Вопрос по ipfw_nat

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
dmp
Advanced member
Сообщения: 80
Зарегистрирован: 07 апр 2006, 13:42
Откуда: Troitsk

Вопрос по ipfw_nat

Сообщение dmp » 20 авг 2008, 12:38

Добрый день!

ОС FreeBSD 7.0, MPD5, ipfw, ipnat
Перевел систему с ipnat на ipfw_nat
Вопрос:
в конфигурационном файле ipfw  запись для ipfw_nat ставить до правил ipfw или после всех правил ipfw.

Спасибо.

ZAlex
Advanced member
Сообщения: 301
Зарегистрирован: 03 ноя 2003, 16:53
Откуда: С-Петербург

Сообщение ZAlex » 20 авг 2008, 22:17

Ты про divert?
По разному. В зависимости от того, чего хочешь добиться.

Неплохой HowTo - http://www.lissyara.su/?id=1356

squirL
Advanced member
Сообщения: 114
Зарегистрирован: 11 апр 2006, 20:16
Откуда: Киев

Сообщение squirL » 21 авг 2008, 13:09

ZAlex писал(а):Ты про divert?
По разному. В зависимости от того, чего хочешь добиться.

Неплохой HowTo - http://www.lissyara.su/?id=1356
я очень рекомендую, все таки, читать не Лиссяру, а официальную документацию. хоть иногда. в ipfw уже, довольно давно, есть kernel NAT.

dmp
вы man прочитайте. там написано, как правила применяются и в каком порядке :) лучше, наверное, ставить в начале.

dmp
Advanced member
Сообщения: 80
Зарегистрирован: 07 апр 2006, 13:42
Откуда: Troitsk

Сообщение dmp » 21 авг 2008, 15:49

Не divert
В настройках rc.firewall (это конфигурационный файл IPFW) добавил следующее

Код: Выделить всё

vpn="192.168.16.0"
       ${fwcmd} nat 123 config ip ${oip} log
       ${fwcmd} add 107 nat 123 log ip from ${vpn}/21 to any
       ${fwcmd} add 109 nat 123 log ip from any to ${oip}
На одном сервере это поставил перед своими правилами, на др. сервере в конце своих правил. И там и там все правила работают. Хотелось бы чтобы работало все оптимально.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 23 авг 2008, 14:50


Infected Switch
Junior member
Сообщения: 16
Зарегистрирован: 06 ноя 2006, 18:25
Откуда: Питер
Контактная информация:

Сообщение Infected Switch » 03 сен 2008, 10:03

Это полезнее будет:
http://www.opennet.ru/base/net/freebsd_gw2.txt.html

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Вопрос по ipfw_nat

Сообщение Stranger03 » 03 сен 2008, 12:40

rc.conf:
# natd start
natd_program="/sbin/natd"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"

natd.conf:
log                     no
dynamic                 yes
same_ports              yes
use_sockets             yes
alias_address           xx.xx.xx.xx

ipfw:
# Nat from 192.168.130.0/24 network
/sbin/ipfw add 0100 divert natd all from 192.168.130.0/24 to any via rl0 out
/sbin/ipfw add 0199 divert natd all from any to xx.xx.xx.xx via rl0 in

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Вопрос по ipfw_nat

Сообщение Stranger03 » 03 сен 2008, 12:41

Правила ставятся в начале, xx.xx.xx.xx - внешний айпи адрес.

squirL
Advanced member
Сообщения: 114
Зарегистрирован: 11 апр 2006, 20:16
Откуда: Киев

Re: Вопрос по ipfw_nat

Сообщение squirL » 04 сен 2008, 00:04

Stranger03 писал(а):rc.conf:
# natd start
natd_program="/sbin/natd"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"

natd.conf:
log                     no
dynamic                 yes
same_ports              yes
use_sockets             yes
alias_address           xx.xx.xx.xx

ipfw:
# Nat from 192.168.130.0/24 network
/sbin/ipfw add 0100 divert natd all from 192.168.130.0/24 to any via rl0 out
/sbin/ipfw add 0199 divert natd all from any to xx.xx.xx.xx via rl0 in
а каким боком тут natd? когда речь о ipfw_nat?

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 15 гостей