forum.opennet.ru

Составление сообщения

Исходное сообщение

"не могу победить связку natd +ipfw"
Отправлено DN, 03-Май-07 11:52

>Есть локальная сеть за натом (freebsd 4.9;natd;ipfw) и есть клиенты внешние.
>Необходимо разрешить некоторым локальным пользователям ходить только на внешние ip адреса клиентов,
>в инет же им ходить запрещено.
>
>делаю так:
>oif - внешний интерфейс
>iif - внутренний
>
>....
>setup_loopback
>
>        # Stop spoofing
>        ${fwcmd} add deny log
>all from ${локальная сеть} to any in via ${oif}
>        ${fwcmd} add deny log
>all from ${внешняя сеть} to any in via ${iif}
>
>        case ${natd_enable} in
>        [Yy][Ee][Ss])
>
>if [ -n "${natd_interface}" ]; then
>
>    ${fwcmd} add divert natd all from ${локальная сеть} to any via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
А обратно, из внешнего мира, как пакеты будут возвращаться в NAT?
${fwcmd} add divert natd all from any to any via ${oif}
>
>fi
>
>;;
>        esac
>
>        # Allow packets for client1
>        ${fwcmd} add allow all from ${выборочные локальные адреса} to ipclient1 out via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Не будет на выходе ${oif} пакетов из ${выборочные локальные адреса},
если включен NAT .
> ${fwcmd} add allow all from ipclient1 to me in via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Не будет в этом месте правил пакетов в  me, если правильно включен divert на NAT .
Список me и ${выборочные локальные адреса} не совпадают.
Для ipclient2 , что ниже, аналогично.
Читайте , man ipfw и примеры на этом сайте.
>        # Allow packets for
>client2
>        ${fwcmd} add allow all
>from ${выборочные локальные адреса} to ipclient2 out via ${oif}
>        ${fwcmd} add allow all
>from ipclient2 to me in via ${oif}
>...
>
>        # Allow anything outbound
>from this net.
>        ${fwcmd} add allow all
>from ${внешняя сеть} to any out via ${oif}
>
>        # Deny anything outbound
>from other nets.
>        ${fwcmd} add deny log
>all from any to any out via ${oif}
>
>        # Allow anything on
>the internal net
>        ${fwcmd} add allow all
>from any to any via ${iif}
>
>        # Allow TCP through
>if setup succeeded.
>        ${fwcmd} add allow tcp
>from any to any established
>и т.д.
>
>при такой конфигурации локальных пользователей все равно не пускает к клиентам;
>
>подскажите, где косяк?

Исходное сообщение
"не могу победить связку natd +ipfw" Отправлено DN, 03-Май-07 11:52
>Есть локальная сеть за натом (freebsd 4.9;natd;ipfw) и есть клиенты внешние. >Необходимо разрешить некоторым локальным пользователям ходить только на внешние ip адреса клиентов, >в инет же им ходить запрещено. > >делаю так: >oif - внешний интерфейс >iif - внутренний > >.... >setup_loopback > > # Stop spoofing > ${fwcmd} add deny log >all from ${локальная сеть} to any in via ${oif} > ${fwcmd} add deny log >all from ${внешняя сеть} to any in via ${iif} > > case ${natd_enable} in > [Yy][Ee][Ss]) > >if [ -n "${natd_interface}" ]; then > > ${fwcmd} add divert natd all from ${локальная сеть} to any via ${oif} ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ А обратно, из внешнего мира, как пакеты будут возвращаться в NAT? ${fwcmd} add divert natd all from any to any via ${oif} > >fi > >;; > esac > > # Allow packets for client1 > ${fwcmd} add allow all from ${выборочные локальные адреса} to ipclient1 out via ${oif} ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Не будет на выходе ${oif} пакетов из ${выборочные локальные адреса}, если включен NAT . > ${fwcmd} add allow all from ipclient1 to me in via ${oif} ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Не будет в этом месте правил пакетов в me, если правильно включен divert на NAT . Список me и ${выборочные локальные адреса} не совпадают. Для ipclient2 , что ниже, аналогично. Читайте , man ipfw и примеры на этом сайте. > # Allow packets for >client2 > ${fwcmd} add allow all >from ${выборочные локальные адреса} to ipclient2 out via ${oif} > ${fwcmd} add allow all >from ipclient2 to me in via ${oif} >... > > # Allow anything outbound >from this net. > ${fwcmd} add allow all >from ${внешняя сеть} to any out via ${oif} > > # Deny anything outbound >from other nets. > ${fwcmd} add deny log >all from any to any out via ${oif} > > # Allow anything on >the internal net > ${fwcmd} add allow all >from any to any via ${iif} > > # Allow TCP through >if setup succeeded. > ${fwcmd} add allow tcp >from any to any established >и т.д. > >при такой конфигурации локальных пользователей все равно не пускает к клиентам; > >подскажите, где косяк?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру