The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Прозрачный шлюз"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Прозрачный шлюз"
Сообщение от B00StER emailИскать по авторуВ закладки on 13-Фев-02, 20:02  (MSK)
Есть сервер FreeBSD с двумя сетевыми интерфейсами. Один с глобальным ip (смотрит наружу), второй - локальный (10.0.0.30)
Можно ли сделать так, чтобы пользователи из локальной сети имели полный доступ в инет (icq, почта, quake) без использования Socks? Если да, то каким образом?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Прозрачный шлюз"
Сообщение от Op emailИскать по авторуВ закладки on 13-Фев-02, 20:24  (MSK)
>Есть сервер FreeBSD с двумя сетевыми
>интерфейсами. Один с глобальным ip
>(смотрит наружу), второй - локальный
>(10.0.0.30)
>Можно ли сделать так, чтобы пользователи
>из локальной сети имели полный
>доступ в инет (icq, почта,
>quake) без использования Socks? Если
>да, то каким образом?

man natd
man ipfw
man firewall

http://www.investbank.com.ua/unix/natd/natd.html

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Прозрачный шлюз"
Сообщение от rip emailИскать по авторуВ закладки on 14-Фев-02, 17:32  (MSK)
>Есть сервер FreeBSD с двумя сетевыми
>интерфейсами. Один с глобальным ip

read man natd
     man ipfw  


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Прозрачный шлюз"
Сообщение от tomikle emailИскать по авторуВ закладки on 14-Фев-02, 17:59  (MSK)
непомню точно , но вроде ...
добавь в MYKERNEL и пересобери ядро
...
options         IPFIREWALL
options         IPDIVERT
options         IPFILTER_DEFAULT_BLOCK
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPSTEALTH
options         TCP_DROP_SYNFIN
options         ICMP_BANDLIM
...

и поддержка НАТ в rc.firewall

# Network Address Translation.  This rule is placed here deliberately

${fwcmd} add divert 8668 ip from 192.168.17.0/255.255.255.0 to any via xl0
${fwcmd} add divert 8668 ip from any to x.x.x.x via xl0


<rc.conf>
...
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="xl0"
natd_flags=""
...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Прозрачный шлюз"
Сообщение от B00StER emailИскать по авторуВ закладки on 16-Фев-02, 10:11  (MSK)
><rc.conf>
>...
>gateway_enable="YES"
>firewall_enable="YES"
>firewall_type="OPEN"
>firewall_script="/etc/rc.firewall"
>natd_enable="YES"
>natd_interface="xl0"
>natd_flags=""
>...


В общем, все работает. Спасибо! Одно сомнение - насчет firewall_type="OPEN". Чем это обусловлено? И как отразится на защищенности сервера?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Прозрачный шлюз"
Сообщение от umka emailИскать по авторуВ закладки on 17-Фев-02, 14:31  (MSK)
а ты читал вообще, что это такое??..... поройся в rc.firewall
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Прозрачный шлюз"
Сообщение от dvyacheslav Искать по авторуВ закладки on 17-Фев-02, 15:20  (MSK)
да неважно что у тебя прописано толи open толи еще что-нибудь

самое главное чтобы правила были прописаны правильно

у меня вообще не используеться rc.firewall а написаны свои правила в отдельном файле, а в rc.conf прописано

Firewall_enable="yes"
firewall_script="мойфайл"

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Прозрачный шлюз"
Сообщение от B00StER emailИскать по авторуВ закладки on 18-Фев-02, 08:58  (MSK)
>самое главное чтобы правила были прописаны
>правильно
>у меня вообще не используеться rc.firewall

у меня они тоже правильно прописаны. Меня интересует, действительно ли NAT требует открытого файрволла, и, если да, то почему.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Прозрачный шлюз"
Сообщение от B00StER emailИскать по авторуВ закладки on 18-Фев-02, 08:43  (MSK)
>а ты читал вообще, что это
>такое??..... поройся в rc.firewall


конечно, читал. И rc.firewall исходном рылся. 65000 pass all from any to any не кажется оптимальным решением. Потому и вопрос задал, собственно...

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру