https://www.opennet.me/openforum/vsluhforumID1/95940.html Добрый день коллеги Решил настроить на шлюзе с FreeBSD NAT интересует именно ядерный NAT но нат работать не хочет ТЕСТОВАЯ СИСТЕМА <br>LAN 192.168.5.0 em1 <br>WAN 192.168.35.0 em0<br>Настраивал http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/ Пример1<br><br>Не работает NAT <br>Не работает перенаправление портов<br><br>ОС FreeBSD 8.4 x64 Ядро пересобрано с опциями <br><br>/usr/src/sys/amd64/conf/ROUTER<br><br>options IPFIREWALL <br>options IPFIREWALL_VERBOSE <br>options IPFIREWALL_VERBOSE_LIMIT=50 <br>options IPFIREWALL_NAT <br>options LIBALIAS <br>options IPFIREWALL_FORWARD <br>options IPDIVERT <br>options ROUTETABLES=2 <br>options DUMMYNET <br>options HZ=&#171;1000&#187;<br><br>Добавил в /etc/sysctl.conf<br><br>ee /etc/sysctl.conf<br><br>net.inet.ip.fw.one_pass=1 <br><br>Добавил в /etc/rc.conf<br><br>#ee /etc/rc.conf <br><br>defaultrouter=&#171;192.168.35.1&#187; <br>hostname=&#171;NAT&#187; <br>ifconfig_em0=&#171;inet 192.168.35.20 netmask 255.255.255.0&#187; <br>ifconfig_em1=&#171;inet 192.168.5.5 netmask 255.255.255.0&#187; <br>gateway_enable=&#171;YES&#187; <br>keymap=&# https://www.opennet.me/openforum/vsluhforumID1/95940.html#17 Mon, 19 Jan 2015 08:22:02 GMT &gt; И вообще, зачем свое ядро собирать, заюзать generic, вам ведь в <br>&gt; правилах forward то не нужен, а остальное подгрузить модулями <br><br>BTW с 9.3 fwd в ядре уже <br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#16 Sun, 18 Jan 2015 18:53:40 GMT И вообще, зачем свое ядро собирать, заюзать generic, вам ведь в правилах forward то не нужен, а остальное подгрузить модулями<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#15 Sun, 18 Jan 2015 18:50:16 GMT &gt; net.inet.ip.forwarding: 1 <br>&gt; #ipfw show <br>&gt; 00100 nat 1 ip from any to any via em0 <br>&gt; 65535 deny ip from any to any <br><br>Начните сначала<br>firewall_enable=&#171;YES&#187;<br>firewall_nat_enable=&#171;YES&#187;<br>firewall_nat_interface="em0"<br>firewall_type=&#171;Open&#187;<br><br>и добавить в /etc/sysctl.conf<br>net.inet.ip.fw.one_pass=0.<br><br>После чего попингуйте из локалки ваши интерфейсы и дайте ваши ipfw -a list<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#14 Sun, 18 Jan 2015 17:34:07 GMT &gt; net.inet.ip.forwarding: 1 <br>&gt; #ipfw show <br>&gt; 00100 nat 1 ip from any to any via em0 <br>&gt; 65535 deny ip from any to any <br><br>вот тут прямо так без счетчиков? tcpdump на интерфейсах, и смотреть заголовки.<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#13 Sun, 18 Jan 2015 17:25:00 GMT net.inet.ip.forwarding: 1<br><br><br>#ipfw show<br>00100 nat 1 ip from any to any via em0<br>65535 deny ip from any to any<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#12 Sun, 18 Jan 2015 17:18:14 GMT &gt; исправил <br>&gt; ipfw -f flush <br>&gt; ipfw nat 1 config if em0 log same_ports <br>&gt; ipfw add nat 1 ip from any to any via em0 <br>&gt; но так тоже ничего не работает шлюз не пингуется <br><br>что говорит <br>sysctl net.inet.ip.forwarding<br>и<br>ipfw show<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#11 Sun, 18 Jan 2015 17:18:12 GMT &gt; исправил <br>&gt; ipfw -f flush <br>&gt; ipfw nat 1 config if em0 log same_ports <br>&gt; ipfw add nat 1 ip from any to any via em0 <br>&gt; но так тоже ничего не работает шлюз не пингуется <br><br>Откройте для себя tcpdump.<br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#10 Sun, 18 Jan 2015 16:54:46 GMT исправил <br><br>ipfw -f flush <br>ipfw nat 1 config if em0 log same_ports <br>ipfw add nat 1 ip from any to any via em0 <br><br>но так тоже ничего не работает шлюз не пингуется <br> https://www.opennet.me/openforum/vsluhforumID1/95940.html#9 Sun, 18 Jan 2015 16:30:39 GMT &gt;[оверквотинг удален]<br>&gt; ipfw nat 1 config if em0 log same_ports <br>&gt; ipfw nat 1 ip from any to any via em0 <br>&gt; запустил скрипт <br>&gt; #./firewall <br>&gt; Flushed all rules.<br>&gt; ipfw nat 1 config if em0 log same ports <br>&gt; ipfw: bad command 'ip' <br>&gt; NAT не работает сервак 5.5 не пингуется <br>&gt; #ipfw show <br>&gt; 65535 1269 116087 deny ip from any to any <br><br>а документацию почитать лень? закралась у меня досадная ошибка, которая и привела к <br>"ipfw: bad command 'ip' "<br><br>правильно скрипт читать как <br><br>ipfw -f flush <br>ipfw nat 1 config if em0 log same_ports <br>ipfw add nat 1 ip from any to any via em0 <br><br>