alekss12
Зарегистрирован: 23.10.2004 Сообщения: 2
|
Добавлено: Вс Окт 24 2004 12:01 Заголовок сообщения: |
|
|
Вот у человека была подобная проблема:
http://www.opennet.ru/openforum/vsluhforumID1/47816.html
К сожалению сегодня проверить не могу т.к. воскресенье. Но интересно что может быть? Что-то неверится мне, что дело в том что natd не читает конфиг...
Вот цитирую:
///////////////////////////////////
наконец то...
спасибо всем, принявшим посильное участие
работает так:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
natd.sh
# было
/sbin/natd -f /etc/natd.conf -n ed0 -l
# надо
/sbin/natd -f /etc/natd.conf -n ed0 -l -p 8668 -a 62.114.165.35 -redirect_port tcp 192.168.0.11:80 80
# почему-то из natd.conf не все цепляет, а из командной - пожалуйста...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
natd.conf
same_ports yes
use_sockets yes
log yes
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
rc.firewall
ipfw add 100 deny udp from any to any 137,138,139
# вот строка нукудышняя - убираем нафик:
# ipfw add 300 divert natd all from any to any
# вот что пишем вместо нее:
ipfw add 300 divert natd all from 192.168.0.1/24 to not 192.168.0.1/24 out via ed0
ipfw add 301 divert natd all from any to 62.114.165.35 in via ed0
# никаких строк, типа 302 добавлять не надо !!!
# ipfw add 302 divert natd tcp from any to 62.114.165.35 80 out
#-----count section
ipfw add 400 count all from any to 192.168.0.2 in
ipfw add 500 count all from 192.168.0.2 to any in
# правило типа 501 ноже никчему - счетчики нулевые, пакет уже просунут внутрь
# ipfw add 501 count all from any to 192.168.0.11 in
#-----allow dns
ipfw add 800 allow udp from any 53 to any
ipfw add 900 allow udp from any to any 53
#-----allow http for 192.168.0.2
ipfw add 1000 allow tcp from any 80,443 to 192.168.0.2
ipfw add 1100 allow tcp from 192.168.0.2 to any 80,443
# строки типа 1200 - никчему тоже...
ipfw add 1200 allow tcp from 192.168.0.11 to any
#-----allow connect
ipfw add 2000 allow tcp from 62.114.165.35 to any # обязательно должно быть
# или так: перечислить разрешенные порты
# ipfw add 2000 allow tcp from 62.114.165.35 to any 53,80,443
ipfw add 3000 log deny all from any to any # не помешает
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
т.е. вся вообщем заковыка была в natd.sh
почему.. неясно
и еще...
найдено в интернете - все четко и ясно (не то что маны
1. Пакеты проходят правила в прямом порядке, т.е. по номерам, от меньшего к большему
2. При простейшем случае роутинга - две сетевухи, пакет проходит файрвол 3 раза - на входе одной сетевухи (recv in), на ее выходе (recv out), на выходе другой сетевухи (xmit out)
3. Divert, равно как Forward, равно как и Tee может запулить пакет (почти) куда угодно - и согласно ограничениям |
|