Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   проблемы с поднятием ната (http://forum.oszone.net/showthread.php?t=15954)

ZloiJoker 23-01-2004 21:11 86485
Плиз любые предложения все оч. срочно.

Опишу свои дествия:
1)  пересобрал ядро с поддержкой фаер вола
Код:
  #options        IPFW2
options        IPFIREWALL
options        IPFIREWALL_VERBOSE
options        IPFIREWALL_FORWARD
options        IPFIREWALL_VERBOSE_LIMIT=500
options        IPDIVERT
options        IPFILTER
options        IPFILTER_LOG
options        IPSTEALTH
options        TCPDEBUG

#
#

options        RANDOM_IP_ID

#
options        ACCEPT_FILTER_DATA
options        ACCEPT_FILTER_HTTP

options        TCP_DROP_SYNFIN
#options        ICMP_BANDLIM
слегка подправил rc.conf

Код:
icmp_drop_redirect="YES"
 icmp_log_redirect="YES"
 clear_tmp_enable="YES"
 portmap_enable="NO"
 icmp_bmcastecho="NO"
 fsck_y_enable="YES"
 update_motd="NO"
 tcp_drop_synfin="YES"
 log_in_vain="YES"
 # -- sysinstall generated deltas -- # Thu Jan 22 21:31:06 2004
 ifconfig_xl0="inet 10.0.0.1  netmask 255.255.255.0"
 ifconfig_em0="inet 192.168.1.2  netmask 255.255.255.0"
 defaultrouter="192.168.1.1"
 hostname="gateway.finso.ru"

2) сделал права для фаер вола всякая лабуда
Код:
ipfw='/sbin/ipfw -q'
 ournet='10.0.0.1/24'
 uprefix='10.0.0'
 ifout='em0'
 ifuser='xl0'
 ${ipfw} flush
 ${ipfw} add 100 check-state
 ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
 ${ipfw} add 300 allow ip from any to any via lo
 ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
 ${ipfw} add 320 allow icmp from any to any
 ${ipfw} add 330 allow udp from me to any domain keep-state
 ${ipfw} add 340 allow udp from any to me domain
 ${ipfw} add 350 allow ip from me to any
 ${ipfw} add 400 allow tcp from any to me http,https,ssh
 ${ipfw} add 510 divert natd ip from ${ournet} to any
3) dns забил в resolv.conf

4) запускаю правила для фаер вола, и нат nat -n em0  
em <- интерфейс смотрящий наружу
xl <- внуторь в локальную сеть


Теперь о своем горе:
Шлюз на котором я это все настроил бегает по инету ок.
в другом компуке находящемся в этой локалке ставлю его шлюзом, и прописываю днс:
- шлюз пингую ок
- днс не пингуется
- по инету не бегает

Что надо исправить чтобы запахал нат где ошибся помогите, вопрос жизни и смерти.

----------------------------------------------------------------------------------

возможно это комуто что то пояснить, и наведет его на решение этой задачи:
шлюз который я поднял на FreeBSD и про который распинаюсь где пытаюсь поднять нат,
и вот тот интерфейс который em который смотрит в инет, на самом деле смотрит на циску
на которой тоже поднят нат
ip сиски ака гейта: 192.168.1.1 , что у меня и прописано.

может в этом есть какая то спицифтка ? (плиз помогите.)

ruslandh 23-01-2004 23:09 86486
ZloiJoker
Я не силён в FreBSD, но я не увидел, где вы включаете форвардинг (FORWARD_IPV4=yes).

ZloiJoker 24-01-2004 13:38 86487
Про форвард по сути должно быть достаточно, IPDIVERT
и
gateway_enable="YES"
Про форвардинг это для прокси, до него мне пока рано :)

Ура что то есть, но осталось ряд неясностей
Код:
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 320 allow icmp from any to any
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
Пересобрал ядро с параметром, фаервол все разрешает и опа инет забегал, с натом проблемы пропали..
пытаю пингануть www.ru определяется ip  все дальше говорит таим из аут думаю что за ботва начинаю мочить правила, поочередно после того как убиваю 320 пинг проходит как так почему ?

2) Пересобинраю ядро с фаерволом когда по умолчанию все заприщено пытаюсь пингануть яа ру, определяется ip ( УРА !! )
но пинг говорит тайм аут
И если в браузере пытаюсь открыть страничку хрен то.
Что надо подправить ?

ZloiJoker 26-01-2004 17:16 86488
подправил:
Код:

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='10.0.0.1/24'
uprefix='10.0.0'
ifout='em0'
ifuser='xl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}
${ipfw} add 330 allow udp from me to any domain keep-state
${ipfw} add 340 allow udp from any to me domain
${ipfw} add 350 allow ip from me to any
${ipfw} add 400 allow tcp from any to me http,https,ssh
${ipfw} add 500 divert natd ip from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd ip from any to 192.168.1.2 in via ${ifout}
${ipfw} add 550 allow ip from any to ${ournet}
${ipfw} add 560 allow ip from ${ournet} to any
${ipfw} add 1000 allow icmp from any to any
При собирание фаервола все разрешено все пингуется все шиколадно все чики пики.

При собирание все запрещено пингуется: 192.168.1.2 - интерфейс шлюза наружу
192.168.1.1 - айпи гейта для шлюза .
Но вот когда пингую www.ru или что то еще даже, айпи не определяется ..
что не так ?

пояснения ${ournet} - внуиренняя подсеть.


ZloiJoker 26-01-2004 22:22 86489
Еще не большое замечание, в положение два когда фаер вол все запрещено пингует весь инет, и все что в принципи пингуется, но по ip адрису.
- Если пинговать по доменному имени то пинг не проходит и ip не определяется..
- Если пытаться зайти на сайт браузером через ip то он так же не заходит..

Может есть какие мысли что еще подправить ?

htr 26-01-2004 22:34 86490
Для работы шлюза достаточно собрать ядро со следующим:

options * * * *IPFIREWALL
options * * * *IPFIREWALL_VERBOSE
options * * * *IPFIREWALL_VERBOSE_LIMIT=10
options * * * *IPDIVERT

добавить в rc.conf

ifconfig_xx1 - интерфейс туда
ifconfig_xx2 - интерфейс сюда

gateway_enable="YES"
natd_enable="YES"
natd_interface="xx1"
firewall_enable="YES"
firewall_type="OPEN"

defaultrouter роутер данный провом


Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои.

ZloiJoker 26-01-2004 23:22 86491
Ну то что, ты описал у меня работает как ты видишь из придыдущих постов, я хочу чтобы у меня теперь заработало когда ядро собранно с поддержкой фаервола, запрещено все..
(FreeBSD 5.2)

Единственное не понял:

Таким образом ты получешь рабочаю систему, правда не защищенную. После проверки попытайся фаер настроить на тип SIMPLE. Не забудь поменять в rc.firewall (freebsd 5.1) интерфейсы сетей на свои.

могешь пояснить ?


Negativ 27-01-2004 08:49 86492
ZloiJoker
по поводу того что у тебя по доменному имени не пингуется.

Скажи мне у тебя локальная сетка в домене? Этим доменом какой сервер рулит? У меня была такая фигня если сервер с натом был прописан как альтернативный DNS.

ZloiJoker 27-01-2004 11:21 86493
Топология такая есть циска(на ней настроен нат и все)
Затем идет шлюз( на FreeBSD ), про него сейчас идет разговор,
затем идет тачка на вин2 к сервер являющаяся доменом контролером, и в ней все остальные офисные тачки в этом домене..
Впринципи домен контроллер думаю тут не причем.. просто с настройками ipfw что то не правильно.. :(

htr 27-01-2004 14:51 86494
А то что я написал, это ядро с чем собрано? На сколько я знаю это какраз и есть с поддержкой ядром фаера. А насчет запрета всего, добавь:
#ipfw add deny all from any to any
и поставь эту строчку после локальной цепи lo0.
И тада будет вообще все запрещено. По поводу фаера типа SIMPLE, то в настройках rc.conf поставь
firewall_type="SIMPLE"
а в rc.firewall, точно не помню надо указать локальную сетку и сетку прова.

ZloiJoker 27-01-2004 18:17 86495
;))
Ладно всем спасибо вопрос закрыт.

archy 30-01-2004 10:15 86496
И в догонку, зачем юзать на фре nat, если есть цицка на ней все работает? :)


Время: 09:50.

Время: 09:50.
© OSzone.net 2001-