Плиз любые предложения все оч. срочно.

Опишу свои дествия:
1)  пересобрал ядро с поддержкой фаер вола

  #options        IPFW2
options        IPFIREWALL
options        IPFIREWALL_VERBOSE
options        IPFIREWALL_FORWARD
options        IPFIREWALL_VERBOSE_LIMIT=500
options        IPDIVERT
options        IPFILTER
options        IPFILTER_LOG
options        IPSTEALTH
options        TCPDEBUG

#
#

options        RANDOM_IP_ID

#
options        ACCEPT_FILTER_DATA
options        ACCEPT_FILTER_HTTP

options        TCP_DROP_SYNFIN
#options        ICMP_BANDLIM


слегка подправил rc.conf


icmp_drop_redirect="YES"
icmp_log_redirect="YES"
clear_tmp_enable="YES"
portmap_enable="NO"
icmp_bmcastecho="NO"
fsck_y_enable="YES"
update_motd="NO"
tcp_drop_synfin="YES"
log_in_vain="YES"
# -- sysinstall generated deltas -- # Thu Jan 22 21:31:06 2004
ifconfig_xl0="inet 10.0.0.1  netmask 255.255.255.0"
ifconfig_em0="inet 192.168.1.2  netmask 255.255.255.0"
defaultrouter="192.168.1.1"
hostname="gateway.finso.ru"



2) сделал права для фаер вола всякая лабуда

ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 510 divert natd ip from ${ournet} to any


3) dns забил в resolv.conf

4) запускаю правила для фаер вола, и нат nat -n em0  
em <- интерфейс смотрящий наружу
xl <- внуторь в локальную сеть


Теперь о своем горе:
Шлюз на котором я это все настроил бегает по инету ок.
в другом компуке находящемся в этой локалке ставлю его шлюзом, и прописываю днс:
- шлюз пингую ок
- днс не пингуется
- по инету не бегает

Что надо исправить чтобы запахал нат где ошибся помогите, вопрос жизни и смерти.

----------------------------------------------------------------------------------

возможно это комуто что то пояснить, и наведет его на решение этой задачи:
шлюз который я поднял на FreeBSD и про который распинаюсь где пытаюсь поднять нат,
и вот тот интерфейс который em который смотрит в инет, на самом деле смотрит на циску
на которой тоже поднят нат
ip сиски ака гейта: 192.168.1.1 , что у меня и прописано.

может в этом есть какая то спицифтка ? (плиз помогите.)

ZloiJoker
Я не силён в FreBSD, но я не увидел, где вы включаете форвардинг (FORWARD_IPV4=yes).

Про форвард по сути должно быть достаточно, IPDIVERT
и
gateway_enable="YES"
Про форвардинг это для прокси, до него мне пока рано :)

Ура что то есть, но осталось ряд неясностей

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}

Пересобрал ядро с параметром, фаервол все разрешает и опа инет забегал, с натом проблемы пропали..
пытаю пингануть www.ru определяется ip  все дальше говорит таим из аут думаю что за ботва начинаю мочить правила, поочередно после того как убиваю 320 пинг проходит как так почему ?

2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть яа ру, определяется ip ( УРА !! )
но пинг говорит тайм аут
И если в браузере пытаюсь открыть страничку хрен то.
Что надо подправить ?

подправил:

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
${ipfw} add 550 allow ip from any to ${ournet}
${ipfw} add 560 allow ip from ${ournet} to any
${ipfw} add 1000 allow icmp from any to any

При собирание фаервола все разрешено все пингуется все шиколадно все чики пики.

При собирание все запрещено пингуется: 192.168.1.2 - интерфейс шлюза наружу
192.168.1.1 - айпи гейта для шлюза .
Но вот когда пингую www.ru или что то еще даже, айпи не определяется ..
что не так ?

пояснения ${ournet} - внуиренняя подсеть.

Еще не большое замечание, в положение два когда фаер вол все запрещено пингует весь инет, и все что в принципи пингуется, но по ip адрису.
- Если пинговать по доменному имени то пинг не проходит и ip не определяется..
- Если пытаться зайти на сайт браузером через ip то он так же не заходит..

Может есть какие мысли что еще подправить ?

Для работы шлюза достаточно собрать ядро со следующим:

options * * * *IPFIREWALL
options * * * *IPFIREWALL_VERBOSE
options * * * *IPFIREWALL_VERBOSE_LIMIT=10
options * * * *IPDIVERT

добавить в rc.conf

ifconfig_xx1 - интерфейс туда
ifconfig_xx2 - интерфейс сюда

gateway_enable="YES"
natd_enable="YES"
natd_interface="xx1"
firewall_enable="YES"
firewall_type="OPEN"

defaultrouter роутер данный провом


Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои.

Ну то что, ты описал у меня работает как ты видишь из придыдущих постов, я хочу чтобы у меня теперь заработало когда ядро собранно с поддержкой фаервола, запрещено все..
(FreeBSD 5.2)

Единственное не понял:

Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои.

могешь пояснить ?

ZloiJoker
по поводу того что у тебя по доменному имени не пингуется.

Скажи мне у тебя локальная сетка в домене? Этим доменом какой сервер рулит? У меня была такая фигня если сервер с натом был прописан как альтернативный DNS.

Топология такая есть циска(на ней настроен нат и все)
Затем идет шлюз( на FreeBSD ), про него сейчас идет разговор,
затем идет тачка на вин2 к сервер являющаяся доменом контролером, и в ней все остальные офисные тачки в этом домене..
Впринципи домен контроллер думаю тут не причем.. просто с настройками ipfw что то не правильно.. :(

А то что я написал, это ядро с чем собрано? На сколько я знаю это какраз и есть с поддержкой ядром фаера. А насчет запрета всего, добавь:
#ipfw add deny all from any to any
и поставь эту строчку после локальной цепи lo0.
И тада будет вообще все запрещено. По поводу фаера типа SIMPLE, то в настройках rc.conf поставь
firewall_type="SIMPLE"
а в rc.firewall, точно не помню надо указать локальную сетку и сетку прова.

;))
Ладно всем спасибо вопрос закрыт.

И в догонку, зачем юзать на фре nat, если есть цицка на ней все работает? :)