| |
| 1.3, void, 18:16, 12/03/2008 [ответить] [смотреть все]
| +/– |
Пересобирал только ядро, правда с
CFLAGS+= -DIPFIREWALL_NAT
просто
make buildkernel KERNCONF=KERN && make installkernel KERNCONF=KERN
3 дня полет нормальный...
|  | | |
| 1.7, void, 21:57, 12/03/2008 [ответить] [смотреть все]
| +/– |
а никто мира не пересобирал? ато я чегото таких рекомендаций не видел... я не пересобирал.
| | | |
| 1.10, xaka, 12:23, 13/03/2008 [ответить] [смотреть все]
| +/– |
Я мир не трогал, внёс изменения в конфиг ядра, сделал make kernel KERNCONF=... и всё заработало как часики.
| | | |
| 1.13, Dyr, 13:37, 13/03/2008 [ответить] [смотреть все]
| +/– |
Из всего конфига обязательно лишь
options IPFIREWALL
options IPFIREWALL_NAT
options LIBALIAS
В make.conf указывать флаг совершенно не обязательно (и откуда только это пошло...С бета-версий, что ли?)
| | | |
| 1.18, misteras, 12:04, 14/03/2008 [ответить] [смотреть все]
| +/– |
Только вот с фильтрацией полный бордак
теперь чтобы перекрыть к примеру smtp трафик я должен написать запрещающее правило перед натингом
Раньше при использовании демона (natd только транслировал), а решение о разрешении ли запрете пакета формировались правилами после трансляции
И так было удобно поскольку можно было добавить разрешающие правила, а остальное все запретить
| | | |
| 1.37, folax, 13:58, 29/03/2008 [ответить] [смотреть все]
| +/– |
Подскажите пожалуста.А какой порядок написания правил для IPFW после этой процедуры.Пример если можно.
| | | |
| 1.52, Vovanxx1, 11:33, 18/01/2009 [ответить] [смотреть все]
| +/– |
Необходим ядерный ipfw nat on freebsd 4.x in kernel mode, есть ли готовые решения, можете что-то посоветовать? Может быть существует какой-то backport libalis and ipfw2 в 4ую ветку?
|  | | |
| |
| |
| 3.60, Hm, 01:56, 27/07/2009 [^] [ответить] [смотреть все]
| +/– |
># редирект 80 порта на внутренний сервер
>ipfw nat 10 config ip ${внешний_ip} redirect_port tcp ${внутренний_ip_вебсервера}:80 80
>ipfw add nat 10 tcp from ${внутренний_ip_вебсервера} 80 to any out via
>${внешний_интерфейс}
не работает, т.к. с 80 порта нет редиректа на внутренний_ip_вебсервера.
| | | |
|
|
| 1.58, AdVv, 18:30, 13/05/2009 [ответить] [смотреть все]
| +/– | |
Извиняюсь за некропостинг, с KERNEL NAT не работает NAT для PPTP. Конфигурация:
firewall_enable="YES"
firewall_type="OPEN"
firewall_nat_enable="YES"
firewall_nat_interface="vlan0"
firewall_nat_flags="same_ports redirect_port tcp 192.168.1.30:210 210 redirect_port tcp 192.168.2.1:6112 6112"
Если так:
natd_enable="YES"
natd_flags="-redirect_port tcp 192.168.1.30:210 210 -redirect_port tcp 192.168.2.1:6112 6112 -unregistered_only -use_sockets -same_ports -punch_fw 19000:100"
natd_interface="vlan0"
то все работает нормально.
| | | |
| 1.61, Igor, 10:43, 13/08/2009 [ответить] [смотреть все]
| +/– | |
Извините если я туплю. Маюсь уже целый месяц. Не работает nat кернельный и все, хоть ты тресни.
Коротко: судя по трафику, пакеты syn пробрасываются натом нормально на внутренний комп, но syn ack уходят от нее с нулевым чексумом, поэтому tcp connection не создается. (это я смотрю на стороне внутреннего сервера w2k3sp2 куда перебрасываются порты)
В тоже самое время, при прохождении через роутер(фря 7,2 stable) нормально эти пакеты принимает и ставит туда нормальный чексум и отправляет syn ack отправителю.
w2k3sp2(куда пробрасываются порты) пытался грузить в safe mode чтобы вырубить всевозможные левые фильтры, результат такой же, т.е. что то я понаписал в настройках ipfw не то.
это читал. http://www.lissyara.su/?id=1967
не помогло
если можете помочь, могу логи и конфиги выслать. Если кто то с таким сталкивался помогите. Я точно знаю, что я где-то загигулинку не поставил, но где не знаю.
|  | | |
| |
| 2.62, terminus, 12:07, 19/08/2009 [^] [ответить] [смотреть все] [показать ветку]
| +/– |
>Коротко: судя по трафику, пакеты syn пробрасываются натом нормально на внутренний комп,
>но syn ack уходят от нее с нулевым чексумом, поэтому tcp
>connection не создается. (это я смотрю на стороне внутреннего сервера w2k3sp2
>куда перебрасываются порты)
>В тоже самое время, при прохождении через роутер(фря 7,2 stable) нормально эти
>пакеты принимает и ставит туда нормальный чексум и отправляет syn ack
>отправителю.
попробуйте выключить фукции аппаратного ускорения расчета контрольных сумм на сетевухе где рпботает нат.
ifconfig em0 -rxcsum -txcsum
| | | |
| |
| 3.69, gorec2005, 16:52, 25/01/2010 [^] [ответить] [смотреть все]
| +/– |
>[оверквотинг удален]
>>connection не создается. (это я смотрю на стороне внутреннего сервера w2k3sp2
>>куда перебрасываются порты)
>>В тоже самое время, при прохождении через роутер(фря 7,2 stable) нормально эти
>>пакеты принимает и ставит туда нормальный чексум и отправляет syn ack
>>отправителю.
>
>попробуйте выключить фукции аппаратного ускорения расчета контрольных сумм на сетевухе где рпботает
>нат.
>
>ifconfig em0 -rxcsum -txcsum
Мне (под esxi) помогло! - спасибо!
| | | |
|
| 2.66, igor, 17:49, 20/12/2009 [^] [ответить] [смотреть все] [показать ветку]
| +/– |
Если кому интересно. Я нашел почему не работал NAT.
после того как убрал вот это динамическое правило все заработало
ipfw add allow tcp from any to any via $oif established #$oif внешний интерйфейс
| | | |
|
| |
| |
| |
| 4.67, klim, 23:09, 06/01/2010 [^] [ответить] [смотреть все]
| +/– |
В роли шлюза - вирт. машина:
FreeBSD 7.2 +
Памяти 1 гб
2 сетевые по 1 гб\сек в бридже
2 проц. по 2.4 ггц
Скорость передачи данных через нат не превышает 10 магабайт в секунду.
Статистика при передаче:
процессор 30.21% natd (пиковая цифра)
свободно памяти больше половины
snmp показывает что на сетевых интерфейсах скорость не больше 10 мегабайт в секунду
Где узкое место? Как добиться увеличения скорости?
|  | | |
| |
| 5.68, SiD, 22:20, 07/01/2010 [^] [ответить] [смотреть все]
| +/– |
>[оверквотинг удален]
>
>Скорость передачи данных через нат не превышает 10 магабайт в секунду.
>
>Статистика при передаче:
>процессор 30.21% natd (пиковая цифра)
>свободно памяти больше половины
>snmp показывает что на сетевых интерфейсах скорость не больше 10 мегабайт в
>секунду
>
>Где узкое место? Как добиться увеличения скорости?
natd тут причем ? тут kernel nat обсуждали ... читайте внимательнее ...
плюс рекомендую включить polling в ядре ...
|  | | |
|
|
|
|
|
|
