nat под FREEBSD

0

0

Плиз любые предложения все оч. срочно.

Опишу свои дествия: 1) пересобрал ядро с поддержкой фаер вола [code] #options IPFW2 options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=500 options IPDIVERT options IPFILTER options IPFILTER_LOG options IPSTEALTH options TCPDEBUG

# #

options RANDOM_IP_ID

# options ACCEPT_FILTER_DATA options ACCEPT_FILTER_HTTP

options TCP_DROP_SYNFIN #options ICMP_BANDLIM [/code]

слегка подправил rc.conf

[code] icmp_drop_redirect="YES" icmp_log_redirect="YES" clear_tmp_enable="YES" portmap_enable="NO" icmp_bmcastecho="NO" fsck_y_enable="YES" update_motd="NO" tcp_drop_synfin="YES" log_in_vain="YES" # -- sysinstall generated deltas -- # Thu Jan 22 21:31:06 2004 ifconfig_xl0="inet 10.0.0.1 netmask 255.255.255.0" ifconfig_em0="inet 192.168.1.2 netmask 255.255.255.0" defaultrouter="192.168.1.1" hostname="gateway.finso.ru" [/code]

2) сделал права для фаер вола всякая лабуда [code] ipfw='/sbin/ipfw -q' ournet='10.0.0.1/24' uprefix='10.0.0' ifout='em0' ifuser='xl0' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via lo ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 320 allow icmp from any to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 510 divert natd ip from ${ournet} to any [/code]

3) dns забил в resolv.conf

4) запускаю правила для фаер вола, и нат nat -n em0 em <- интерфейс смотрящий наружу xl <- внуторь в локальную сеть

Теперь о своем горе: Шлюз на котором я это все настроил бегает по инету ок. в другом компуке находящемся в этой локалке ставлю его шлюзом, и прописываю днс: - шлюз пингую ок - днс не пингуется - по инету не бегает

Что надо исправить чтобы запахал нат где ошибся помогите, вопрос жизни и смерти.

-------------------------------------------------------------------------------- --

возможно это комуто что то пояснить, и наведет его на решение этой задачи: шлюз который я поднял на FreeBSD и про который распинаюсь где пытаюсь поднять нат, и вот тот интерфейс который em который смотрит в инет, на самом деле смотрит на циску на которой тоже поднят нат ip сиски ака гейта: 192.168.1.1 , что у меня и прописано.

может в этом есть какая то спицифтка ? (плиз помогите.)

Ссылка

←	drweb-4.30: как избавиться от банера ?

проблемы с ping'ом

→

а как насчёт gateway_enable="YES" и утя тип файрвола какой? Попробуй сделать его open может дело в правилах?

anonymous
(24.01.04 04:24:48 MSK)

Ответ на: комментарий от anonymous 24.01.04 04:24:48 MSK

> как насчёт gateway_enable="YES сделано я просто не указал.. Ура что то есть, но осталось ряд неясностей

Код: #!/bin/sh ipfw='/sbin/ipfw -q' ournet='10.0.0.1/24' uprefix='10.0.0' ifout='em0' ifuser='xl0' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via lo ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 320 allow icmp from any to any ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}

Пересобрал ядро с параметром, фаервол все разрешает и опа инет забегал, с натом проблемы пропали.. пытаю пингануть www.ru определяется ip все дальше говорит таим из аут думаю что за ботва начинаю мочить правила, поочередно после того как убиваю 320 пинг проходит как так почему ?

2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть яа ру, определяется ip ( УРА !! ) но пинг говорит тайм аут И если в браузере пытаюсь открыть страничку хрен то. Что надо подправить ?

anonymous
(25.01.04 16:36:56 MSK)

Ответ на: комментарий от anonymous 25.01.04 16:36:56 MSK

подправил: [code] #!/bin/sh ipfw='/sbin/ipfw -q' ournet='10.0.0.1/24' uprefix='10.0.0' ifout='em0' ifuser='xl0' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via lo ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout} ${ipfw} add 330 allow udp from me to any domain keep-state ${ipfw} add 340 allow udp from any to me domain ${ipfw} add 350 allow ip from me to any ${ipfw} add 400 allow tcp from any to me http,https,ssh ${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout} ${ipfw} add 550 allow ip from any to ${ournet} ${ipfw} add 560 allow ip from ${ournet} to any ${ipfw} add 1000 allow icmp from any to any [/code] При собирание фаервола все разрешено все пингуется все шиколадно все чики пики.

При собирание все запрещено пингуется: 192.168.1.2 - интерфейс шлюза наружу 192.168.1.1 - айпи гейта для шлюза . Но вот когда пингую www.ru или что то еще даже, айпи не определяется .. что не так ?

пояснения ${ournet} - внуиренняя подсеть.

anonymous
(26.01.04 17:24:57 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	drweb-4.30: как избавиться от банера ?

Admin

проблемы с ping'ом

→

Похожие темы