Обсуждение статьи тематического каталога: FreeBSD Маршрутизатор IPFW+NAT для начинающих (freebsd nat ipfw gateway)Ссылка на текст статьи: http://www.opennet.ru/base/net/freebsd_ipfw_nat.txt.html
А natd обязателен?
Ведь нат поднять можно и средствами IPFW, что будет даже лучше.
Статья тугая, примеры не очень.
Да и без gateway_enable="YES" у вас врядли че заробит )
И вообще..не понятно зачем нужно нaстраивать ipfw на входящие соединения :\ (в примере с example.com)
Только критиковать и можите а самим слабо написать!
надо заметить, что если не будет использоваться прозрачный прокси, то ядро можно вообще не пересоберать, фаер с натом и думминетом подгрузить модулями. так же необходимо как уже сказали ранее gateway_enable="YES" чтобы фря могла перенаправлять пакеты с одного интерфейса на другой.
и еще, к примеру с пробросом порта vnc
redirect_port tcp 192.168.0.1:5900 59001
для редиректа в фаере так же должны быть разрешающие правила для этого.
так как у меня например сервисы которыми могут пользоваться пользователи фильтруются и не все разрешено, а разрешены только определённые сервисы.в общем случае для описанного автором проброса портов должны быть примерно следующие правила (если они конечно небыли уже вами добавлены ранее в вашем списке правил):
ipfw add allow tcp from any to me 55901 in via oif
ipfw add allow tcp from me 59001 to any out via oif
ipfw add allow tcp from any to 192.168.0.1 5900 in via oif
ipfw add allow tcp from any to 192.168.0.1 5900 out via iif
ipfw add allow tcp from 192.168.0.1 5900 to any in via iifтут oif и iif - внешний и внутренний интерфейсы соответственно
первые два правила думаю понятны, если у вас разрешены все входящие и исходящие пакеты на/с сервера то эти правила вам не понадобятся, но у меня, к примеру, четко предопределено какими сервисами могут пользоваться пользователи а также фря, поэтому в моем случае эти правила просто необходимы.
далее три правила, которые разрешают всем снаружи соединяться с пк находящимся в локальной сети через внешний иф (собственно на этот пк мы и пробрасываем порт vnc), разрешают перенаправить пакет нужному пк в локальную сеть через внутренний интерфейс
я специально указал отличный номер порта внешнего ипиадреса от того который используется программой vnc, так как может понадобиться возможность проброса порта более чем на один компьютер локальной сети
в целом статья очень даже полезная и автор молодец.
спасибо за статью
и не надо так критиковать там сверху написанно - для начинающих )
я - начинающий , мне понравилось.
меня после прочтения именно этой статьи наконецто осенило и я понял логику работы IPFW )но про гетвай енабле ес не полохо было бы дописать .
что если ваша сатья будет единственной статьей к которой обратился человек и у него ничего не будет получаться изза этого , а человек будет сидеть и долго голову ломать ) а потом вас автор , будет долго ругать )
Классная статья, читал много разных на эту тему, но это именно то что надо!!!!! Автор осветил именно те моменты которые нужно для понятия логики работы ipfw
Огромнейшее спасибо за статью!!! целый день изучал интернет,читал статьи профи и умные книги и ничего не получалось, а тут с утра пришол на работу и за 10 мин все настроил!)))) большое спасибо!P.S. только маленький нюанс - строку
Так же не забываем про правило:
ipfw add allow all from any to 192.168.0.0/24 in via rl1
я заменил на ipfw add allow all from any to any
ну и в rc.conf включил гейтвей
Я бы еще добавил в конфиг ядра:
options IPFIREWALL_NAT
options LIBALIAS
Иначе может NAT не заработать.