forum.opennet.ru - "NAT PF " (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NAT PF "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NAT PF "
Сообщение от Floy (ok) on 07-Июн-07, 11:20
if="vr0" table <nats> persist file "/root/nat" nat on $if from <nats> to any -> ($if) Вот такие простые правила в файле nat содержиться список ипов внутреней сети кому можно ходить в инет. Хотелось бы одному из ипов ограничить только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в случае остановки спутникого трафа с той машины не пошел траф по наземному каналу. Может кто нить помочь? Спасибо.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

NAT PF , Floy, 14:05 , 07-Июн-07, (1)
NAT PF , idle, 18:29 , 07-Июн-07, (2)

NAT PF , Floy, 19:25 , 07-Июн-07, (3)

NAT PF , niksonnnn, 10:42 , 08-Июн-07, (4)

NAT PF , Floy, 11:02 , 08-Июн-07, (5)

NAT PF , Floy, 11:12 , 08-Июн-07, (6)

NAT PF , niksonnnn, 17:12 , 08-Июн-07, (8)
NAT PF , niksonnnn, 17:13 , 08-Июн-07, (9)

NAT PF , niksonnnn, 11:20 , 08-Июн-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "NAT PF "

Сообщение от Floy (??) on 07-Июн-07, 14:05

>if="vr0"
>table <nats> persist file "/root/nat"
>nat on $if from <nats> to any -> ($if)
>
>Вот такие простые правила в файле nat содержиться список ипов внутреней сети
>кому можно ходить в инет. Хотелось бы одному из ипов ограничить
>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в
>случае остановки спутникого трафа с той машины не пошел траф по
>наземному каналу. Может кто нить помочь?
>Спасибо.

nat on $if from <ип машины где стоит спутник> to <ипы  спутникового прова> -> ($if)
к сожалению не работают ... есть у кого нить еще мысли ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NAT PF "

Сообщение от idle (ok) on 07-Июн-07, 18:29

>if="vr0"
>table <nats> persist file "/root/nat"
>nat on $if from <nats> to any -> ($if)
>
>Вот такие простые правила в файле nat содержиться список ипов внутреней сети
>кому можно ходить в инет. Хотелось бы одному из ипов ограничить
>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в
>случае остановки спутникого трафа с той машины не пошел траф по
>наземному каналу. Может кто нить помочь?
>Спасибо.
Добавьте после транслирующих правил, нужные фильтрующие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "NAT PF "

Сообщение от Floy (ok) on 07-Июн-07, 19:25

>>if="vr0"
>>table <nats> persist file "/root/nat"
>>nat on $if from <nats> to any -> ($if)
>>
>>Вот такие простые правила в файле nat содержиться список ипов внутреней сети
>>кому можно ходить в инет. Хотелось бы одному из ипов ограничить
>>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в
>>случае остановки спутникого трафа с той машины не пошел траф по
>>наземному каналу. Может кто нить помочь?
>>Спасибо.
>Добавьте после транслирующих правил, нужные фильтрующие.

table <nats> persist file "/root/nat"
block in on $if from 192.168.1.221 to any
pass in on $if  from 192.168.1.221 to 81.169.0.0/24
в таблице нат присутствует ИП 192.168.1.221.
Вся эта конструкция не решает проблемы !
есть еще у кого нить идеи ?
Для интереса смотрю tcpdump'ом смотрю интерфейс
[root@ ~]# tcpdump -i vr0 | grep 81.169
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes
19:19:41.202511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:41.215208 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
19:19:41.369461 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:41.385470 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
19:19:41.500725 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:41.515708 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
19:19:41.737431 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:41.742999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:41.755997 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
19:19:42.037897 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:42.043525 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:42.056426 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
19:19:42.078007 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:42.083511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:42.096487 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
19:19:42.278396 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:42.284046 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:42.296852 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
19:19:42.598870 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:42.604557 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:42.617255 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
19:19:42.638916 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:42.644293 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
19:19:42.657315 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
19:19:42.768568 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:43.132913 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
19:19:43.229999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
И так далее ... никаких более пакетов. Хотел бы отметить что дамп делался без правил описанных выше. Просто нат PF - table <nats> persist file "/root/nat".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NAT PF "

