форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Ipfw Squid NAT"		+/–
Сообщение от SFinkS (ok) on 14-Дек-05, 16:42
Привет! никак не удается решить проблему! Не проходят пинги во внешний мир с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip адрес шлюза нормально бегают в инет. Попытка поднять нат ни к чему не приводит! Вот что писал: ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0 (rl0-смотрит в инет) ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0 ipfw -q add allow icmp from any to any Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите? Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень долго борюсь и никак не получается :( Help please
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ipfw Squid NAT"		+/–
Сообщение от Garet (ok) on 15-Дек-05, 07:27
>Привет! никак не удается решить проблему! Не проходят пинги во внешний мир >с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip >адрес шлюза нормально бегают в инет. Попытка поднять нат ни к >чему не приводит! Вот что писал: > >ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0 >(rl0-смотрит в инет) >ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0 > >ipfw -q add allow icmp from any to any > >Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите? >Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень >долго борюсь и никак не получается :( Help please добавь в свой фаервол в конце перед deny any to any следующие: ipfw add allow icmp from any to {Внешний IP адрес} in  via {Внешний интерфес} icmptype 0,3,4,11,12 ipfw add allow icmp from any to {Внутрения сеть} in  via {Внешний интерфейс} icmptype 0,3,4,11,12 ipfw add allow icmp from {внешний IP адрес} to any out via {внешний интерфейс} icmptype 3,8,12 ipfw add allow icmp from {внешний IP адрес} to any out via {внешний интерфейс} frag все очень просто этими правилами ты разрешаеш проход icmp пакетам спомощью которых и работает команда ping почитай ман по ipfw там помойму это описанно, но я могу и ошибаться
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ipfw Squid NAT"		+/–
Сообщение от logka (??) on 17-Дек-05, 14:57
>Привет! никак не удается решить проблему! Не проходят пинги во внешний мир >с локальных машин. Возможно их рубит squid? Браузеры, указывая им ip >адрес шлюза нормально бегают в инет. Попытка поднять нат ни к >чему не приводит! Вот что писал: > >ipfw add divert 8671 ip from 10.1.1.0/24 to any out via rl0 >(rl0-смотрит в инет) >ipfw add divert 8671 ip from any to 10.1.1.0/24 in recv rl0 > >ipfw -q add allow icmp from any to any > >Может надо еще что-то сделать? Надо ли при этом вырубать squid? На windows машинах смотрел nslookup любой ip адрес и все находит (пишет hostname) и наоборот (по hostname->ip). Но когда начинаешь пинговать, то пинги так и не идут. В чем проблема подскажите? >Может кто-то даст мыло, а я вышлю конфиги, чтобы посмотрели.. Уже очень >долго борюсь и никак не получается :( Help please Запусти сам нат nat -n rl0 то что по nslookup видит айпишники - говорит о работоспособности твоего днс. то что в инет можно бегать - говорит о работоспособности сквида. Включи нат и все.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Ipfw Squid NAT"		+/–
	Сообщение от barma (??) on 29-Дек-05, 18:25
	а не подскажите если внешний аф-пи динамический как его правильно в правилах указать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Ipfw Squid NAT"		+/–
	Сообщение от antoshkin (ok) on 30-Дек-05, 16:38
	me Ну типа: allow icmp from any to me И правильно тебе говорят. Включи сам НАТ: В /etc/rc.conf: natd_enable="YES" natd_interface="rl0" - подставь свой интерфейс. #/etc/rc.d/natd start
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Ipfw Squid NAT"		+/–
	Сообщение от Серей on 08-Ноя-06, 21:30
	Нашел!!!! До..л меня этот вопрос. Уникальность проблемы заключается в том что разрешающее правило в фаерволе запрещает!!!!!!!! При возврате пинга от любого внешнего сервера и при существующем разрешающем icmp правиле, пакет просто не возвращается в нат, поскольку он разрешен и прекращает дальнейшее движение по правилах фаервола. Хух :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Ipfw Squid NAT"		+/–
	Сообщение от saraceen (ok) on 21-Окт-09, 01:46
	>Нашел!!!! >До..л меня этот вопрос. Уникальность проблемы заключается в том что разрешающее правило >в фаерволе запрещает!!!!!!!! >При возврате пинга от любого внешнего сервера и при существующем разрешающем icmp >правиле, пакет просто не возвращается в нат, поскольку он разрешен и >прекращает дальнейшее движение по правилах фаервола. Хух :) аналогичная проблема, за исключением того что все и нат нормально работает, кроме пингов подскажите пожалуйста как лечится? после этой строчки в полностью открытом фаерволе пинги перестают идти add 216 allow log icmp from any to any icmptypes 0,8,11 P.S. сам разобрался с пингами! правило для icmp надо писать после правила divert natd и все будет пучком!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема