https://slinkov.ru/openforum/vsluhforumID1/76913.html Ситуация такая. Есть FreeBSD. Настроен НАТ. Непонимаю почему, но часть клиентов нат не пропускает. Внутренний интерфейс виден а внешний нет.<br><br>sterver# ifconfig<br>dc0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<br> inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255<br> ether 00:00:e8:44:02:f3<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>xl0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> inet 195.128.17.242 netmask 0xfffffffc broadcast 195.128.17.243<br> ether 00:60:08:37:6e:95<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br><br>может ещё какие-то настройки сказать?<br><br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#27 Sun, 28 Oct 2007 22:49:44 GMT <br>&gt;[оверквотинг удален]<br>&gt;/sbin/ipfw table 3 flush <br>&gt;local_ip=`cat /tmp/local_ip.txt` <br>&gt;for T1 in ${local_ip}; <br>&gt; do <br>&gt;ipfw table 3 add ${T1} <br>&gt;done <br>&gt;<br>&gt;Правильный скрипт? После выполнения этого скрипта, фаервол начнёт работать с новым списком <br>&gt;3, или у него в памяти останется старый список, и нужно <br>&gt;будет перегружать систему? <br><br>Зачем перегружать?<br>Вы сделали /sbin/ipfw table 3 flush <br>Загрузили таблицу 3 <br>Осталось только посмотреть, что Вы загрузили <br>/sbin/ipfw table 3 list<br><br>По поводу правильности скрипта.<br>Лучше бы заменить эту часть, если в файле большой <br>local_ip=`cat /tmp/local_ip.txt` <br>for T1 in ${local_ip}; <br>do <br> ipfw table 3 add ${T1}<br>done<br><br>На типа <br>cat /tmp/local_ip.txt &#124; \<br>while read T1<br>do <br> ipfw table 3 add ${T1}<br>done<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#26 Sat, 27 Oct 2007 11:22:52 GMT &gt;<br>&gt;${ipfw} add 101 fwd 192.168.0.19 all from table\(3\) to not table\(2\) in <br>&gt;via rl1 <br><br>Ок. Спасибо, попробую.<br>Ещё вопросик не совсем в тему.<br>у меня rc.firewall имеет такой вид:<br><br>#!/bin/sh<br><br>ipfw="ipfw -q"<br><br>${ipfw} -f flush<br><br>ifextmir='rl0'<br>ifint='rl1'<br><br>${ipfw} table 3 add 192.168.0.60<br><br>${ipfw} table 3 add 192.168.0.99<br>${ipfw} table 3 add 192.168.0.100<br>${ipfw} table 3 add 192.168.0.101<br>...<br>...<br>...<br>${ipfw} table 3 add 192.168.0.253<br>${ipfw} table 3 add 192.168.0.254<br>ну и дальше там всякие другие правила.<br><br>1. Как мне можно включить файл с этим списком (таблица 3) в rc.firewall?<br>--------------------------------------<br>2. У меня есть такой скрипт, который обновляет список UA-IX сетей.<br><br>#!/bin/sh<br>fetch http://colocall.net/uaix/prefixes.txt<br>cp prefixes.txt /tmp/<br>/sbin/ipfw table 2 flush<br>uanet=`cat /tmp/prefixes.txt`<br>for T1 in ${uanet};<br> do<br>ipfw table 2 add ${T1}<br>done<br><br>могули я сделать такой же скрипт для внесения изменённого списка localIP без перезагрузки фаервола - netsta https://slinkov.ru/openforum/vsluhforumID1/76913.html#25 Fri, 26 Oct 2007 14:51:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Если DLINK натит и файрволит, то можно просто форвардинг, сменив его <br>&gt;&gt;192.168.1.19 на 192.168.0.19 для простоты. <br>&gt;<br>&gt;тогда правила изменят свою структуру на нечто такое: <br>&gt;<br>&gt;${ipfw} add 101 fwd 192.168.0.19 all from table\(3\) to not table\(2\) to <br>&gt;any <br>&gt;${ipfw} add 108 divert 8668 all from 192.168.0.0/24 to any <br>&gt;${ipfw} add 110 divert 8668 all from any to 195.128.17.242 <br>&gt;правильно? <br><br>Sorry. Поторопился.<br><br>${ipfw} add 101 fwd 192.168.0.19 all from table\(3\) to not table\(2\) in via rl1<br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#24 Fri, 26 Oct 2007 14:45:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Если DLINK натит и файрволит, то можно просто форвардинг, сменив его <br>&gt;&gt;192.168.1.19 на 192.168.0.19 для простоты. <br>&gt;<br>&gt;тогда правила изменят свою структуру на нечто такое: <br>&gt;<br>&gt;${ipfw} add 101 fwd 192.168.0.19 all from table\(3\) to not table\(2\) to <br>&gt;any <br>&gt;${ipfw} add 108 divert 8668 all from 192.168.0.0/24 to any <br>&gt;${ipfw} add 110 divert 8668 all from any to 195.128.17.242 <br>&gt;правильно? <br><br>Ну, да.<br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#23 Fri, 26 Oct 2007 14:11:08 GMT &gt;&gt;там я писал про топологию сети. <br>&gt;&gt;вот тот IP 192.168.1.19 являеться роутером (обчная мыльница DLINK). Возможно мне не <br>&gt;&gt;нужно поднимать 2 NATа на основном сервере. Может можно ограничиться обычным <br>&gt;&gt;форвардингом на роутер, а он пусть уже маршрутищирует то, что на <br>&gt;&gt;него пришло? <br>&gt;<br>&gt;Если DLINK натит и файрволит, то можно просто форвардинг, сменив его <br>&gt;192.168.1.19 на 192.168.0.19 для простоты. <br><br>тогда правила изменят свою структуру на нечто такое:<br><br>${ipfw} add 101 fwd 192.168.0.19 all from table\(3\) to not table\(2\) to any<br>${ipfw} add 108 divert 8668 all from 192.168.0.0/24 to any<br>${ipfw} add 110 divert 8668 all from any to 195.128.17.242<br>правильно?<br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#22 Fri, 26 Oct 2007 13:53:00 GMT &gt;и ещё одно не совсем к теме. разница между deny и drop? <br>&gt;В ман написано, что оба запрещают пакет, но по логике deny <br>&gt;даёт ответ отправителю пакета, что он заблокирован, а drop не отправляет <br>&gt;никаких сведений - сообветственно уменьшая нагрузку за счет не генерирования ответного <br>&gt;пакета. Я прав? <br><br>deny / drop - это синонимы.<br><br>unreach code отправит ответ . Для него частично синонимом является reject,<br>который оправляет ответ unreach host.<br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#21 Fri, 26 Oct 2007 13:45:58 GMT &gt;там я писал про топологию сети. <br>&gt;вот тот IP 192.168.1.19 являеться роутером (обчная мыльница DLINK). Возможно мне не <br>&gt;нужно поднимать 2 NATа на основном сервере. Может можно ограничиться обычным <br>&gt;форвардингом на роутер, а он пусть уже маршрутищирует то, что на <br>&gt;него пришло? <br><br>Если DLINK натит и файрволит, то можно просто форвардинг, сменив его<br>192.168.1.19 на 192.168.0.19 для простоты.<br><br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#20 Fri, 26 Oct 2007 13:28:02 GMT и ещё одно не совсем к теме. разница между deny и drop? В ман написано, что оба запрещают пакет, но по логике deny даёт ответ отправителю пакета, что он заблокирован, а drop не отправляет никаких сведений - сообветственно уменьшая нагрузку за счет не генерирования ответного пакета. Я прав?<br> https://slinkov.ru/openforum/vsluhforumID1/76913.html#19 Fri, 26 Oct 2007 13:25:14 GMT там я писал про топологию сети.<br>вот тот IP 192.168.1.19 являеться роутером (обчная мыльница DLINK). Возможно мне не нужно поднимать 2 NATа на основном сервере. Может можно ограничиться обычным форвардингом на роутер, а он пусть уже маршрутищирует то, что на него пришло?<br>