The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD, nat+firewall"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 15:31 
схема --
http://img716.imageshack.us/img716/5584/sxema1.gif

как понять - что именно мешает ноуту выходить в и-нет?
какой еще информации не хватает на схеме? :)

с фрибсд раньше не работал вообще, все делаю по мануалам, в результате ужал фаерволл вот до того что на схеме - результата все равно нет.


p.s.
# uname -a
FreeBSD mail2 6.4-RELEASE FreeBSD 6.4-RELEASE #0: Wed Nov 26 12:11:16 UTC 2008     root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP  i386

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD, nat+firewall"  –1 +/
Сообщение от PavelR (??) on 27-Окт-10, 15:54 
>[оверквотинг удален]
> http://img716.imageshack.us/img716/5584/sxema1.gif
> как понять - что именно мешает ноуту выходить в и-нет?
> какой еще информации не хватает на схеме? :)
> с фрибсд раньше не работал вообще, все делаю по мануалам, в результате
> ужал фаерволл вот до того что на схеме - результата все
> равно нет.
> p.s.
> # uname -a
> FreeBSD mail2 6.4-RELEASE FreeBSD 6.4-RELEASE #0: Wed Nov 26 12:11:16 UTC 2008
>     root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP  i386

это п-ц, а не схема.

Ничего не понятно. Это не понятно и вам, поэтому и не работает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 15:55 
> это п-ц, а не схема.
> Ничего не понятно. Это не понятно и вам, поэтому и не работает.

спасибо за содержательный ответ, проходите мимо пожалуйста.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "FreeBSD, nat+firewall"  +/
Сообщение от DN (ok) on 27-Окт-10, 16:10 
>> это п-ц, а не схема.
>> Ничего не понятно. Это не понятно и вам, поэтому и не работает.
> спасибо за содержательный ответ, проходите мимо пожалуйста.

Правило 50 из ipfw уберите.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "FreeBSD, nat+firewall"  +/
Сообщение от Pahanivo (ok) on 27-Окт-10, 16:29 
> Правило 50 из ipfw уберите.

)) а как же нат ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 16:30 
> Правило 50 из ipfw уберите.

толку тогда от этой конструкции? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "FreeBSD, nat+firewall"  +/
Сообщение от Pahanivo (ok) on 27-Окт-10, 16:29 
>> это п-ц, а не схема.
>> Ничего не понятно. Это не понятно и вам, поэтому и не работает.
> спасибо за содержательный ответ, проходите мимо пожалуйста.

схема действительно не блешем смыслом - я тоже так и не понял чо у так куда идет ...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 16:31 
>>> это п-ц, а не схема.
>>> Ничего не понятно. Это не понятно и вам, поэтому и не работает.
>> спасибо за содержательный ответ, проходите мимо пожалуйста.
> схема действительно не блешем смыслом - я тоже так и не понял
> чо у так куда идет ...

что именно не понятно?
ноут, сервер, каталист, - все рядом, я могу добыть всю инфу какую нужно.
фразы "мне ничего не понятно" они понятны, но не помогают! :)

айпишники интерфейсов - приведены,
правила фаервола (ipfw show) - есть
роутинг - (netstat -rn) - есть
выдержка из файла конфигурации ядра - (там где про IPDIVERT и IPFIREWALL) - есть
с сервера 8.8.8.8 пингуется, а с ноута - нет
хочется понять почему

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "FreeBSD, nat+firewall"  +/
Сообщение от Michael (??) on 27-Окт-10, 16:47 

> с сервера 8.8.8.8 пингуется, а с ноута - нет
> хочется понять почему

tcpdump  вам в помощь

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 16:53 
в какой стороне Интернет?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "FreeBSD, nat+firewall"  –1 +/
Сообщение от PavelR (??) on 27-Окт-10, 16:55 
> в какой стороне Интернет?

в Южном Бутово.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 16:55 
> в какой стороне Интернет?