Сообщение от niksonnnn (??) on 08-Июн-07, 10:42

>>>if="vr0"
>>>table <nats> persist file "/root/nat"
>>>nat on $if from <nats> to any -> ($if)
>>>
>>>Вот такие простые правила в файле nat содержиться список ипов внутреней сети
>>>кому можно ходить в инет. Хотелось бы одному из ипов ограничить
>>>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в
>>>случае остановки спутникого трафа с той машины не пошел траф по
>>>наземному каналу. Может кто нить помочь?
>>>Спасибо.
>>Добавьте после транслирующих правил, нужные фильтрующие.
>
>
>table <nats> persist file "/root/nat"
>block in on $if from 192.168.1.221 to any
>pass in on $if  from 192.168.1.221 to 81.169.0.0/24
>
>в таблице нат присутствует ИП 192.168.1.221.
>Вся эта конструкция не решает проблемы !
>есть еще у кого нить идеи ?
>Для интереса смотрю tcpdump'ом смотрю интерфейс
>
>[root@ ~]# tcpdump -i vr0 | grep 81.169
>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>
>listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes
>19:19:41.202511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:41.215208 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
>19:19:41.369461 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:41.385470 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
>19:19:41.500725 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:41.515708 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
>19:19:41.737431 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:41.742999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:41.755997 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
>19:19:42.037897 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:42.043525 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:42.056426 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
>19:19:42.078007 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:42.083511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:42.096487 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
>19:19:42.278396 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:42.284046 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:42.296852 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381
>19:19:42.598870 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:42.604557 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:42.617255 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378
>19:19:42.638916 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:42.644293 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28
>19:19:42.657315 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380
>19:19:42.768568 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:43.132913 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>19:19:43.229999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20
>И так далее ... никаких более пакетов. Хотел бы отметить что дамп делался без правил описанных выше. Просто нат PF - table <nats> persist file "/root/nat".
а если так? :
nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
no nat on <нужный фейс> from <таблица ИПов> to any
первое правило разрешает ходить списку только туда куда нуна и через нужный канал.
второе запрещает списку что либо другое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "NAT PF "

Сообщение от Floy (??) on 08-Июн-07, 11:02

>а если так? :
>
>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
>no nat on <нужный фейс> from <таблица ИПов> to any
>
>первое правило разрешает ходить списку только туда куда нуна и через нужный
>канал.
>второе запрещает списку что либо другое.
Мистическое событие.
Пишу таки правила ... для другой машины в качестве проверки.
nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if)
194.87.0.50 - www.ru
На клиентской машине собсна пинг www.ru - удача.
Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником:
nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if)
nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого)
Итог - не подключаться инет спутниковый ..  А пинги ходят и странички в этом диапазоне открываться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "NAT PF "

Сообщение от Floy (??) on 08-Июн-07, 11:12

>>а если так? :
>>
>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
>>no nat on <нужный фейс> from <таблица ИПов> to any
>>
>>первое правило разрешает ходить списку только туда куда нуна и через нужный
>>канал.
>>второе запрещает списку что либо другое.
>Мистическое событие.
>Пишу таки правила ... для другой машины в качестве проверки.
>
>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if)
>
>194.87.0.50 - www.ru
>
>На клиентской машине собсна пинг www.ru - удача.
>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником:
>
>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if)
>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого)
>Итог - не подключаться инет спутниковый ..  А пинги ходят и
>странички в этом диапазоне открываться.
Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В чем проблема ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "NAT PF "

Сообщение от niksonnnn (??) on 08-Июн-07, 17:12

>>>а если так? :
>>>
>>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
>>>no nat on <нужный фейс> from <таблица ИПов> to any
>>>
>>>первое правило разрешает ходить списку только туда куда нуна и через нужный
>>>канал.
>>>второе запрещает списку что либо другое.
>>Мистическое событие.
>>Пишу таки правила ... для другой машины в качестве проверки.
>>
>>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if)
>>
>>194.87.0.50 - www.ru
>>
>>На клиентской машине собсна пинг www.ru - удача.
>>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником:
>>
>>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if)
>>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого)
>>Итог - не подключаться инет спутниковый ..  А пинги ходят и
>>странички в этом диапазоне открываться.
>Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно
>teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В
>чем проблема ?
Учите, курите, зубрите  (до рвоты. до ругани с женами.... (c)hate ). ... с CIDR знакомы? я удивляюсь что до сих пор у вас всё работает....
вот сюда зайдите чтоль...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "NAT PF "

Сообщение от niksonnnn (??) on 08-Июн-07, 17:13

>>>а если так? :
>>>
>>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
>>>no nat on <нужный фейс> from <таблица ИПов> to any
>>>
>>>первое правило разрешает ходить списку только туда куда нуна и через нужный
>>>канал.
>>>второе запрещает списку что либо другое.
>>Мистическое событие.
>>Пишу таки правила ... для другой машины в качестве проверки.
>>
>>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if)
>>
>>194.87.0.50 - www.ru
>>
>>На клиентской машине собсна пинг www.ru - удача.
>>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником:
>>
>>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if)
>>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого)
>>Итог - не подключаться инет спутниковый ..  А пинги ходят и
>>странички в этом диапазоне открываться.
>Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно
>teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В
>чем проблема ?
http://www.nestor.minsk.by/sr/2003/10/31004.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "NAT PF "

Сообщение от niksonnnn (??) on 08-Июн-07, 11:20

>>а если так? :
>>
>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал>
>>no nat on <нужный фейс> from <таблица ИПов> to any
>>
>>первое правило разрешает ходить списку только туда куда нуна и через нужный
>>канал.
>>второе запрещает списку что либо другое.
>Мистическое событие.
>Пишу таки правила ... для другой машины в качестве проверки.
>
>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if)
>
>194.87.0.50 - www.ru
>
>На клиентской машине собсна пинг www.ru - удача.
>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником:
>
>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if)
>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого)
>Итог - не подключаться инет спутниковый ..  А пинги ходят и
>странички в этом диапазоне открываться.
немного непонятно... что не подключается? какой дднс?....
пишите более развернуто с указанием действий и желательно приблизительную цель которую преследуете...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT PF "
Сообщение от Floy (??) on 07-Июн-07, 14:05
>if="vr0" >table <nats> persist file "/root/nat" >nat on $if from <nats> to any -> ($if) > >Вот такие простые правила в файле nat содержиться список ипов внутреней сети >кому можно ходить в инет. Хотелось бы одному из ипов ограничить >только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в >случае остановки спутникого трафа с той машины не пошел траф по >наземному каналу. Может кто нить помочь? >Спасибо. nat on $if from <ип машины где стоит спутник> to <ипы спутникового прова> -> ($if) к сожалению не работают ... есть у кого нить еще мысли ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "NAT PF "
Сообщение от idle (ok) on 07-Июн-07, 18:29
>if="vr0" >table <nats> persist file "/root/nat" >nat on $if from <nats> to any -> ($if) > >Вот такие простые правила в файле nat содержиться список ипов внутреней сети >кому можно ходить в инет. Хотелось бы одному из ипов ограничить >только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в >случае остановки спутникого трафа с той машины не пошел траф по >наземному каналу. Может кто нить помочь? >Спасибо. Добавьте после транслирующих правил, нужные фильтрующие.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "NAT PF "
	Сообщение от Floy (ok) on 07-Июн-07, 19:25
	>>if="vr0" >>table <nats> persist file "/root/nat" >>nat on $if from <nats> to any -> ($if) >> >>Вот такие простые правила в файле nat содержиться список ипов внутреней сети >>кому можно ходить в инет. Хотелось бы одному из ипов ограничить >>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в >>случае остановки спутникого трафа с той машины не пошел траф по >>наземному каналу. Может кто нить помочь? >>Спасибо. >Добавьте после транслирующих правил, нужные фильтрующие. table <nats> persist file "/root/nat" block in on $if from 192.168.1.221 to any pass in on $if from 192.168.1.221 to 81.169.0.0/24 в таблице нат присутствует ИП 192.168.1.221. Вся эта конструкция не решает проблемы ! есть еще у кого нить идеи ? Для интереса смотрю tcpdump'ом смотрю интерфейс [root@ ~]# tcpdump -i vr0 \| grep 81.169 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes 19:19:41.202511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:41.215208 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 19:19:41.369461 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:41.385470 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 19:19:41.500725 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:41.515708 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 19:19:41.737431 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:41.742999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:41.755997 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 19:19:42.037897 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:42.043525 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:42.056426 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 19:19:42.078007 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:42.083511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:42.096487 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 19:19:42.278396 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:42.284046 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:42.296852 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 19:19:42.598870 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:42.604557 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:42.617255 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 19:19:42.638916 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:42.644293 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 19:19:42.657315 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 19:19:42.768568 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:43.132913 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 19:19:43.229999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 И так далее ... никаких более пакетов. Хотел бы отметить что дамп делался без правил описанных выше. Просто нат PF - table <nats> persist file "/root/nat".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "NAT PF "
	Сообщение от niksonnnn (??) on 08-Июн-07, 10:42
	>>>if="vr0" >>>table <nats> persist file "/root/nat" >>>nat on $if from <nats> to any -> ($if) >>> >>>Вот такие простые правила в файле nat содержиться список ипов внутреней сети >>>кому можно ходить в инет. Хотелось бы одному из ипов ограничить >>>только скажем на подсеть спутникового прова 81.169.0.0 для того чтобы в >>>случае остановки спутникого трафа с той машины не пошел траф по >>>наземному каналу. Может кто нить помочь? >>>Спасибо. >>Добавьте после транслирующих правил, нужные фильтрующие. > > >table <nats> persist file "/root/nat" >block in on $if from 192.168.1.221 to any >pass in on $if from 192.168.1.221 to 81.169.0.0/24 > >в таблице нат присутствует ИП 192.168.1.221. >Вся эта конструкция не решает проблемы ! >есть еще у кого нить идеи ? >Для интереса смотрю tcpdump'ом смотрю интерфейс > >[root@ ~]# tcpdump -i vr0 \| grep 81.169 >tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > >listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes >19:19:41.202511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:41.215208 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 >19:19:41.369461 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:41.385470 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 >19:19:41.500725 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:41.515708 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 >19:19:41.737431 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:41.742999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:41.755997 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 >19:19:42.037897 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:42.043525 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:42.056426 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 >19:19:42.078007 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:42.083511 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:42.096487 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 >19:19:42.278396 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:42.284046 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:42.296852 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 381 >19:19:42.598870 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:42.604557 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:42.617255 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 378 >19:19:42.638916 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:42.644293 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 28 >19:19:42.657315 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 380 >19:19:42.768568 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:43.132913 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >19:19:43.229999 IP some.ru.54569 > 81.169.147.48.8870: UDP, length 20 >И так далее ... никаких более пакетов. Хотел бы отметить что дамп делался без правил описанных выше. Просто нат PF - table <nats> persist file "/root/nat". а если так? : nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> no nat on <нужный фейс> from <таблица ИПов> to any первое правило разрешает ходить списку только туда куда нуна и через нужный канал. второе запрещает списку что либо другое.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "NAT PF "
	Сообщение от Floy (??) on 08-Июн-07, 11:02
	>а если так? : > >nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> >no nat on <нужный фейс> from <таблица ИПов> to any > >первое правило разрешает ходить списку только туда куда нуна и через нужный >канал. >второе запрещает списку что либо другое. Мистическое событие. Пишу таки правила ... для другой машины в качестве проверки. nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if) 194.87.0.50 - www.ru На клиентской машине собсна пинг www.ru - удача. Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником: nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if) nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого) Итог - не подключаться инет спутниковый .. А пинги ходят и странички в этом диапазоне открываться.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "NAT PF "
	Сообщение от Floy (??) on 08-Июн-07, 11:12
	>>а если так? : >> >>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> >>no nat on <нужный фейс> from <таблица ИПов> to any >> >>первое правило разрешает ходить списку только туда куда нуна и через нужный >>канал. >>второе запрещает списку что либо другое. >Мистическое событие. >Пишу таки правила ... для другой машины в качестве проверки. > >nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if) > >194.87.0.50 - www.ru > >На клиентской машине собсна пинг www.ru - удача. >Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником: > >nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if) >nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого) >Итог - не подключаться инет спутниковый .. А пинги ходят и >странички в этом диапазоне открываться. Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В чем проблема ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "NAT PF "
	Сообщение от niksonnnn (??) on 08-Июн-07, 17:12
	>>>а если так? : >>> >>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> >>>no nat on <нужный фейс> from <таблица ИПов> to any >>> >>>первое правило разрешает ходить списку только туда куда нуна и через нужный >>>канал. >>>второе запрещает списку что либо другое. >>Мистическое событие. >>Пишу таки правила ... для другой машины в качестве проверки. >> >>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if) >> >>194.87.0.50 - www.ru >> >>На клиентской машине собсна пинг www.ru - удача. >>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником: >> >>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if) >>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого) >>Итог - не подключаться инет спутниковый .. А пинги ходят и >>странички в этом диапазоне открываться. >Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно >teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В >чем проблема ? Учите, курите, зубрите (до рвоты. до ругани с женами.... (c)hate ). ... с CIDR знакомы? я удивляюсь что до сих пор у вас всё работает.... вот сюда зайдите чтоль...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "NAT PF "
	Сообщение от niksonnnn (??) on 08-Июн-07, 17:13
	>>>а если так? : >>> >>>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> >>>no nat on <нужный фейс> from <таблица ИПов> to any >>> >>>первое правило разрешает ходить списку только туда куда нуна и через нужный >>>канал. >>>второе запрещает списку что либо другое. >>Мистическое событие. >>Пишу таки правила ... для другой машины в качестве проверки. >> >>nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if) >> >>194.87.0.50 - www.ru >> >>На клиентской машине собсна пинг www.ru - удача. >>Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником: >> >>nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if) >>nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого) >>Итог - не подключаться инет спутниковый .. А пинги ходят и >>странички в этом диапазоне открываться. >Вот здесь ошибочка. Сайт скажем который находиться в диапазоне 81.169.0.0/24 а именно >teles-skydsl.de (IP - 81.169.147.18) - не открываеться на клиентской машине. В >чем проблема ? http://www.nestor.minsk.by/sr/2003/10/31004.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "NAT PF "
	Сообщение от niksonnnn (??) on 08-Июн-07, 11:20
	>>а если так? : >> >>nat on <нужный фейс> from <таблица ИПов> to <нужный дэстинэйшн> -> <нужный канал> >>no nat on <нужный фейс> from <таблица ИПов> to any >> >>первое правило разрешает ходить списку только туда куда нуна и через нужный >>канал. >>второе запрещает списку что либо другое. >Мистическое событие. >Пишу таки правила ... для другой машины в качестве проверки. > >nat on $if from 192.168.1.60 to 194.87.0.50 -> ($if) > >194.87.0.50 - www.ru > >На клиентской машине собсна пинг www.ru - удача. >Другие странички пинга нет. Вроде эксперимент удался. Далее для машину со спутником: > >nat on $if from 192.168.1.221 to 81.169.0.0/24 -> ($if) >nat on $if from 192.168.1.221 to IP -> ($if) (днс прова ... на всякий случай .. хотя работает и без этого) >Итог - не подключаться инет спутниковый .. А пинги ходят и >странички в этом диапазоне открываться. немного непонятно... что не подключается? какой дднс?.... пишите более развернуто с указанием действий и желательно приблизительную цель которую преследуете...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]