| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Valera
Зарегистрирован: 26.12.2003
Сообщения: 133
|
 Добавлено: Пт Авг 26 2005 16:44 Заголовок сообщения: Прошу помощи по NATD. |
 |
|
FreeBSD 4.6.2
ядро перекомпилил, поднял nat - работает но как то странно
если в правилах ничего не прописано, то через нат ходи кто куда угодно
как только начинаешь прописывать правила кому разрешено, то у них нат перестает работать, а те кто не попадают в правило, те работают. |
|
| Вернуться к началу |
|
 |
GuestS
Зарегистрирован: 19.02.2005
Сообщения: 60
|
| Добавлено: Пт Авг 26 2005 21:43 Заголовок сообщения: |
|
|
Вам нужно к экстрасенсам обращаться, только они умеют решать такие проблемы  |
|
| Вернуться к началу |
|
|
zero55
Зарегистрирован: 24.08.2005
Сообщения: 74
|
| Добавлено: Сб Авг 27 2005 19:53 Заголовок сообщения: |
|
|
информации ноль.....
судя по всему накосячено в правилах IPFW |
|
| Вернуться к началу |
|
|
Valera
Зарегистрирован: 26.12.2003
Сообщения: 133
|
| Добавлено: Пн Авг 29 2005 03:17 Заголовок сообщения: |
|
|
| zero55 писал(а): | информации ноль.....
судя по всему накосячено в правилах IPFW |
какая нужна информация?
в правилах ipfw как пишут одна строчка
ipfw add 50 divert natd all from any to any via rl0 |
|
| Вернуться к началу |
|
|
sedfom
Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow
|
| Добавлено: Пн Авг 29 2005 05:54 Заголовок сообщения: |
|
|
| Valera писал(а): |
какая нужна информация?
|
Да уж явно не та что Вы привели до сих пор.
Попробуйте привести здесь правила IPFW, которые Вы потом создаете для раздачи интернета, может быть поможет. 
_________________
Каков вопрос, таков ответ. |
|
| Вернуться к началу |
|
|
Valera
Зарегистрирован: 26.12.2003
Сообщения: 133
|
| Добавлено: Пн Авг 29 2005 05:58 Заголовок сообщения: |
|
|
| sedfom писал(а): | | Valera писал(а): |
какая нужна информация?
|
Да уж явно не та что Вы привели до сих пор.
Попробуйте привести здесь правила IPFW, которые Вы потом создаете для раздачи интернета, может быть поможет. |
да нет больше никаких правил.....
я думал что доступ в инет можно регулировать правилами ната
а не правилами ipfw, тогда для чего нужны праваила ната? |
|
| Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
|
| Добавлено: Пн Авг 29 2005 09:20 Заголовок сообщения: |
|
|
| Valera писал(а): | | zero55 писал(а): | информации ноль.....
судя по всему накосячено в правилах IPFW |
какая нужна информация?
в правилах ipfw как пишут одна строчка
ipfw add 50 divert natd all from any to any via rl0 |
А если подойти творчески? Как нибудь так:
| Код: | # 10.10.10.1 пускаем только к некоему почтовику
ipfw add 50 divert natd tcp from 10.10.10.1 to mail.fqdn.ru 25,110 out via rl0
ipfw add 51 allow tcp from 10.10.10.1 to mail.fqdn.ru 25,110
ipfw add 52 deny ip from 10.10.10.1 to any
# 10.10.10.2 пускаем куда угодно
ipfw add 60 divert natd ip from 10.10.10.2 to any out via rl0
ipfw add 61 allow ip from 10.10.10.2 to any
#
ipfw add 100 divert natd ip from any to "внешний IP" in via rl0
ipfw add 101 allow ip from any to 10.0.0.0/8 in via rl0
ipfw add 102 allow ip from "внешний IP" to any out via rl0 |
Ну, не забыть про dns еще.
_________________
Век живи - век учись!.. Дураком помрёшь. |
|
| Вернуться к началу |
|
|
_vMTa_
Зарегистрирован: 22.08.2005
Сообщения: 9
Откуда: kiev
|
| Добавлено: Пн Авг 29 2005 10:43 Заголовок сообщения: |
|
|
вообще-то нат используется не для фильтрования, а для трансляции адресов... дабы локальные *серые* адреса, если иных ваш провайдер не выдал, транслировать в маршрутизируемые в *большом мире*
правила ната (я так понимаю речь идет про natd.conf) позволяют *пробросить* входящий трафик на внутренние адреса! т.е. выполнить не SNAT a DNAT (надеюсь разницу чувствуете?) ну или еще позволяется выполнить трансляцию портов, т.е. входящий SYN-пакет на внешний интерфейс, порт 1723, можно перенаправить на локальный сервер (скажем стоящий в ДМЗ) на тот же (или какой иной) порт, на котором слушает сервис.
# пример
redirect_port tcp 10.1.0.13:1723 1723
ну и соответственно, в ipfw вы просто регулируете кому можно, а кому нельзя обращаться на внешний порт... ну и т.д. можно конечно и отдельных правил для НАТа настроить, но имхо это не всегда оправдано, да и пакеты будут проходить по вашим правилам дольше, и нагрузка соответственно возрастает....
_________________
you have the rest of your lives to fail |
|
| Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар
|
| Добавлено: Пн Авг 29 2005 16:52 Заголовок сообщения: |
|
|
Я тебе советую(после того, как нат заработает конечно) сделать базовую настройку файервола (ipfw), после чего поднять прозрачный прокси, а там рули уже по ip - куда кому и зачем. Никто мимо не пройдет!
_________________
All is not lost! |
|
| Вернуться к началу |
|
|
Valera
Зарегистрирован: 26.12.2003
Сообщения: 133
|
| Добавлено: Вт Авг 30 2005 11:34 Заголовок сообщения: |
|
|
Всем спасибо. Мало-мало разобрался.
Получилось совсем не то, хотелось.
Ну да ладно, работает. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
