URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3529
[ Назад ]

Исходное сообщение
"конфигурационный файл natd"
Отправлено rdsden , 10-Ноя-07 11:13

Не могу понять в чем дело.. поднял шлюз на фришке, настроил ipfw и natd.
firewall_enable="yes"
firewall_script="/etc/rc.myfw"
firewall_type="my"
firewall_quiet="yes"
firewall_logging="yes"natd_enable="yes"
natd_interface="rl1"
natd_flags=""
С самого начала не стал прописвать конфигурацию NAT, ни в параметрах natd_flags="", ни в отдельном файле.
С недавнего времени появилась необходимость сконфигурировать NAT, и столкнулся с проблемой, что если в natd_flags="" прописать любые параметры конфига, будь то разрешение логов, или редирект адресов, в отдельном файле кстати тоже, то NAT напрочь отключается...
конфигурационный файл прописываю: natd_flags="-f /etc/natd.conf"
содержание /etc/natd.conf допустим такое:
log yes

Содержание

конфигурационный файл natd,DN, 15:38 , 10-Ноя-07
- конфигурационный файл natd,rdsden, 14:09 , 11-Ноя-07
  - конфигурационный файл natd,DN, 12:32 , 12-Ноя-07
    - конфигурационный файл natd,rdsden, 13:22 , 12-Ноя-07
      - конфигурационный файл natd,DN, 13:34 , 12-Ноя-07
        
        конфигурационный файл natd,rdsden, 14:44 , 12-Ноя-07
        
        конфигурационный файл natd,rdsden, 16:54 , 12-Ноя-07
        
        конфигурационный файл natd,DN, 17:10 , 12-Ноя-07

Сообщения в этом обсуждении

"конфигурационный файл natd"
Отправлено DN , 10-Ноя-07 15:38

>С недавнего времени появилась необходимость сконфигурировать NAT, и столкнулся с проблемой, что
>если в natd_flags="" прописать любые параметры конфига, будь то разрешение логов,
>или редирект адресов, в отдельном файле кстати тоже, то NAT напрочь
>отключается...
>конфигурационный файл прописываю: natd_flags="-f /etc/natd.conf"
>
>содержание /etc/natd.conf допустим такое:
>log yes
Если у Вас не работает должным образом связка ipfw & natd , то проблема
скорее в правилах ipfw .
Включение в natd_flags="-f /etc/natd.conf" :
log yes
допустимо , но самое последнее дело. По любому все должно логировать .
Или у Вас только эта опция и указана?

"конфигурационный файл natd"
Отправлено rdsden , 11-Ноя-07 14:09

>Если у Вас не работает должным образом связка ipfw & natd ,
>то проблема
>скорее в правилах ipfw .
>Включение в natd_flags="-f /etc/natd.conf" :
>log yes
>допустимо , но самое последнее дело. По любому все должно логировать
>.
>Или у Вас только эта опция и указана?
Я не правильно выразился, при помещении любой опции в natd.conf, отключается не только NAT, а инетернет в целом даже на этой шлюзовой машине. Тип IPFW открытый.

"конфигурационный файл natd"
Отправлено DN , 12-Ноя-07 12:32

>>Или у Вас только эта опция и указана?
>
>Я не правильно выразился, при помещении любой опции в natd.conf, отключается не
>только NAT, а инетернет в целом даже на этой шлюзовой машине.
>Тип IPFW открытый.
Что значит открытый ?
Думаю, у Вас проблемы с написание правил для ipfw .

"конфигурационный файл natd"
Отправлено rdsden , 12-Ноя-07 13:22

>
>Что значит открытый ?
>Думаю, у Вас проблемы с написание правил для ipfw .

Правила пока только в стадии написания:

[Mm][Yy]
# variable
fwcmd="/sbin/ipfw -q"# internet interface
oif="rl1"
onet="192.168.1.0/30"
oip="192.168.1.2"
# localnet interface
iif="rl0"
inet="192.168.2.0/24"
iip="192.168.2.99"
# drop old rules
${fwcmd} -f flush
# local trafic
${fwcmd} add 50 divert natd ip from any to any via ${oif}
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
# RDP
${fwcmd} add 500 allow tcp from any to any 3389
${fwcmd} add 600 allow tcp from any 3389 to any
# ICMP
${fwcmd} add 1100 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${fwcmd} add 1200 allow icmp from any to any
# SSH
${fwcmd} add 2100 allow tcp from ${inet} to me 22
${fwcmd} add 2200 allow tcp from me 22 to ${inet}
# DNS
${fwcmd} add 3100 allow udp from any to any 53
${fwcmd} add 3200 allow udp from any 53 to any
${fwcmd} add 3300 allow tcp from any to any 53
${fwcmd} add 3400 allow tcp from any 53 to any
# Web
${fwcmd} add 4100 allow tcp from any to any 80,443
${fwcmd} add 4200 allow tcp from any 80,443 to any
# Mail
${fwcmd} add 5100 allow tcp from any to any 25,110
${fwcmd} add 5200 allow tcp from any 25,110 to any
# ICQ
${fwcmd} add 6100 allow tcp from any to any 5190
${fwcmd} add 6200 allow tcp from any 5190 to any
# pptp
${fwcmd} add 7100 allow tcp from any to me 1723
${fwcmd} add 7200 allow tcp from me 1723 to any
${fwcmd} add 65000 allow ip from any to any

"конфигурационный файл natd"
Отправлено DN , 12-Ноя-07 13:34

>inet="192.168.2.0/24"
>iip="192.168.2.99"
>
># drop old rules
>${fwcmd} -f flush
>
># local trafic
>${fwcmd} add 100 pass all from any to any via lo0
>${fwcmd} add 200 deny all from any to 127.0.0.0/8
>${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
${fwcmd} add 400 divert natd ip from any to any via ${oif}
># ICQ
>${fwcmd} add 6100 allow tcp from any to any 5190
>${fwcmd} add 6200 allow tcp from any 5190 to any
>
># pptp
>${fwcmd} add 7100 allow tcp from any to me 1723
>${fwcmd} add 7200 allow tcp from me 1723 to any
>
>${fwcmd} add 65000 allow ip from any to any
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
:-) Это просто песня.
${fwcmd} add 64900 deny log ip from any to any
Не включайте для natd опцию -unregistered_only

"конфигурационный файл natd"
Отправлено rdsden , 12-Ноя-07 14:44

пасиба огромное :) все заработало

"конфигурационный файл natd"
Отправлено rdsden , 12-Ноя-07 16:54

упс.. извиняюсь за дезинформацию.. всё осталось как и было

"конфигурационный файл natd"
Отправлено DN , 12-Ноя-07 17:10

>упс.. извиняюсь за дезинформацию.. всё осталось как и было
Смотрите лог ipfw для правила
${fwcmd} add 64900 deny log ip from any to any
Можно временно влючть лог и для divert .