forum.opennet.ru - "ipfw & natd" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw & natd"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw & natd"
Сообщение от beerking (ok) on 06-Май-04, 10:43 (MSK)
Всем доброго времени суток. Имеем следующее: 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0 00302 divert 666 ip from 192.168.0.3 to any via xl0 00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0 00500 divert 8888 ip from 192.168.0.4 to any via xl0 00600 allow tcp from 192.168.0.4 to any 00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 00900 allow ip from any to any 65535 deny ip from any to any natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 Все работает нормально, но есть маленькая проблема. С 192.168.0.4 и 192.168.0.3 ничего не пингуется. В фри я не знаток, так что не серчайте, подскажите что и как плиз.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw & natd, jr, 10:59 , 06-Май-04, (1)
- ipfw & natd, beerking, 11:42 , 06-Май-04, (2)
  - ipfw & natd, beerking, 13:05 , 06-Май-04, (3)
ipfw & natd, EvilX, 13:11 , 06-Май-04, (4)
- ipfw & natd, beerking, 13:28 , 06-Май-04, (5)
  - ipfw & natd, beerking, 14:07 , 06-Май-04, (6)
    - ipfw & natd, EvilX, 15:09 , 06-Май-04, (7)
      - ipfw & natd, beerking, 16:23 , 06-Май-04, (8)
ipfw & natd, beerking, 16:51 , 06-Май-04, (9)
- ipfw & natd, temny, 18:37 , 06-Май-04, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw & natd"

Сообщение от jr (ok) on 06-Май-04, 10:59  (MSK)

>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
вот тут divert на порт 8668
>
>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80
>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080
а вот тут нет демона natd, кототый бы слушал порт 8668

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 11:42  (MSK)

>>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
>>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
>
>вот тут divert на порт 8668
>
>>
>>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80
>>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080
>
>а вот тут нет демона natd, кототый бы слушал порт 8668
Проблема в том что с любой машины, кроме 192.168.0.3 и 192.168.0.4, пинг идет на ура.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 13:05  (MSK)

>>>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
>>>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
>>
>>вот тут divert на порт 8668
>>
>>>
>>>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80
>>>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080
>>
>>а вот тут нет демона natd, кототый бы слушал порт 8668
>
>Проблема в том что с любой машины, кроме 192.168.0.3 и 192.168.0.4, пинг
>идет на ура.

Помогите плиз, никак не могу разобраться. Очень нужно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw & natd"

Сообщение от EvilX (ok) on 06-Май-04, 13:11  (MSK)

Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый, то уменьши ttl и mru

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 13:28  (MSK)

>Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый,
>то уменьши ttl и mru
Не помогает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 14:07  (MSK)

>>Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый,
>>то уменьши ttl и mru
>
>Не помогает.
Машина на которой стоит фря пингуется без проблем с этих двух машин, а вот не один внешний адресс не пингуется.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw & natd"

Сообщение от EvilX (ok) on 06-Май-04, 15:09  (MSK)

Поиграйся параметрами роутера.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 16:23  (MSK)

>Поиграйся параметрами роутера.

С какими параметрами то играться?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw & natd"

Сообщение от beerking (ok) on 06-Май-04, 16:51  (MSK)

>Всем доброго времени суток.
>Имеем следующее:
>
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0
>
>00302 divert 666 ip from 192.168.0.3 to any via xl0
>00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0
>00500 divert 8888 ip from 192.168.0.4 to any via xl0
>00600 allow tcp from 192.168.0.4 to any
>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
>
>00900 allow ip from any to any
>65535 deny ip from any to any
>
>
>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80
>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080
>
>Все работает нормально, но есть маленькая проблема.
>С 192.168.0.4 и 192.168.0.3 ничего не пингуется.
>В фри я не знаток, так что не серчайте, подскажите что и
>как плиз.

Вообщем вылечилось добавлением двух правил divert xxx icmp from any to 195.XXX.XXX.XXX via xl0
Между 301 и 302, 400 и 500
Насколько это правильно, вот в чем теперь вопрос.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ipfw & natd"

Сообщение от temny (ok) on 06-Май-04, 18:37  (MSK)

>>00100 allow ip from any to any via lo0
>>00200 deny ip from any to 127.0.0.0/8
>>00300 deny ip from 127.0.0.0/8 to any
>>00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0
>>00302 divert 666 ip from 192.168.0.3 to any via xl0
>>00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0
>>00500 divert 8888 ip from 192.168.0.4 to any via xl0
>>00600 allow tcp from 192.168.0.4 to any
>>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
>>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
>>00900 allow ip from any to any
>>65535 deny ip from any to any
>>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80
>>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080
>Вообщем вылечилось добавлением двух правил divert xxx icmp from any to 195.XXX.XXX.XXX
>via xl0
>Между 301 и 302, 400 и 500
>
>Насколько это правильно, вот в чем теперь вопрос.
Насколько я понимаю, то проблема в том, что диверты в прямом и обратном шествии пинга идут на разных демонов nat.
Вот примерная картина движения пинга с 192.168.0.3:
1. Попались на правило 302, т.к. ip включает в себя icmp пакеты
2. Об ушедшем пакете "помнит" нат, висящий на 666м порту
3. icmp пакет доходит до своей цели, и, цель посылает в ответ echo пакет (icmp)
4. Этот пакет НЕ попадает (!) на 301-е правило (т.к. tcp не включает в себя icmp), а доходит до правила 800 и дивертится на нат, висящий на 8668м порту. Этот нат слухом не слыхивал про пакет, понятия не имеет, кому его возвращать, и, соответственно, дропает его.
Я не очень понял, что именно ты пытаешься сделать натами, но если вопрос лишь в пробросе одного порта во внутреннюю сеть, то, думаю, правила должны быть где-то такие:
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0
00302 divert 666 tcp from 192.168.0.3 80 to any via xl0
?? Сорри, но здесь я вообще не въехал что задумывалось
?? 00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0
?? 00500 divert 8888 ip from 192.168.0.4 to any via xl0
?? Возможно так:
00400 divert 8888 tcp from any to 195.XXX.XXX.XXX dst-port 80 via xl0
00500 divert 8888 tcp from 192.168.0.4 8888 to any via xl0
##00600 allow tcp from 192.168.0.4 to any
00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0
00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0
00900 allow ip from any to any
65535 deny ip from any to any
Вот, кажется, так. В этом случае через первые два диверта ходят только пакеты от/для пробрасываемых из/в локалку портов. Через 3й диверт идут пакеты из всей локалки, в том числе и трафик непробрасываемых портов от 192.168.0.3(4)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw & natd"
Сообщение от jr (ok) on 06-Май-04, 10:59 (MSK)
>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 >00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 вот тут divert на порт 8668 > >natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 >natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 а вот тут нет демона natd, кототый бы слушал порт 8668
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw & natd"
	Сообщение от beerking (ok) on 06-Май-04, 11:42 (MSK)
	>>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 >>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 > >вот тут divert на порт 8668 > >> >>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 >>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 > >а вот тут нет демона natd, кототый бы слушал порт 8668 Проблема в том что с любой машины, кроме 192.168.0.3 и 192.168.0.4, пинг идет на ура.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw & natd"
	Сообщение от beerking (ok) on 06-Май-04, 13:05 (MSK)
	>>>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 >>>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 >> >>вот тут divert на порт 8668 >> >>> >>>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 >>>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 >> >>а вот тут нет демона natd, кототый бы слушал порт 8668 > >Проблема в том что с любой машины, кроме 192.168.0.3 и 192.168.0.4, пинг >идет на ура. Помогите плиз, никак не могу разобраться. Очень нужно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "ipfw & natd"
Сообщение от EvilX (ok) on 06-Май-04, 13:11 (MSK)
Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый, то уменьши ttl и mru
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw & natd"
	Сообщение от beerking (ok) on 06-Май-04, 13:28 (MSK)
	>Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый, >то уменьши ttl и mru Не помогает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw & natd"
	Сообщение от beerking (ok) on 06-Май-04, 14:07 (MSK)
	>>Какие сетевухи на этих машинах? Не риалтек случаем? ;) Если он родимый, >>то уменьши ttl и mru > >Не помогает. Машина на которой стоит фря пингуется без проблем с этих двух машин, а вот не один внешний адресс не пингуется.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw & natd"
	Сообщение от EvilX (ok) on 06-Май-04, 15:09 (MSK)
	Поиграйся параметрами роутера.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw & natd"
	Сообщение от beerking (ok) on 06-Май-04, 16:23 (MSK)
	>Поиграйся параметрами роутера. С какими параметрами то играться?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

9. "ipfw & natd"
Сообщение от beerking (ok) on 06-Май-04, 16:51 (MSK)
>Всем доброго времени суток. >Имеем следующее: > >00100 allow ip from any to any via lo0 >00200 deny ip from any to 127.0.0.0/8 >00300 deny ip from 127.0.0.0/8 to any >00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0 > >00302 divert 666 ip from 192.168.0.3 to any via xl0 >00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0 >00500 divert 8888 ip from 192.168.0.4 to any via xl0 >00600 allow tcp from 192.168.0.4 to any >00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 >00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 > >00900 allow ip from any to any >65535 deny ip from any to any > > >natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 >natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 > >Все работает нормально, но есть маленькая проблема. >С 192.168.0.4 и 192.168.0.3 ничего не пингуется. >В фри я не знаток, так что не серчайте, подскажите что и >как плиз. Вообщем вылечилось добавлением двух правил divert xxx icmp from any to 195.XXX.XXX.XXX via xl0 Между 301 и 302, 400 и 500 Насколько это правильно, вот в чем теперь вопрос.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "ipfw & natd"
	Сообщение от temny (ok) on 06-Май-04, 18:37 (MSK)
	>>00100 allow ip from any to any via lo0 >>00200 deny ip from any to 127.0.0.0/8 >>00300 deny ip from 127.0.0.0/8 to any >>00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0 >>00302 divert 666 ip from 192.168.0.3 to any via xl0 >>00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0 >>00500 divert 8888 ip from 192.168.0.4 to any via xl0 >>00600 allow tcp from 192.168.0.4 to any >>00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 >>00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 >>00900 allow ip from any to any >>65535 deny ip from any to any >>natd -p 8888 -n xl0 -redirect_port tcp 192.168.0.4:8888 80 >>natd -p 666 -n xl0 -redirect_port tcp 192.168.0.3:80 8080 >Вообщем вылечилось добавлением двух правил divert xxx icmp from any to 195.XXX.XXX.XXX >via xl0 >Между 301 и 302, 400 и 500 > >Насколько это правильно, вот в чем теперь вопрос. Насколько я понимаю, то проблема в том, что диверты в прямом и обратном шествии пинга идут на разных демонов nat. Вот примерная картина движения пинга с 192.168.0.3: 1. Попались на правило 302, т.к. ip включает в себя icmp пакеты 2. Об ушедшем пакете "помнит" нат, висящий на 666м порту 3. icmp пакет доходит до своей цели, и, цель посылает в ответ echo пакет (icmp) 4. Этот пакет НЕ попадает (!) на 301-е правило (т.к. tcp не включает в себя icmp), а доходит до правила 800 и дивертится на нат, висящий на 8668м порту. Этот нат слухом не слыхивал про пакет, понятия не имеет, кому его возвращать, и, соответственно, дропает его. Я не очень понял, что именно ты пытаешься сделать натами, но если вопрос лишь в пробросе одного порта во внутреннюю сеть, то, думаю, правила должны быть где-то такие: 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00301 divert 666 tcp from any to 195.XXX.XXX.XXX dst-port 8080 via xl0 00302 divert 666 tcp from 192.168.0.3 80 to any via xl0 ?? Сорри, но здесь я вообще не въехал что задумывалось ?? 00400 divert 8888 tcp from any to 195.XXX.XXX.XXX via xl0 ?? 00500 divert 8888 ip from 192.168.0.4 to any via xl0 ?? Возможно так: 00400 divert 8888 tcp from any to 195.XXX.XXX.XXX dst-port 80 via xl0 00500 divert 8888 tcp from 192.168.0.4 8888 to any via xl0 ##00600 allow tcp from 192.168.0.4 to any 00700 divert 8668 ip from 192.168.0.0/24 to any out xmit xl0 00800 divert 8668 ip from not 192.168.0.0/24 to 195.XXX.XXX.XXX in recv xl0 00900 allow ip from any to any 65535 deny ip from any to any Вот, кажется, так. В этом случае через первые два диверта ходят только пакеты от/для пробрасываемых из/в локалку портов. Через 3й диверт идут пакеты из всей локалки, в том числе и трафик непробрасываемых портов от 192.168.0.3(4)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх