|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » проблемы с поднятием ната |
|
||||
|
|
проблемы с поднятием ната
|
|
Пользователь Сообщения: 124 |
Плиз любые предложения все оч. срочно.
Опишу свои дествия: 1) пересобрал ядро с поддержкой фаер вола Код:
 #options IPFW2 options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=500 options IPDIVERT options IPFILTER options IPFILTER_LOG options IPSTEALTH options TCPDEBUG # # options RANDOM_IP_ID # options ACCEPT_FILTER_DATA options ACCEPT_FILTER_HTTP options TCP_DROP_SYNFIN #options ICMP_BANDLIM Код:
icmp_drop_redirect="YES" icmp_log_redirect="YES" clear_tmp_enable="YES" portmap_enable="NO" icmp_bmcastecho="NO" fsck_y_enable="YES" update_motd="NO" tcp_drop_synfin="YES" log_in_vain="YES" # -- sysinstall generated deltas -- # Thu Jan 22 21:31:06 2004 ifconfig_xl0="inet 10.0.0.1 netmask 255.255.255.0" ifconfig_em0="inet 192.168.1.2 netmask 255.255.255.0" defaultrouter="192.168.1.1" hostname="gateway.finso.ru" 2) сделал права для фаер вола всякая лабуда Код:
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 510 divert natd ip from ${ournet} to any
4) запускаю правила для фаер вола, и нат nat -n em0 em <- интерфейс смотрящий наружу xl <- внуторь в локальную сеть Теперь о своем горе: Шлюз на котором я это все настроил бегает по инету ок. в другом компуке находящемся в этой локалке ставлю его шлюзом, и прописываю днс: - шлюз пингую ок - днс не пингуется - по инету не бегает Что надо исправить чтобы запахал нат где ошибся помогите, вопрос жизни и смерти. ---------------------------------------------------------------------------------- возможно это комуто что то пояснить, и наведет его на решение этой задачи: шлюз который я поднял на FreeBSD и про который распинаюсь где пытаюсь поднять нат, и вот тот интерфейс который em который смотрит в инет, на самом деле смотрит на циску на которой тоже поднят нат ip сиски ака гейта: 192.168.1.1 , что у меня и прописано. может в этом есть какая то спицифтка ? (плиз помогите.) |
|
|
------- Отправлено: 21:11, 23-01-2004 |
info man howto Сообщения: 6958
|
Профиль | Сайт | Отправить PM | Цитировать ZloiJoker
Я не силён в FreBSD, но я не увидел, где вы включаете форвардинг (FORWARD_IPV4=yes). |
|
------- Отправлено: 23:09, 23-01-2004 | #2 |
|
Пользователь Сообщения: 124
|
Профиль | Сайт | Отправить PM | Цитировать Про форвард по сути должно быть достаточно, IPDIVERT
и gateway_enable="YES" Про форвардинг это для прокси, до него мне пока рано  Ура что то есть, но осталось ряд неясностей Код:
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
пытаю пингануть www.ru определяется ip все дальше говорит таим из аут думаю что за ботва начинаю мочить правила, поочередно после того как убиваю 320 пинг проходит как так почему ? 2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть яа ру, определяется ip ( УРА !! ) но пинг говорит тайм аут И если в браузере пытаюсь открыть страничку хрен то. Что надо подправить ? |
|
------- Отправлено: 13:38, 24-01-2004 | #3 |
|
Пользователь Сообщения: 124
|
Профиль | Сайт | Отправить PM | Цитировать подправил:
Код:
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
${ipfw} add 550 allow ip from any to ${ournet}
${ipfw} add 560 allow ip from ${ournet} to any
${ipfw} add 1000 allow icmp from any to any
При собирание все запрещено пингуется: 192.168.1.2 - интерфейс шлюза наружу 192.168.1.1 - айпи гейта для шлюза . Но вот когда пингую www.ru или что то еще даже, айпи не определяется .. что не так ? пояснения ${ournet} - внуиренняя подсеть. |
|
------- Отправлено: 17:16, 26-01-2004 | #4 |
|
Пользователь Сообщения: 124
|
Профиль | Сайт | Отправить PM | Цитировать Еще не большое замечание, в положение два когда фаер вол все запрещено пингует весь инет, и все что в принципи пингуется, но по ip адрису.
- Если пинговать по доменному имени то пинг не проходит и ip не определяется.. - Если пытаться зайти на сайт браузером через ip то он так же не заходит.. Может есть какие мысли что еще подправить ? |
|
|
------- Отправлено: 22:22, 26-01-2004 | #5 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать Для работы шлюза достаточно собрать ядро со следующим:
options * * * *IPFIREWALL options * * * *IPFIREWALL_VERBOSE options * * * *IPFIREWALL_VERBOSE_LIMIT=10 options * * * *IPDIVERT добавить в rc.conf ifconfig_xx1 - интерфейс туда ifconfig_xx2 - интерфейс сюда gateway_enable="YES" natd_enable="YES" natd_interface="xx1" firewall_enable="YES" firewall_type="OPEN" defaultrouter роутер данный провом Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои. |
|
------- Отправлено: 22:34, 26-01-2004 | #6 |
|
Пользователь Сообщения: 124
|
Профиль | Сайт | Отправить PM | Цитировать Ну то что, ты описал у меня работает как ты видишь из придыдущих постов, я хочу чтобы у меня теперь заработало когда ядро собранно с поддержкой фаервола, запрещено все..
(FreeBSD 5.2) Единственное не понял: Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои. могешь пояснить ? |
|
------- Отправлено: 23:22, 26-01-2004 | #7 |
Ветеран Сообщения: 1051
|
Профиль | Отправить PM | Цитировать ZloiJoker
по поводу того что у тебя по доменному имени не пингуется. Скажи мне у тебя локальная сетка в домене? Этим доменом какой сервер рулит? У меня была такая фигня если сервер с натом был прописан как альтернативный DNS. |
|
------- Отправлено: 08:49, 27-01-2004 | #8 |
|
Пользователь Сообщения: 124
|
Профиль | Сайт | Отправить PM | Цитировать Топология такая есть циска(на ней настроен нат и все)
Затем идет шлюз( на FreeBSD ), про него сейчас идет разговор, затем идет тачка на вин2 к сервер являющаяся доменом контролером, и в ней все остальные офисные тачки в этом домене.. Впринципи домен контроллер думаю тут не причем.. просто с настройками ipfw что то не правильно..  |
|
------- Отправлено: 11:21, 27-01-2004 | #9 |
|
Новый участник Сообщения: 5
|
Профиль | Отправить PM | Цитировать А то что я написал, это ядро с чем собрано? На сколько я знаю это какраз и есть с поддержкой ядром фаера. А насчет запрета всего, добавь:
#ipfw add deny all from any to any и поставь эту строчку после локальной цепи lo0. И тада будет вообще все запрещено. По поводу фаера типа SIMPLE, то в настройках rc.conf поставь firewall_type="SIMPLE" а в rc.firewall, точно не помню надо указать локальную сетку и сетку прова. |
|
------- Отправлено: 14:51, 27-01-2004 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Проблема с поднятием частоты на процессоре DELL Latitude D531 | yurafox | Ноутбуки | 7 | 21-01-2010 17:25 | |
| проблема с поднятием AD-DNS | Vi-P | Microsoft Windows NT/2000/2003 | 31 | 02-04-2009 16:20 | |
| Разгон с поднятием напряжения вызывает писк машины | shocker7 | Разгон, охлаждение и моддинг | 6 | 16-11-2008 14:27 | |
| Прочее - Проблемы с принтером! <определенно - проблемы с принтером> | Serega33 | Сетевое оборудование | 1 | 07-05-2008 12:59 | |
| Проблемы с загрузкой Windows - проблемы с матплатой? | Kaeru | Непонятные проблемы с Железом | 28 | 31-10-2007 20:33 | |
|
|
Время: 07:12. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
