Новые ответы

FreeBSD 10.1 и IPFW + NAT,

Barbos, 24-Фев-15, 19:12 [смотреть все]

Здравствуйте,
помогите пожалуйста разобраться:
решил попробовать использовать ядерный NAT, почитал про него, нашел подходящий пример для начала, подкорректировал - но не работает нат (сам я сейчас дома, но на работе оставил включенным компьютер с тим вьвером указав ему шлюзом настраиваемый сабж - в сети тимвьювер не регистрируется, сам компьютер со шлюза пингуется, интернет на шлюзе тоже есть).
fxp0 - интернет
vr0 - локалка
table(1) - для блокирования, заполняется bruteblockd
table(2) - те, кто ходит в инет на прямую (squid пока не настраивал)
Правила:
00100   0     0 deny ip from table(1) to me #сюда заносит адреса bruteblockd
00200  84 18526 allow ip from any to any via lo0
00300 185 20397 allow tcp from any to me dst-port 22 keep-state
nat 1 config log if fxp0 reset same_ports
00400   0     0 nat 1 ip from 192.168.101.0/24 to any dst-port 25,110,465,993,995 out via fxp0
00500   0     0 nat 1 ip from table(2) to any out via fxp0
00600 396 49003 nat 1 ip from any to 176.112.31.48 in via fxp0
00700 396 49003 nat 1 ip from any to any in via fxp0
00800  87  5633 allow ip from table(2) to not 192.168.101.0/24 in via vr0
00900   0     0 allow ip from 192.168.101.0/24 to not 192.168.101.0/24 dst-port 25,110,465,993,995 in via vr0
01000   0     0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 in via fxp0
01100   0     0 allow ip from not 192.168.101.0/24 to 192.168.101.0/24 out via vr0
65535 814 71073 allow ip from any to any
rc.conf:
gateway_enable="YES"
hostname="inet"
defaultrouter="176.XXX.XXX.XXX"
ifconfig_vr0="inet 192.168.101.174 netmask 0xffffff00"
ifconfig_fxp0="inet 176.XXX.XXX.XXX netmask 255.255.255.192"
sshd_enable="YES"
ntpd_enable="YES"
sendmail_enable="NO"
squid_enable="YES"
bruteblockd_enable="YES"
bruteblockd_table="1"
bruteblockd_flags="-s 5"
firewall_enable="YES"
firewall_script="/etc/ipfw.rule"
firewall_type="open"
ядро собрано с опциями:
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_NAT
options         LIBALIAS
Заранее спасибо за помощь!

Ответить | Сообщить модератору

FreeBSD 10.1 и IPFW + NAT, Barbos, 19:43 , 24-Фев-15 (1)
Удалил правило № 600, заработало.
Заменил последнее правило allow ip from any to any на deny и интернет закончился ... Что я не выпускаю?
Надо поработать, как-то кривовато все...
И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в случае пропадания сети.
Переключать планирую изменяя defaul маршрут.
Второй провайдер с PPP авторизацией.
PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не будет ли это приводить к проблемам?
Ответить | Сообщить модератору

FreeBSD 10.1 и IPFW + NAT, reader, 21:27 , 24-Фев-15 (2)

FreeBSD 10.1 и IPFW + NAT, Barbos, 22:05 , 24-Фев-15 (3)
>[оверквотинг удален]
>> интернет закончился ... Что я не выпускаю?
> 80/tcp, dns и сам шлюз
>> Надо поработать, как-то кривовато все...
>> И еще, планируется сюда подключить еще одного провайдера и реализовать переключение в
>> случае пропадания сети.
>> Переключать планирую изменяя defaul маршрут.
>> Второй провайдер с PPP авторизацией.
>> PPP поднимает свой НАТ, но поскольку есть еще и kernel nat, не
>> будет ли это приводить к проблемам?
> интерфей же другой будет
Спасибо за ответ! Теперь все работает!
P.S. Подумаешь, забыл шлюз выпустить в инет, делов то ... ;)
Ответить | Сообщить модератору