- Не работает доступ в интернет ни почта, kozyr76, 00:16 , 08-Июл-09 (1)
PS локальные машины в инет так и немогут выйти
- Не работает доступ в интернет ни почта, Deac, 05:03 , 08-Июл-09 (2)
Эти правила NATят подсеть 10.17.13.0 >>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}А вот это рубит всё на корню >>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} Пораскинь мозгами.
- Не работает доступ в интернет ни почта, PavelR, 09:14 , 08-Июл-09 (3)
>Эти правила NATят подсеть 10.17.13.0 >>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} > >А вот это рубит всё на корню >>>${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} > >Пораскинь мозгами. Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать не умеешь. В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, не знаю), и под правило "рубит всё на корню" подпадать не должен. Автору топика: хотите чтобы вам помогли - показывайте "ipfw sh".
- Не работает доступ в интернет ни почта, kozyr76, 09:56 , 08-Июл-09 (4)
ipfw sh это и есть конфиг файерволла. /etc/ipfw.conf/ В rc.conf так и указано...Может, что не так, поясните...
- Не работает доступ в интернет ни почта, Deac, 18:05 , 08-Июл-09 (5)
>[оверквотинг удален] >>Пораскинь мозгами. > >Мил чел, вот ты отличный видимо телепат, но к сожалению мозгами раскидывать >не умеешь. > >В той последовательности, что процитирована выше - всё абсолютно нормально. Пакет из >подсети 10.17.13.0 будет протранслирован natd, соответственно адрес отправителя в пакете заменится >на адрес внешнего интерфейса (который я, в силу отсутствия телепатических возможностей, >не знаю), и под правило "рубит всё на корню" подпадать не >должен. Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо и исходную подсеть и адрес внешнего интерфейса.
- Не работает доступ в интернет ни почта, kozyr76, 22:17 , 08-Июл-09 (6)
Прошу покажите строки какие надо изменить
- Не работает доступ в интернет ни почта, Deac, 00:17 , 09-Июл-09 (7)
>Прошу покажите строки какие надо изменить 1. Cтроку для удаления я уже указал. 2. Брать firewall из доков не лучший вариант. 3. Используй таблицы. 4. Ищи по форуму, этого добра полно.
- Не работает доступ в интернет ни почта, PavelR, 10:22 , 09-Июл-09 (10)
> >Типичная ошибка начинающих, пакет транслируется на интерфейсе, т.е. в firewall-е разрешать надо >и исходную подсеть и адрес внешнего интерфейса. Типичное мнение человека, не понимающего последовательность прохождения пакета по файрволу ipfw, точнее того аспекта, что пакет пройдет через файрволл дважды - на входе в рутер и на выходе из него.
- Не работает доступ в интернет ни почта, Deac, 12:34 , 09-Июл-09 (11)
>>${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} >>${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx" Дальше пакет возвращается в ipfw, если не указан one pass. В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx", через который собственно и осуществляется доступ в интернет, примерно так: allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via rl0 allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via rl0 Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно. Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0").
- Не работает доступ в интернет ни почта, PavelR, 16:14 , 09-Июл-09 (12)
>divert передаёт пакет службе, слушающей по порту 8668 (natd), natd добавляет себе >запись, о том что пакеты из подсети 10.17.13.0/24, попадая на интерфейс >rl0, должны быть свёрнуты в адрес "xxx.xxx.xxx.xxx" >Дальше пакет возвращается в ipfw, если не указан one pass. +1 насчет one_pass. >В ниже следующих правилах нужно разрешить прохождение пакетов из подсети 10.17.13.0/24 на >rl0, где они будут оттранслированы и для адреса "xxx.xxx.xxx.xxx" гы-гы. поясните теперь, как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ? > через который >собственно и осуществляется доступ в интернет, примерно так: >allow all from any to { 10.17.13.0/24 or xxx.xxx.xxx.xxx } in via >rl0 >allow all from { 10.17.13.0/24 or xxx.xxx.xxx.xxx } to any out via >rl0 >Эти правила выпустит в интернет подсеть 10.17.13.0/24, но при этом не будут >работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно.
Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, _возвращает_ _измененный_ _пакет_. >Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). А еще в 7-ке есть ipfw natd.
- Не работает доступ в интернет ни почта, Deac, 19:54 , 09-Июл-09 (13)
>[оверквотинг удален] >>работать службы, слушающие на "xxx.xxx.xxx.xxx", о них надо позаботиться отдельно. > >Дабы развеять вашу неграмотность, сообщаю, что диверт возвращает измененный пакет обратно в >ipfw для дальнейшего прохождения сквозь файрволл и выхода из рутера. Подчеркиваю, >_возвращает_ _измененный_ _пакет_. > >>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). > >А еще в 7-ке есть ipfw natd. Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to any , ниже правил для divert-а и в /var/log/security убедиться в тщетности инсинуаций.
- Не работает доступ в интернет ни почта, PavelR, 22:18 , 09-Июл-09 (14)
>Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to >any , ниже правил для divert-а и в /var/log/security убедиться в >тщетности инсинуаций. Уважаемый, Вам таки не понятно, что это будет происходить _до_ divert, при первом прохождении пакета по файрволлу ?
- Не работает доступ в интернет ни почта, PavelR, 22:22 , 09-Июл-09 (15)
>[оверквотинг удален] >>_возвращает_ _измененный_ _пакет_. >> >>>Оптимально перенести NAT в pf, firewall переписать с таблицами, исправить несоответствие между >>>rc.conf (natd_interface="re0") и firewall-ом (LanOut="rl0"). >> >>А еще в 7-ке есть ipfw natd. > >Для развеяния приведённых мифоф достаточно добавить deny log all from 10.17.13.0/24 to >any , ниже правил для divert-а и в /var/log/security убедиться в >тщетности инсинуаций. и еще, ответьте на вопрос: как ядро ( а больше в вашей схеме с пакетом ничего не работает ) узнает, что natd занес себе запись о том, "что пакеты из подсети 10.17.13.0/24, попадая на интерфейс rl0, должны быть свёрнуты в адрес xxx.xxx.xxx.xxx" ?
|