[ZloiJoker]

Может кто еще рульную статью по этому делу подскажет ? (а то я в книжки главу прочитал по этой теме, но что то как то маловато.. )

[Negativ]

EmeJIbka
Спасибо за советы. Я разобрался во всем сам.
В файле rc.firewall
были правила
${ipfw} add log all from any to ...номера портов... и т.д.
убрал все заработало
ZloiJoker
если ты имеешь в виду настройку на FreeBSD natd+ipfw то вот те ссылы
http://www.nt.com.ua/info/ipfw/ar01s02.shtml
http://www.nt.com.ua/info/ipfw/ar01s05.shtml
http://www.opennet.ru - Здесь много чего интересного

[Negativ]

EmeJIbka
И все-таки. Мой главный вопрос так и остался неразрешимым.
Repeat:
у меня есть:
интерфейс rl0 - интеренет
интерфейс gif0 - VPN по радиоканалу (соединяет две локалки 1 и 2)
интерфейс xl0 - локалка


Я хочу с помощью NAT'а сделать так чтобы юзеры 1 локалки могли лазить в локалку 2. Но у меня уже есть НАТ на инет (rl0).
Как мне это сделать?

Мне подсказали что нужно типа два ната запустить с разными pid'ами. И соответственно повесить их в rc.conf на разные интерфесы. Если это возможно то как это реализовать? Или предложите свой вариант.


[s]Исправлено: Negativ, 15:39 3-12-2003[/s]

[archy]

может это спасет тебя?
http://www.artmagic.ru/labs/short/ipfw-iptables.shtml

[Negativ]

archy
Спасибо! Это то что надо!

[ZloiJoker]

Код:

ipfw add 10 divert 8868 10.0.1.0/24 to any out xmit ed0
ipfw add 20 divert 8868 from any to 195.1.1.1

ipfw add 30 divert 8869 10.0.2.0/24 to any out xmit ed1
ipfw add 40 divert 8869 from any to 195.1.1.2

Что значит правило:
xmit  ?

И сколько же в этом примере карточек у сервера ?
195.1.1.1 - смотрит в одну сеть
195.1.1.2 - смотрит в другую сеть
3 _ я которая смотрит в инет

Правильно ? )

[Negativ]

ZloiJoker
1. Про xmit

ipfw add count tcp from any ftp\\-data-ftp to any

Фрагментированные пакеты, которые имеют ненулевое смещение (такие как, например, первый фрагмент), никогда не будут соответствовать правилу, в котором указана одна или более установок порта. См. опции фрагментов для более подробной информации о соответствии фрагментированных пакетов.
interface-spec
Допускаются следующие комбинации спецификации интерфейсов:
in - только для входящих пакетов;
out - только для исходящих пакетов;
via ifx - пакет должен быть пропущен через интерфейс ifx;
via if* - пакет должен быть пропущен через интерфейс ifX, где X - любой номер устройства;
via ipno - пакет должен быть пропущен через интерфейс, IP-address которого ipno.
Указание ключевого слова via всегда заставляет проверять интерфейс. Если указаны ключевые слова recv или xmit, то это тоже заставляет всегда проверить интерфейс. Определяя передающий и принимающий интерфейсы, есть возможность выбрать пакеты, основанные как на том, так и на другом интерфейсе, например:
ipfw add 100 deny ip from any to any out recv ed0 xmit ed1

Интерфейс recv может быть проверен или на входящие, или на исходящие пакеты, в то время как интерфейс xmit может быть проверен только на исходящие пакеты. Так out требуется (и в недопустимых случаях) всякий раз, когда используется xmit. Сочетание via вместе с xmit или с recv недопустимо.

взято с http://www.opennet.ru

2. Карточек может быть и две, но на 1 ip может быть несколько интерфейсов, которые смотрят в разные сети. У меня, например, на адресе 192.168.10.11 работает два интерфеса xl0 и gif0. первый смотрит в локалку второй смотрит в VPN (через туннель).

Вот те пример моего rc.conf чтоб понятней было

network_interfaces="auto"
ifconfig_xl0="inet 192.168.10.11  netmask 255.255.255.0"
ifconfig_rl0="inet 172.16.1.5  netmask 255.255.255.*"
ifconfig_gif0="192.168.11.11 netmask 255.255.255.0 192.168.10.11 netmask 255.255.255.0"
gif_interfaces="gif0"
gifconfig_gif0="172.16.1.5 172.16.1.6"


*

[s]Исправлено: Negativ, 11:30 5-12-2003[/s]


[s]Исправлено: Negativ, 11:38 5-12-2003[/s]