https://www.opennet.ru/openforum/vsluhforumID1/92923.html Поясните в общих чертах что-то изменилось во фре со времен 6-ки или я что-то не догоняю? Не могу нормально НАТ настроить. Беглое гугление показало, что теперь, якобы, поддержку НАТа из ядра убрали и нужно пару опций добавлять. Раньше я что-то подобного не припомню. Причем, теперь не ясно откуда ipfw берет правила. В рц.конф четко указал тип, а ipfw -a list выдает какой-то "левак" да еще и с ИПв6-ыми правилами, которые я вообще нигде не упоминал. После рестарта ipfw правила, наконец-то ки, считываются из указанного мной типа и перемешиваются с изначальными. Кстати, раньше был отдельный файл rc.firewall6, а теперь его нет. Бардак, вобщем.<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#8 Wed, 25 Jan 2012 20:33:19 GMT &gt;&gt;&gt; включен ipnat и natd одновременно.<br>&gt;&gt; Ну мне это никогда не мешало. natd для дивертов, ipnat для редиректов.<br>&gt;&gt; Тем более, с НАТом уже все хорошо. С файерволлом плохо.<br>&gt; проблема программиста - это когда программы делают то, что создал программист, а <br>&gt; не то, что он хотел, что бы они делали :) внимательно <br>&gt; смотрим в /etc/rc.firewall и видим, что там есть несколько секций, которые <br>&gt; будут исполнятся по любому <br><br>Ах, блин =) Увидел "сетап ипв6 мандатори" и понял откуда ноги растут. Я обычно рц.файерволл проматывал неглядя вниз и приписывал свой набор. Говорила мама, что конфиг - дело тонкое =) Ща поиграюсь с правилами - посмотрим, как пойдет. Спасибо.<br><br><br>&gt; ps. кстати, а чего так грубо называть свой набор правил то? :) <br><br>Ну почему, грубо? Наоборот - любя. =)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#7 Wed, 25 Jan 2012 13:35:26 GMT &gt;&gt; включен ipnat и natd одновременно.<br>&gt; Ну мне это никогда не мешало. natd для дивертов, ipnat для редиректов. <br>&gt; Тем более, с НАТом уже все хорошо. С файерволлом плохо.<br><br>проблема программиста - это когда программы делают то, что создал программист, а не то, что он хотел, что бы они делали :) внимательно смотрим в /etc/rc.firewall и видим, что там есть несколько секций, которые будут исполнятся по любому <br><br>ps. кстати, а чего так грубо называть свой набор правил то? :)<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#6 Wed, 25 Jan 2012 07:07:19 GMT &gt; включен ipnat и natd одновременно.<br><br>Ну мне это никогда не мешало. natd для дивертов, ipnat для редиректов. Тем более, с НАТом уже все хорошо. С файерволлом плохо.<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#5 Tue, 24 Jan 2012 23:53:13 GMT включен ipnat и natd одновременно.<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#4 Tue, 24 Jan 2012 21:11:54 GMT &gt; Давно однако вы не были,<br><br>Ну я так, набегами.<br><br> посмотрите в файл /etc/defaults/rc.conf и поймете <br>&gt; откуда что берется<br><br>Ща посмотрю.<br><br>, только помните что ната может быть 2-а, один <br>&gt; ядерный, а второй демон ...<br><br>А вот здесь можно подробней или ссылку на статью. Я как-то глубоко не вникал, но сталкивался пока только с двумя: natd и ipnat.<br><br>Кстати, с моим предыдущим вопросом самым простым решением оказалось прописывание статикой. Почему дхцп нормально не срабатывал я так и не понял и мне так никто и не подсказал.<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#3 Tue, 24 Jan 2012 20:53:19 GMT В рц.конф ничего особенного. <br><br>gateway_enable="YES"<br>hostname="router.aks.spb.ru"<br><br>ifconfig_ed0="inet 212.232.72.122 netmask 255.255.255.240"<br># ifconfig_ed0="DHCP"<br>ifconfig_vr0="inet 192.168.10.1 netmask 255.255.255.0"<br># dhcp_program="/sbin/dhclient"<br># dhcp_flags=""<br><br>defaultrouter="212.232.72.113"<br><br># inetd_enable="YES"<br>ipnat_enable="YES"<br><br>firewall_enable="YES"<br>firewall_type="VULVA"<br>firewall_logging="YES"<br>natd_enable="YES"<br>natd_interface="ed0"<br><br>keymap="ru.koi8-r"<br>mousechar_start="3"<br>moused_enable="YES"<br>moused_port="/dev/psm0"<br>moused_type="auto"<br><br>named_enable="YES"<br>named_flags="-u bind"<br>ntpdate_enable="YES"<br>ntpdate_hosts="ntp.psn.ru"<br><br>sshd_enable="YES"<br># squid_enable="YES"<br># mpd_enable="YES"<br><br>Собссно, с НАТом разобрался - пересобрал ядро и все работает. Меня сейчас более смущают правила файерволла. Вот тот тип, что у меня в конфиге указан, выглядит так:<br><br>[Vv][Uu][Ll][Vv][Aa])<br><br> ${fwcmd} add 100 divert natd ip from 192.168.10.0/24 https://www.opennet.ru/openforum/vsluhforumID1/92923.html#2 Tue, 24 Jan 2012 19:33:30 GMT Давно однако вы не были, посмотрите в файл /etc/defaults/rc.conf и поймете откуда что берется, только помните что ната может быть 2-а, один ядерный, а второй демон ...<br> https://www.opennet.ru/openforum/vsluhforumID1/92923.html#1 Tue, 24 Jan 2012 05:12:08 GMT что-то ты путаешь - никогда поддержки ната в ядре не было. и для divert'a всегда требовалось пересобирать ядро.<br>касательно ipv6 - да, теперь оно включено в ядро по умолчанию. но кажется, что ты явно где-то напутал - давай вывод rc.conf <br><br>ps. для использования ядерного ната достаточно трех строк <br><br>$ipfw nat 10 config if &lt;внешний_интерфейс&gt; deny_in reset same_ports <br>$ipfw add nat 10 all from &lt;внутренняя_сеть&gt; to any via &lt;внешний_интерфейс&gt;<br>$ipfw add nat 10 all from any to &lt;внешний_ip&gt; via &lt;внешний_интерфейс&gt;<br><br>да и то последние можно слить в одну<br>