forum.opennet.ru - "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
Сообщение от 62mkv (ok) on 29-Апр-11, 16:14
Понимаю, что не оригинален со своим вопросом, и все же.. Абсолютно элементарная проблема, но почему-то похоже что все имеющиеся в сети примеры решают ее как-то странно. Есть шлюз на FreeBSD, одна сетевуха - локалка с серыми IP, другая - Инет со статическим IP-адресом. необходимо обеспечить исходящие сеансы из внутренней сети (хотя бы с 1-го IP-адреса) в глобальный инет. вроде все мануалы прочитал, и хандбук и маны и примеров кучу.. делаю примерно как там (только стараюсь как можно проще, пока) не проходят пакеты из локальной сети наружу и все тут - ни TCP, ни ICMP, ни UDP, ничего. сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не отрабатывают, судя по ipfw show - значит проблема NATD, я так полагаю ? больше всего меня озадачивает то что ipfw show не показывает вообще никаких сработок по правилам divert. хотя судя по консоли загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в общем все (вроде) работает правильно. все конфиги и выводы команд, которые я посчитал важными для этой проблемы, собрал тут : http://files.mail.ru/P1TYGH Кто может помочь советом - помогите, заранее спасибо !
Ответить \| Правка \| Cообщить модератору

Оглавление

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), Michael, 16:24 , 29-Апр-11, (1)
IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), PavelR, 16:26 , 29-Апр-11, (2)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), 62mkv, 13:08 , 02-Май-11, (8)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), Аноним, 16:28 , 29-Апр-11, (3)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), hizel, 17:31 , 29-Апр-11, (4)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), Аноним, 17:36 , 29-Апр-11, (5)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), Hammer, 06:39 , 30-Апр-11, (6)

IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC), universite, 05:07 , 02-Май-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от Michael (??) on 29-Апр-11, 16:24

>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !
gateway_enable="YES"
в rc.conf не забыли?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от PavelR (??) on 29-Апр-11, 16:26

>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !
Интересно, сколько народу будет качать зип, распаковывать, смотреть :-)
Ну да ладно. Не смотря в архив:
1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?
2) Откройте для себя пару консолек с командами tcpdump -i rl0 / tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.
3) man ipfw на тему "NETWORK ADDRESS TRANSLATION"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от 62mkv (ok) on 02-Май-11, 13:08

> Интересно, сколько народу будет качать зип, распаковывать, смотреть :-)
> Ну да ладно. Не смотря в архив:
> 1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?
> 2) Откройте для себя пару консолек с командами tcpdump -i rl0 /
> tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.
> 3) man ipfw на тему "NETWORK ADDRESS TRANSLATION"
по пункту 0 - если б знал как прикрепить непосредственно файлы к вопросу, не мудрил бы с архивом...
по пункту 1 - естественно это сделано и кстати второе гарантирует первое.
по пункту 3 - да уж всю голову об этот ман разбил.. примеры которые с встроенным nat, приведены супер лапидарно, вообще ничего не понятно.
по пункту 2 - сделал так. похоже что на внешнем интерфейсе пакеты вываливаются с неизмененными адресами (если это конечно не особенность tcpdump). то есть они выходить выходят, и source у них стоит 192.168.0.x. так и должно быть или это признак проблемы ?
сейчас взял прям весь пример из handbook (которые Stateful+NAT, Example1) забабашил (только названия ифейсов поменял) - ровно то же самое что и с моим файлом правил. счетчики у правил skipto и allow (которые сразу после второго divert) увеличиваются, в deny ничего не падает, а сеансы не устанавливаются ! ;((
еще раз попрошу, если хоть у кого-то оно работает - дайте файл правил посмотреть ! и иные конфы (loader.conf,rc.conf, sysctl.conf, что нибудь еще ?) относящиеся к делу.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от Аноним (??) on 29-Апр-11, 16:28

>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !
ipfw сам умеет делать nat. и делает это гибче и быстрее чем natd.
не смотря на то, что в настройке этой связки нет ничего сложного,
я рекомендую все-таки сделать nat на ipfw. так вы по крайней мере
избавитесь лишнего звена и проблем, которые могут возникать в
этой связи.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от hizel (ok) on 29-Апр-11, 17:31

> ipfw сам умеет делать nat. и делает это гибче и быстрее чем
> natd.
пардоне прошу, как оно может работать гибче, если они оба на одной и той же основе
libalias? :-|

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от Аноним (??) on 29-Апр-11, 17:36

>> ipfw сам умеет делать nat. и делает это гибче и быстрее чем
>> natd.
> пардоне прошу, как оно может работать гибче, если они оба на одной
> и той же основе
> libalias? :-|
Гибкость != фичастость. Я имел в виду возможности настройки.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от Hammer (ok) on 30-Апр-11, 06:39

>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
Я делал по этому документу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)" +/–

Сообщение от universite (ok) on 02-Май-11, 05:07

>> http://files.mail.ru/P1TYGH
>> Кто может помочь советом - помогите, заранее спасибо !
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
> Я делал по этому документу.
явно прописать интерфейсы.
стараться не использовать конструкции "any to any", а разбить на два "any to me" и "me to any". вместо me можно использовать ip приемника или передатчика.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
Сообщение от Michael (??) on 29-Апр-11, 16:24
>[оверквотинг удален] > сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не > отрабатывают, судя по ipfw show - значит проблема NATD, я так > полагаю ? больше всего меня озадачивает то что ipfw show не > показывает вообще никаких сработок по правилам divert. хотя судя по консоли > загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в > общем все (вроде) работает правильно. > все конфиги и выводы команд, которые я посчитал важными для этой проблемы, > собрал тут : > http://files.mail.ru/P1TYGH > Кто может помочь советом - помогите, заранее спасибо ! gateway_enable="YES" в rc.conf не забыли?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
Сообщение от PavelR (??) on 29-Апр-11, 16:26
>[оверквотинг удален] > сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не > отрабатывают, судя по ipfw show - значит проблема NATD, я так > полагаю ? больше всего меня озадачивает то что ipfw show не > показывает вообще никаких сработок по правилам divert. хотя судя по консоли > загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в > общем все (вроде) работает правильно. > все конфиги и выводы команд, которые я посчитал важными для этой проблемы, > собрал тут : > http://files.mail.ru/P1TYGH > Кто может помочь советом - помогите, заранее спасибо ! Интересно, сколько народу будет качать зип, распаковывать, смотреть :-) Ну да ладно. Не смотря в архив: 1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ? 2) Откройте для себя пару консолек с командами tcpdump -i rl0 / tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах. 3) man ipfw на тему "NETWORK ADDRESS TRANSLATION"
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
	Сообщение от 62mkv (ok) on 02-Май-11, 13:08
	> Интересно, сколько народу будет качать зип, распаковывать, смотреть :-) > Ну да ладно. Не смотря в архив: > 1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ? > 2) Откройте для себя пару консолек с командами tcpdump -i rl0 / > tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах. > 3) man ipfw на тему "NETWORK ADDRESS TRANSLATION" по пункту 0 - если б знал как прикрепить непосредственно файлы к вопросу, не мудрил бы с архивом... по пункту 1 - естественно это сделано и кстати второе гарантирует первое. по пункту 3 - да уж всю голову об этот ман разбил.. примеры которые с встроенным nat, приведены супер лапидарно, вообще ничего не понятно. по пункту 2 - сделал так. похоже что на внешнем интерфейсе пакеты вываливаются с неизмененными адресами (если это конечно не особенность tcpdump). то есть они выходить выходят, и source у них стоит 192.168.0.x. так и должно быть или это признак проблемы ? сейчас взял прям весь пример из handbook (которые Stateful+NAT, Example1) забабашил (только названия ифейсов поменял) - ровно то же самое что и с моим файлом правил. счетчики у правил skipto и allow (которые сразу после второго divert) увеличиваются, в deny ничего не падает, а сеансы не устанавливаются ! ;(( еще раз попрошу, если хоть у кого-то оно работает - дайте файл правил посмотреть ! и иные конфы (loader.conf,rc.conf, sysctl.conf, что нибудь еще ?) относящиеся к делу.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
Сообщение от Аноним (??) on 29-Апр-11, 16:28
>[оверквотинг удален] > сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не > отрабатывают, судя по ipfw show - значит проблема NATD, я так > полагаю ? больше всего меня озадачивает то что ipfw show не > показывает вообще никаких сработок по правилам divert. хотя судя по консоли > загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в > общем все (вроде) работает правильно. > все конфиги и выводы команд, которые я посчитал важными для этой проблемы, > собрал тут : > http://files.mail.ru/P1TYGH > Кто может помочь советом - помогите, заранее спасибо ! ipfw сам умеет делать nat. и делает это гибче и быстрее чем natd. не смотря на то, что в настройке этой связки нет ничего сложного, я рекомендую все-таки сделать nat на ipfw. так вы по крайней мере избавитесь лишнего звена и проблем, которые могут возникать в этой связи.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
	Сообщение от hizel (ok) on 29-Апр-11, 17:31
	> ipfw сам умеет делать nat. и делает это гибче и быстрее чем > natd. пардоне прошу, как оно может работать гибче, если они оба на одной и той же основе libalias? :-\|
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
	Сообщение от Аноним (??) on 29-Апр-11, 17:36
	>> ipfw сам умеет делать nat. и делает это гибче и быстрее чем >> natd. > пардоне прошу, как оно может работать гибче, если они оба на одной > и той же основе > libalias? :-\| Гибкость != фичастость. Я имел в виду возможности настройки.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
Сообщение от Hammer (ok) on 30-Апр-11, 06:39
>[оверквотинг удален] > сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не > отрабатывают, судя по ipfw show - значит проблема NATD, я так > полагаю ? больше всего меня озадачивает то что ipfw show не > показывает вообще никаких сработок по правилам divert. хотя судя по консоли > загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в > общем все (вроде) работает правильно. > все конфиги и выводы команд, которые я посчитал важными для этой проблемы, > собрал тут : > http://files.mail.ru/P1TYGH > Кто может помочь советом - помогите, заранее спасибо ! http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi... Я делал по этому документу.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"	+/–
	Сообщение от universite (ok) on 02-Май-11, 05:07
	>> http://files.mail.ru/P1TYGH >> Кто может помочь советом - помогите, заранее спасибо ! > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi... > Я делал по этому документу. явно прописать интерфейсы. стараться не использовать конструкции "any to any", а разбить на два "any to me" и "me to any". вместо me можно использовать ip приемника или передатчика.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору