  1749946 divert 8668 ip from 10.0.0.0/8 to any out xmit ng0 00300  89075 29025461 divert 8668 ip from any to 11.0.100.2 00400    122    31338 allow ip from any to any via lo0 00500      0        0 deny ip from any to 127.0.0.0/8 00600      0        0 deny ip from 127.0.0.0/8 to any 00700    554    49832 allow icmp from any to any 00800 195365 77656406 allow ip from me to any keep-state 00900  61000  4045434 allow ip from any to me keep-state 01000 118177 13423741 allow ip from 192.168.1.2 to any keep-state 01100    229    11129 allow ip from any to 192.168.1.2 keep-state 01200 113965 12774764 allow ip from 10.0.0.5 to any keep-state 01300     11      440 allow ip from any to 10.0.0.5 keep-state 65535    601    78900 deny ip from any to any Вопрос почему в правилах 110 и 1300 так мало трафика, этоже не может быть?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Нужна ваша критика и помощь"
Сообщение от vadimx (ok) on 09-Авг-05, 19:25  (MSK)
Ну что никто не поможет?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Нужна ваша критика и помощь"
Сообщение от Frukt (??) on 10-Авг-05, 07:28  (MSK)
Ты знаешь сделай any to any и всё заработает .. а вообще зайди в поиск и найди рабочии конфиги и правь под себя. И откуды ты всё это выкапал? И зачем вы поднимате нат на  divert 8668 ip from 192.168.1.0/24 to any out xmit ng0 ..внутренню сетку?...в общем в поиск.. или всё по порядку. И начинать надо с 1 сети чтоб она заработала а не за всё сразу. Причём вторую сеть можно привязать через алиас. Если конечно клиенты не против.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Нужна ваша критика и помощь"
	Сообщение от vadimx (ok) on 11-Авг-05, 11:31  (MSK)
	>Ты знаешь сделай any to any и всё заработает .. а вообще >зайди в поиск и найди рабочии конфиги и правь под себя. >И откуды ты всё это выкапал? >И зачем вы поднимате нат на  divert 8668 ip from 192.168.1.0/24 >to any out xmit ng0 ..внутренню сетку?...в общем в поиск.. или >всё по порядку. >И начинать надо с 1 сети чтоб она заработала а не за >всё сразу. Причём вторую сеть можно привязать через алиас. Если конечно >клиенты не против. Если я сделаю any to any, то тогда не смогу разрешать инет определенным клиентам, буду лезть все. Выкапал, сам коечто подумал и на сайтах почутьчуть )) А если нат не поднимать какой в нете у них ИП будет? Неспорю, по очереди надо, но у меня ни там ни там выходной трафик не работает ((
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Нужна ваша критика и помощь"
	Сообщение от Frukt (??) on 12-Авг-05, 07:37  (MSK)
	нат требуется поднимать только на внешнем интерфейсе а не на всех. Я не знаю кто как но я стараюсь сначало сделать чтоб всё работало а потом прижимать. Для меня так проще. Если у Вас 1 IP то в любом случае придётся над поднимать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Нужна ваша критика и помощь"
	Сообщение от vadimx (ok) on 17-Авг-05, 05:50  (MSK)
	>нат требуется поднимать только на внешнем интерфейсе а не на всех. >Я не знаю кто как но я стараюсь сначало сделать чтоб всё >работало а потом прижимать. Для меня так проще. Если у Вас >1 IP то в любом случае придётся над поднимать. А я на какой интерфейс поднял? ))))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Нужна ваша критика и помощь"
	Сообщение от Frukt (??) on 17-Авг-05, 06:50  (MSK)
	${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0 ${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0 ${ipfw} add divert natd ip from any to 11.0.100.2 а это что ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Нужна ваша критика и помощь"
	Сообщение от antoshkin (ok) on 18-Авг-05, 14:44  (MSK)
	>${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0 > >${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0 > >${ipfw} add divert natd ip from any to 11.0.100.2 > >а это что ? Это эквивалентно одному правилу: divert natd ip from any to any via ng0 НАТ у него действительно на одном интерфейсе, просто правилами этими исключается НАТ с "чужих" адресов, только своя сетка.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Нужна ваша критика и помощь"
	Сообщение от Frukt (??) on 18-Авг-05, 14:49  (MSK)
	ну интересное поставление я обычно правилом deny закрываю....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Нужна ваша критика и помощь"
	Сообщение от vadimx (??) on 19-Авг-05, 00:31  (MSK)
	>ну интересное поставление я обычно правилом deny закрываю.... На каждую возможную сеть будешь deny писать? )))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Нужна ваша критика и помощь"
	Сообщение от Frukt (??) on 19-Авг-05, 06:58  (MSK)
	я разрешаю только тем кто может работать и по каким портам а дальше всё запрещаю.... на счёт подсеток. я привязываю сети через алиас к интерфейсу и всё и причём тут .......исключается НАТ с "чужих" адресов, только своя сетка... не будет нат работать из чюжой сети . он через шлюз не пройдёт...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Нужна ваша критика и помощь"
	Сообщение от Frukt (??) on 18-Авг-05, 14:50  (MSK)
	да тут напутано вобщем в поиск и там есть настройка поиска
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.