https://www.opennet.ru/openforum/vsluhforumID1/95949.html Прошу помощи. Уже весь мозг сломал.<br><br>Почему при замене правила <br>ipfw add 50 divert 8668 ip from any to any via re1<br>на <br>ipfw add 50 divert 8668 ip4 from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1 <br>ipfw add 51 divert 8668 ip4 from not 192.168.211.0/24 to 81.23.1.1 in recv re1 <br>Перестают работать рекурсивные запросы на Bind ???<br><br>192.168.211.0/24 - локалка<br>81.23.1.1 - внешний Ip<br>FreeBSD 9.1-RELEASE<br><br>BIND 9.8.3-P4<br>listen-on { 127.0.0.1;192.168.211.1;81.23.1.1; };<br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#10 Tue, 27 Jan 2015 18:57:36 GMT Ой, спасибо, что вы есть! :)<br>Можете глянуть? http://www.opennet.ru/openforum/vsluhforumID1/95957.html#0<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#9 Tue, 27 Jan 2015 16:28:05 GMT &gt; Михалыч, можно с вами посоватоваться по ipfw?<br>&gt; Есть почта? ;) <br><br>да есть конечно )), куда ж без неё, почтальон исправно приносит журнал мурзилку и барвинок ))<br><br>а если серьезно, то понимание ipfw (или чего-то другого) - это не является сакральным знанием<br>и я далеко не знаток и не знаю всех тонкостей, но при необходимости буду вникать в нюансы,<br>а чего знаю - подскажу, мне не жалко ))<br><br>есть же, действительно, куча инфы, и на этом сервере и других (хабр, лисяра, хоть и не хвалят его, типа он думать не дает, а готовые рецепты предлагает, но я не согласен с этим )), самому думать никто не запрещает)<br><br>вот, свеженький man, ещё не протух<br>http://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+10.1-stable&arch=default&format=html<br><br>ежели сразу на "ненашинском" трудно, то<br>набираем в яше (гугле) man ipfw на русском, получаем кучу сцылок<br><br>http://www.opennet.ru/man.shtml?topic=ipfw&category=8&russian=0<br>http://bugreev.ru/blog:2011:12:08-freebsd_-_ipfw<br>http://bezopasnik.org/unix/d https://www.opennet.ru/openforum/vsluhforumID1/95949.html#8 Tue, 27 Jan 2015 04:33:56 GMT &gt; Михалыч, можно с вами посоватоваться по ipfw?<br>&gt; Есть почта? ;) <br><br>man ipfw <br>для начала освой ...<br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#7 Mon, 26 Jan 2015 19:19:46 GMT Михалыч, можно с вами посоватоваться по ipfw?<br>Есть почта? ;)<br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#6 Sun, 25 Jan 2015 08:07:44 GMT &gt;&gt; Тогда уж так: <br>&gt;&gt; ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1 <br>&gt;&gt; ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1 <br>&gt; И так тоже Bind перестает работать по рекурсивным запросам.<br>&gt; Вопрос, почему???<br><br>Продолжаете отжигать?<br><br>Вы спрашиваете, почему перестаёт работать?<br>Может надо явно разрешить?<br><br>Что у вас в правилах файервола, нам сие неизвестно, об этом история,<br>как в прочем и вы, к сожалению, умалчивает.. ))<br><br>Ну, да ладно, попробую как-нибудь, наощупь.<br><br>Вот минимальный джентльменский набор правил.<br><br>ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1 <br>ipfw add 60 divert natd all from any to 81.23.1.1/32 in recv re1 <br>ipfw add 100 llow all from any to any via lo0<br>ipfw add 200 deny all from any to 127.0.0.0/8<br>ipfw add 300 deny all from 127.0.0.0/8 to any<br>ipfw add 400 allow all from 81.23.1.1/32 to any<br>ipfw add 500 allow all from any to 81.23.1.1/32<br>ipfw add 600 allow all from 192.168.211.0/24 to any<br>ipfw add 700 allow all from a https://www.opennet.ru/openforum/vsluhforumID1/95949.html#5 Sat, 24 Jan 2015 17:39:09 GMT &gt;&gt; Тогда уж так: <br>&gt;&gt; ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1 <br>&gt;&gt; ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1 <br>&gt; И так тоже Bind перестает работать по рекурсивным запросам.<br>&gt; Вопрос, почему???<br><br>Используйте tcpdump, netstat и sockstat для определении логики работы bind.<br>Нам сложно телепатировать ваш конфиг бинда, firewall'a и версии bind'a.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#4 Sat, 24 Jan 2015 15:56:58 GMT &gt; Тогда уж так: <br>&gt; ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1 <br>&gt; ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1 <br><br>И так тоже Bind перестает работать по рекурсивным запросам.<br><br>Вопрос, почему???<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#3 Sat, 24 Jan 2015 13:06:10 GMT Э-э-э, друг, что-то намудрил, с этими самыми not'ами.<br>Если хочется указывать конкретно out xmit и in recv то в данном конкретном случае смысл с not отпадает.<br><br>Но, вроде как такие конструкции уже не практикуются, типа устарели морально.<br>Рекомендуют использовать именно конструкцию via (а там уж система сама разберётся, что откуда и куда, чай не дурнее паровоза)<br>Это называется сам себя перехитрил. )) Зачем?<br><br>Зачем разбивать первое правило на два других?<br>Какой-такой смысл потаённый? Счетчики срабатывания этих правил посмотреть? Ну, и чего?<br>Посмотрел? ))<br><br>Тогда уж так:<br><br>ipfw add 50 divert natd all from 192.168.211.0/24 to any out xmit re1<br>ipfw add 51 divert natd all from any to 81.23.1.1/32 in recv re1<br><br> https://www.opennet.ru/openforum/vsluhforumID1/95949.html#2 Sat, 24 Jan 2015 08:21:58 GMT Без разницы.<br>правила заменяются т.е. 50 удаляю, 50 и 51 добавляю.<br>Разницы между ip и ip4 я не заметил.<br><br>при divert 8668 ip from any to any via re1<br>рекурсивные запросы в bind работают.<br><br>при divert 8668 ip from 192.168.211.0/24 to not 192.168.211.0/24 out xmit re1 <br>divert 8668 ip from not 192.168.211.0/24 to 81.23.1.1 in recv re1 <br><br>Bind отдает на запросы только данные из зон прописанных в named.conf<br>