за циской2811, сам сервер в и-нет выходит нормально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "FreeBSD, nat+firewall"  +/
Сообщение от Pahanivo (ok) on 27-Окт-10, 16:53 
>>>> это п-ц, а не схема.
>>>> Ничего не понятно. Это не понятно и вам, поэтому и не работает.
>>> спасибо за содержательный ответ, проходите мимо пожалуйста.
>> схема действительно не блешем смыслом - я тоже так и не понял
>> чо у так куда идет ...
> что именно не понятно?
> ноут, сервер, каталист, - все рядом, я могу добыть всю инфу какую
> нужно.

например кто дефаулт для ноута ?
как приценлен 8.8.8.8 ?
что за таинственный хост x.x.x.17 в качестве деволта ? на схеме его нет

> айпишники интерфейсов - приведены,
> правила фаервола (ipfw show) - есть
> роутинг - (netstat -rn) - есть
> выдержка из файла конфигурации ядра - (там где про IPDIVERT и IPFIREWALL)
> - есть
> с сервера 8.8.8.8 пингуется, а с ноута - нет
> хочется понять почему

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "FreeBSD, nat+firewall"  +/
Сообщение от PavelR (??) on 27-Окт-10, 16:56 
>[оверквотинг удален]
>>>> спасибо за содержательный ответ, проходите мимо пожалуйста.
>>> схема действительно не блешем смыслом - я тоже так и не понял
>>> чо у так куда идет ...
>> что именно не понятно?
>> ноут, сервер, каталист, - все рядом, я могу добыть всю инфу какую
>> нужно.
> например кто дефаулт для ноута ?
> как приценлен 8.8.8.8 ?
> что за таинственный хост x.x.x.17 в качестве деволта ? на схеме его
> нет

не, я тоже когда-то основной раздел линуха своего как swap запустил :-)

Но блин, ... где умные люди с интересными вопросами ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 16:59 
> например кто дефаулт для ноута ?

10.0.1.254

> как приценлен 8.8.8.8 ?

8.8.8.8 -- это гугловский публичный днс.
с сервера пингуется, с ноута - нет.


> что за таинственный хост x.x.x.17 в качестве деволта ? на схеме его
> нет

пардон, это адрес циски2811, для сервера она служит дефолт гейтвеем, она, циска, интернет раздает серверу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 17:02 
>> например кто дефаулт для ноута ?
> 10.0.1.254

ЗАЧЕМ???
поставье X.X.X.17

>> как приценлен 8.8.8.8 ?
> не понял этого вопроса.
>> что за таинственный хост x.x.x.17 в качестве деволта ? на схеме его
>> нет
> пардон, это адрес циски2811, для сервера она служит дефолт гейтвеем, она, циска,
> интернет раздает серверу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 17:09 
>>> например кто дефаулт для ноута ?
>> 10.0.1.254
> ЗАЧЕМ???
> поставье X.X.X.17

я всегда готов признать что я чего то не знаю
вот например сейчас --

как мне ноуту с айпишником из подсети 10.0.1.0 /24 выдать дефотгейтвей 20.20.20.17, например?

ос ноута - winXP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "FreeBSD, nat+firewall"  +/
Сообщение от PavelR (??) on 27-Окт-10, 17:11 
>>>> например кто дефаулт для ноута ?
>>> 10.0.1.254
>> ЗАЧЕМ???
>> поставье X.X.X.17
> я всегда готов признать что я чего то не знаю
> вот например сейчас --
> как мне ноуту с айпишником из подсети 10.0.1.0 /24 выдать дефотгейтвей 20.20.20.17,
> например?

Выдав ему адрес из соответствующей сети и произведя соответствующие настройки на циске-раутере, если потребуются.

> ос ноута - winXP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 17:16 
> Выдав ему адрес из соответствующей сети и произведя соответствующие настройки на циске-раутере,
> если потребуются.

возможно я там не написал в начале --
(да не написал, мой косяк)

задача - раздача и-нета ноуту сервером.
циска тут вообще не причем, надо было удалить со схемы вообще и обозвать этот хвост как ISP.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "FreeBSD, nat+firewall"  +/
Сообщение от PavelR (??) on 27-Окт-10, 16:54 
>[оверквотинг удален]
> ноут, сервер, каталист, - все рядом, я могу добыть всю инфу какую
> нужно.
> фразы "мне ничего не понятно" они понятны, но не помогают! :)
> айпишники интерфейсов - приведены,
> правила фаервола (ipfw show) - есть
> роутинг - (netstat -rn) - есть
> выдержка из файла конфигурации ядра - (там где про IPDIVERT и IPFIREWALL)
> - есть
> с сервера 8.8.8.8 пингуется, а с ноута - нет
> хочется понять почему

У вас выход в инет происходит через какой квадратик ?

с надписью "ping 8.8.8.8 - OK" или с надписью "make LINT" ?

в этой схеме столько бреда, что хочется отправить вас .....

А, я же мимо прохожу, ушел, извините.


//всё таки книжки почитайте, если сможете.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 17:00 
на 2811 и на catalyst
покажите
sho run
какой шлюз по-умолчанию на нутбуке?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 17:04 
> на 2811 и на catalyst
> покажите
> sho run
> какой шлюз по-умолчанию на нутбуке?

каталист --
interface FastEthernet0/9
description temp.to.01.12.2010
switchport access vlan 401
switchport mode access


2811 --
interface FastEthernet0/1.119
encapsulation dot1Q 119
ip address х.х.х.17 255.255.255.240
ip accounting output-packets
ip policy route-map gold-iron
no snmp trap link-status
no cdp enable

route-map gold-iron permit 10
match ip address 101
set ip default next-hop х.х.х.13

но ноуте -- 10.0.1.254

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 17:15 
на 2811 нет?
enc dot1Q 401
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 17:18 
> на 2811 нет?
> enc dot1Q 401

не, нету. она его вообще не видит и не должна видеть.
для циски имеет значение только влан119 и все что в нем бегает.

задача -- я там в начале забыл написать -- сервер должен раздавать и-нет ноуту.
не циска, а сервер freebsd.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 17:31 
вторую сетевую карту вставить в пс с freebsd нельзя и к ней подллючить лэптоп.
и если divert нельзя запустить на vlan 119
если нет, попробуй правило с divertом разнести на два правила

divert 8668 ip from 10.0.10/24 to any in via em0
divert 8668 ip from any to x.x.x.30 in via em0

или так
divert 8668 ip from 10.0.10/24 to any in via vlan401
divert 8668 ip from any to x.x.x.30 in via vlan119

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 17:46 
> вторую сетевую карту вставить в пс с freebsd нельзя и к ней
> подллючить лэптоп.

нет, никак.

> и если divert нельзя запустить на vlan 119
> если нет, попробуй правило с divertом разнести на два правила
> divert 8668 ip from 10.0.10/24 to any in via em0
> divert 8668 ip from any to x.x.x.30 in via em0
> или так
> divert 8668 ip from 10.0.10/24 to any in via vlan401
> divert 8668 ip from any to x.x.x.30 in via vlan119

"10.0.10/24" -- это "10.0.1.0/24" ? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 17:48 
да именно так
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 27-Окт-10, 19:43 
> да именно так

результат тот же - не раздается ничего, при выводе ipfw show в правилах про диверт - нули.

в rc.conf
natd_interface="em0"
так и должно быть, или должно быть "vlan119" ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "FreeBSD, nat+firewall"  +/
Сообщение от Хроник on 27-Окт-10, 20:04 
>> да именно так
> результат тот же - не раздается ничего, при выводе ipfw show в
> правилах про диверт - нули.
> в rc.conf
> natd_interface="em0"
> так и должно быть, или должно быть "vlan119" ?

natd_interface тут должно быть у тебя, то через что реально ходит инет, т.е. это vlan119

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 10:20 
> natd_interface тут должно быть у тебя, то через что реально ходит инет,
> т.е. это vlan119

ставил и так и так, результат один, на счетчиках divert - нули.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 20:07 
natd_interface=""               # Public interface or IPaddress to use.
natd_interface=x.x.x.19 (или x.x.x.30)

покажите
ifconfig -a
ipfw show
ps -ax
cat /etc/rc.conf


em0 и vlan119 в одной сети находятся?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 27-Окт-10, 20:17 
попробуй убрать адрес с em0
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 10:35 
адрес с em0 убираем

natd -a x.x.x.30

divert 8668 ip from any to any via vlan119

так?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 10:39 
> natd_interface=""          
>    # Public interface or IPaddress to use.
> natd_interface=x.x.x.19 (или x.x.x.30)
> покажите
> ifconfig -a


# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        inet *.*.*.30 netmask 0xfffffff0 broadcast *.*.*.31
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
vlan119: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet *.*.*.19 netmask 0xfffffff0 broadcast *.*.*.31
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 119 parent interface: em0
vlan401: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.0.1.254 netmask 0xffffff00 broadcast 10.0.1.255
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 401 parent interface: em0

> ipfw show


2# ipfw show
00100     0       0 check-state
00200   148   25832 allow ip from any to any via lo0
00300     0       0 deny ip from any to 127.0.0.0/8
00400     0       0 deny ip from 127.0.0.0/8 to any
00500   133   10434 allow ip from 10.0.1.0/24 to 10.0.1.0/24 via vlan401
00600     0       0 deny ip from any to 0.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,169.254.0.0/16,192.0.2.0/24 out via vlan119
00700     0       0 deny ip from 0.0.0.0/8,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,169.254.0.0/16,192.0.2.0/24 to any in via vlan119
00800     0       0 deny ip from any to 224.0.0.0/4,240.0.0.0/4 out via vlan119
00900     0       0 deny ip from 224.0.0.0/4,240.0.0.0/4 to any in via vlan119
01000     0       0 divert 8668 ip from 10.0.1.0/24 to any out via vlan119
01100     0       0 divert 8668 ip from any to 10.0.1.0/24 in recv vlan119
01200 29558 3317879 allow ip from any to any
01300     0       0 deny ip from any to any
65535     0       0 deny ip from any to any

> ps -ax


2# ps -ax
  PID  TT  STAT      TIME COMMAND
    0  ??  WLs    0:00.01 [swapper]
    1  ??  ILs    0:00.03 /sbin/init --
    2  ??  DL     0:01.46 [g_event]
    3  ??  DL     0:01.77 [g_up]
    4  ??  DL     0:02.72 [g_down]
    5  ??  DL     0:00.00 [xpt_thrd]
    6  ??  DL     0:00.00 [acpi_task_0]
    7  ??  DL     0:00.00 [acpi_task_1]
    8  ??  DL     0:00.00 [acpi_task_2]
    9  ??  DL     0:00.00 [thread taskq]
   10  ??  RL   891:08.15 [idle: cpu1]
   11  ??  RL   889:53.10 [idle: cpu0]
   12  ??  WL     0:00.23 [swi1: net]
   13  ??  WL     0:28.77 [swi4: clock sio]
   14  ??  WL     0:00.00 [swi3: vm]
   15  ??  DL     0:01.74 [yarrow]
   16  ??  WL     0:00.00 [swi2: cambio]
   17  ??  WL     0:00.54 [swi6: task queue]
   18  ??  WL     0:00.00 [swi6: Giant taskq]
   19  ??  WL     0:00.00 [swi5: +]
   20  ??  DL     0:00.00 [kqueue taskq]
   21  ??  WL     0:00.00 [irq9: acpi0]
   22  ??  WL     0:00.00 [irq23: uhci0 ehci0]
   23  ??  DL     0:00.00 [usb0]
   24  ??  DL     0:00.00 [usbtask]
   25  ??  WL     0:01.19 [irq19: uhci1+]
   26  ??  DL     0:00.00 [usb1]
   27  ??  WL     0:00.00 [irq18: uhci2]
   28  ??  DL     0:00.00 [usb2]
   29  ??  WL     0:00.00 [irq16: uhci3]
   30  ??  DL     0:00.00 [usb3]
   31  ??  DL     0:00.00 [usb4]
   32  ??  WL     0:01.67 [irq17: em0]
   33  ??  WL     0:00.00 [irq14: ata0]
   34  ??  WL     0:00.00 [irq15: ata1]
   35  ??  WL     0:00.01 [irq1: atkbd0]
   36  ??  WL     0:00.00 [swi0: sio]
   37  ??  DL     0:00.03 [pagedaemon]
   38  ??  DL     0:00.00 [vmdaemon]
   39  ??  DL     0:00.47 [pagezero]
   40  ??  DL     0:00.16 [bufdaemon]
   41  ??  DL     0:21.59 [syncer]
   42  ??  DL     0:00.16 [vnlru]
   43  ??  DL     0:00.26 [softdepflush]
   44  ??  DL     0:00.82 [schedcpu]
  129  ??  Is     0:00.00 adjkerntz -i
  745  ??  Is     0:00.00 /sbin/devd
  959  ??  Is     0:00.16 /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s
 1079  ??  Is     0:00.14 /usr/sbin/named -t /var/named -u bind
 1178  ??  Is     0:00.05 /usr/sbin/usbd
 1215  ??  Is     0:00.40 /usr/sbin/sshd
 1221  ??  Ss     0:00.41 sendmail: accepting connections (sendmail)
 1225  ??  Is     0:00.01 sendmail: Queue runner@00:30:00 for /var/spool/clientmqueue (sendmail)
 1232  ??  Ss     0:00.11 /usr/sbin/cron -s
 1511  ??  Is     0:02.21 sshd: root@ttyp0 (sshd)
 1726  ??  Is     0:00.00 /sbin/natd -m -u -n vlan119
 2435  ??  I      0:00.00 cron: running job (cron)
 2439  ??  Z      0:00.07 <defunct>
 2454  ??  Is     0:00.00 /usr/bin/perl /usr/local/cdr_ip/store.pl start (perl5.8.8)
 5192  ??  Ss     0:00.04 sshd: root@ttyp1 (sshd)
 1276  v0  Is     0:00.02 login [pam] (login)
 1304  v0  I+     0:00.02 -csh (csh)
 1277  v1  Is+    0:00.00 /usr/libexec/getty Pc ttyv1
 1278  v2  Is+    0:00.00 /usr/libexec/getty Pc ttyv2
 1279  v3  Is+    0:00.00 /usr/libexec/getty Pc ttyv3
 1280  v4  Is+    0:00.00 /usr/libexec/getty Pc ttyv4
 1281  v5  Is+    0:00.00 /usr/libexec/getty Pc ttyv5
 1282  v6  Is+    0:00.00 /usr/libexec/getty Pc ttyv6
 1283  v7  Is+    0:00.00 /usr/libexec/getty Pc ttyv7
 1516  p0  Is+    0:00.03 -csh (csh)
 5196  p1  Ss     0:00.02 -csh (csh)
 5222  p1  R+     0:00.00 ps -ax

> cat /etc/rc.conf
[code
# cat /etc/rc.conf
# -- sysinstall generated deltas -- # Fri Nov 20 15:53:18 2009
# Created: Fri Nov 20 15:53:18 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="*.*.*.17"
hostname="freebsd"
ifconfig_em0="inet *.*.*.30 netmask 255.255.255.240"
cloned_interfaces="vlan119 vlan401"
ifconfig_vlan119="inet *.*.*.19 netmask 255.255.255.240 vlan 119 vlandev em0"
ifconfig_vlan401="inet 10.0.1.254 netmask 255.255.255.0 vlan 401 vlandev em0"
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"
natd_enable="YES"
natd_interface="vlan119"
# natd_interface="em0"
tcp_drop_synfin="YES"
natd_flags="-m -u"
sshd_enable="YES"
usbd_enable="YES"
named_enable="YES"              # Run named, the DNS server (or NO).
named_program="/usr/sbin/named" # path to named, if you want a different one.
#named_flags=""                 # Flags for named
named_pidfile="/var/run/named/pid" # Must set this in named.conf as well
named_uid="bind"                # User to run named as
named_chrootdir="/var/named"    # Chroot directory (or "" not to auto-chroot it)
named_chroot_autoupdate="YES"   # Automatically install/update chrooted
                                # components of named. See /etc/rc.d/named.
named_symlink_enable="YES"      # Symlink the chrooted pid file
linux_enable="YES"
apache22_enable="YES"
mysql_enable="YES"
mysql_dbdir="/usr/local/mysqldb"
proftpd_enable="YES"
> em0 и vlan119 в одной сети находятся?
да
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 11:49 
Оставь только
divert 8668 ip from any to any via vlan119
allow ip from any to any

убрать адрес с em0
закомментировать
ifconfig_em0="inet *.*.*.30 netmask 255.255.255.240"

natd -a *.*.*.30

netstat -rn

чтобы строчка была
default x.x.x.17 ....... vlan119 (вместо em0)

почему на схеме на 2811 написано x.x.x.16 vlan119
а в маршрутах написано x.x.x.17 ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 12:56 
> Оставь только
> divert 8668 ip from any to any via vlan119
> allow ip from any to any


# ipfw show
00100    0      0 check-state
00200  194  26820 allow ip from any to any via lo0
00300    0      0 deny ip from any to 127.0.0.0/8
00400    0      0 deny ip from 127.0.0.0/8 to any
00500  810 115212 divert 8668 ip from any to any via vlan119
00600 1179 137352 allow ip from any to any
65535    0      0 deny ip from any to any


> убрать адрес с em0
> закомментировать
> ifconfig_em0="inet *.*.*.30 netmask 255.255.255.240"

# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
vlan119: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet x.x.x.19 netmask 0xfffffff0 broadcast x.x.x.31
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 119 parent interface: em0
vlan401: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.0.1.254 netmask 0xffffff00 broadcast 10.0.1.255
        ether 00:13:20:e9:29:b7
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 401 parent interface: em0

> natd -a *.*.*.30

а это зачем? тридцатый сейчас вообще нигде не участвует
в rc.conf на данный момент -- natd_interface = "vlan119"

> netstat -rn

# netstat -rn
Routing tables
Internet:  
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            х.х.х.17           UGS         0     1191 vlan119
10.0.1/24          link#4             UC          0        0 vlan401
10.0.1.2           00:22:15:7a:e4:17  UHLW        1      307 vlan401    893
127.0.0.1          127.0.0.1          UH          0       97    lo0
х.х.х.16/28        link#3             UC          0        0 vlan119
х.х.х.17           00:1c:58:f6:e7:79  UHLW        2        0 vlan119   1183

> чтобы строчка была
> default x.x.x.17 ....... vlan119 (вместо em0)
> почему на схеме на 2811 написано x.x.x.16 vlan119
> а в маршрутах написано x.x.x.17 ?

16/28 -- это подсетка, циска - 17.

ноуту и-нет так и не раздается :/

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 13:12 
уже лучше, через пакеты натятся, маршрут по умолчанию что надо.
default            х.х.х.17           UGS         0     1191 vlan119

и через divert проходят пакеты

просили же
00500  810 115212 divert 8668 ip from any to any via vlan119
00600 1179 137352 allow ip from any to any

теперь так
divert 8668 ip from 10.0.1.0/24 to any out via vlan119
divert 8668 ip from any to х.х.х.17 in via vlan119
allow ip from any to any

с freebsd
ping x.x.x.17
ping внешний адрес 2811
ping адрес провайдера
ping  194.87.0.50

с ноутбука
ping 10.0.1.254
ping x.x.x.19
ping x.x.x.17
ping внешний адрес 2811
ping адрес провайдера
ping  194.87.0.50

ipfw show

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 13:31 
> теперь так
> divert 8668 ip from 10.0.1.0/24 to any out via vlan119
> divert 8668 ip from any to х.х.х.17 in via vlan119
> allow ip from any to any
> с freebsd
> ping x.x.x.17
> ping внешний адрес 2811
> ping адрес провайдера
> ping  194.87.0.50

пингуются все

> с ноутбука
> ping 10.0.1.254

пинг идет

> ping x.x.x.19

пинг идет

> ping x.x.x.17
> ping внешний адрес 2811
> ping адрес провайдера
> ping  194.87.0.50

нет, не идет.

> ipfw show


# ipfw show
00100    0     0 check-state
00200   80  8728 allow ip from any to any via lo0
00300    0     0 deny ip from any to 127.0.0.0/8
00400    0     0 deny ip from 127.0.0.0/8 to any
00500    0     0 divert 8668 ip from 10.0.1.0/24 to any out via vlan119
00600    0     0 divert 8668 ip from any to x.x.x.17 in via vlan119
00700 1061 78336 allow ip from any to any
65535    0     0 deny ip from any to any


крайне смущают две надписи в /var/log/messages
freebsd root: /etc/rc.d/sysctl: WARNING: sysctl net.inet.ip.fw.enable: does not exist
freebsd root: /etc/rc.d/sysctl: WARNING: sysctl net.inet.ip.fw.forwarding: does not exist

в /etc/sysctl.conf эти строчки с параметром 1 присутствуют

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 13:33 
>[оверквотинг удален]
> 00600    0     0 divert 8668
> ip from any to x.x.x.17 in via vlan119
> 00700 1061 78336 allow ip from any to any
> 65535    0     0 deny ip
> from any to any
>
> крайне смущают две надписи в /var/log/messages
> freebsd root: /etc/rc.d/sysctl: WARNING: sysctl net.inet.ip.fw.enable: does not exist
> freebsd root: /etc/rc.d/sysctl: WARNING: sysctl net.inet.ip.fw.forwarding: does not
> exist

в /etc/rc.conf
gateway_enable="YES"

Без перегрузки
sysctl -w net.inet.ip.forwarding=1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 13:42 
> точна
> gateway_enable="YES"
> или
> sysctl -w net.inet.ip.forwarding=1

после добавления gateway_enable="YES" в rc.conf
ipfw show выдало следующее


# ipfw show
00100   0     0 check-state
00200  82  8832 allow ip from any to any via lo0
00300   0     0 deny ip from any to 127.0.0.0/8
00400   0     0 deny ip from 127.0.0.0/8 to any
00500   6   360 divert 8668 ip from 10.0.1.0/24 to any out via vlan119
00600   0     0 divert 8668 ip from any to *.*.*.17 in via vlan119
00700 257 25317 allow ip from any to any
65535   0     0 deny ip from any to any

появились цифры в одном из дивертов! :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 13:47 
это не поэтому. если после добавления в rc.conf не перегружался, тогда сделай

sysctl -w net.inet.ip.forwarding=1
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 13:49 
> это не поэтому. если после добавления в rc.conf не перегружался,

перегружался

> тогда сделай sysctl -w net.inet.ip.forwarding=1

# sysctl -w net.inet.ip.forwarding=1
net.inet.ip.forwarding: 1 -> 1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 13:55 
tcpdump -i vlan119 icmp

на ноутбуке
ping  194.87.0.50 -t

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 14:03 
> tcpdump -i vlan119 icmp
> ping www.ru

это на ноуте?
если да -- то я пингую с ноута 8.8.8.8


# tcpdump -i vlan119 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan119, link-type EN10MB (Ethernet), capture size 96 bytes
13:56:34.530661 IP x.x.x.19 > google-public-dns-a.google.com: ICMP echo request, id 512, seq 58137, length 40
13:56:34.583213 IP google-public-dns-a.google.com > x.x.x.19: ICMP echo reply, id 512, seq 58137, length 40
13:56:40.031885 IP x.x.x.19 > google-public-dns-a.google.com: ICMP echo request, id 512, seq 59929, length 40
13:56:40.085184 IP google-public-dns-a.google.com > x.x.x.19: ICMP echo reply, id 512, seq 59929, length 40

а вот я пингую www.ru c сервера


# tcpdump -i vlan119 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan119, link-type EN10MB (Ethernet), capture size 96 bytes
13:58:11.454822 IP x.x.x.19 > www.ru: ICMP echo request, id 58371, seq 8, length 64
13:58:11.464784 IP www.ru > x.x.x.19: ICMP echo reply, id 58371, seq 8, length 64
13:58:12.457865 IP x.x.x.19 > www.ru: ICMP echo request, id 58371, seq 9, length 64
13:58:13.460911 IP x.x.x.19 > www.ru: ICMP echo request, id 58371, seq 10, length 64
13:58:13.470770 IP www.ru > x.x.x.19: ICMP echo reply, id 58371, seq 10, length 64
13:58:14.463992 IP x.x.x.19 > www.ru: ICMP echo request, id 58371, seq 11, length 64
^C

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 14:10 
что еще на ноутбук 8.8.8.8 куда он включен?

еще раз
на ноутбуке 10.0.1.2
ping  194.87.0.50 -t

на сервере
tcpdump -i vlan119 icmp

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 14:12 
> что еще на ноутбук 8.8.8.8 куда он включен?

я же писал -- это гугловский публичный днс, вот он выше --
google-public-dns-a.google.com

нет же разницы что пинговать, гугл или ввв.ру

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "FreeBSD, nat+firewall"  +/
Сообщение от rr (ok) on 28-Окт-10, 14:18 
вот тут ошиблись мы, извините
divert 8668 ip from any to *.*.*.17 in via vlan119

должно быть
divert 8668 ip from any to *.*.*.19 in via vlan119

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 28-Окт-10, 14:32 
> должно быть
> divert 8668 ip from any to *.*.*.19 in via vlan119

все взлетело в небеса!!! работает адская машина!
с меня стакан красного.

p.s. я в питере :)


всем помогавшим огромное спасибо
тему можно закрывать наверно

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 29-Окт-10, 10:11 
вот интересно теперь,
gateway_enable="YES"
то же самое что и в файл /etc/sysctl.conf добавить строчку: net.inet.ip.forwarding=1

но у меня там есть эта строчка

вот бы теперь понять почему не работала она

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "FreeBSD, nat+firewall"  +/
Сообщение от Aquarius (ok) on 30-Окт-10, 00:18 
что обозначает на схеме make LINT?
ядро собрано по конфигу LINT?
если так, удивительно, что оно вообще загрузилось
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "FreeBSD, nat+firewall"  +/
Сообщение от dmitriy01 email(ok) on 30-Окт-10, 01:48 
> что обозначает на схеме make LINT?

сдается мне это вопрос с подковыркой, поэтому отвечу так --

лэт ми гугл дат фор ю
> I can "make LINT" to see all of the options available for kernel building
> ядро собрано по конфигу LINT?

нет, это не так

> если так

см. выше

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру