The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw nat vlan"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 07-Июл-14, 15:43 
Добрый день! Прошу помощи у мастеров фрибсд.
Есть сервер с установленной freeBSD. На сервере ipfw+nat.
Есть два офиса. Соединены они по влану через провайдера(так как он один и тот же). Провайдер  сказал мне влан айди.
Я создал влан на фрибсд, привязал его к внешнему интерфейсу. Пинги с сервера пошли и доступ есть с сервера в другую подсеть. А вот с компьютеров локальной сети пинги не идут, как и доступ. При чем в удаленном офисе есть несколько камер, они пнигуются и со шлюза и с локальной сети моего офиса. Где у меня косяк? Заранее спасибо. Внизу ipfw.conf и rc.conf. Крестами закрыл свой айпи.

exface="re0"
inface="re1"
vlanface="re0.937"
in_ip="10.10.10.1"

cmd="ipfw -q"

$cmd -f flush
$cmd add 100 allow ip from any to any via lo0
$cmd add 200 deny ip from any to 127.0.0.0/8
$cmd add 300 deny ip from 127.0.0.0/8 to any
#$cmd add 500 allow all from 10.10.10.0/24 to 10.203.168.0/24 via $inface
$cmd add 400 allow all from any to any via $inface
$cmd add 500 allow all from any to any via $vlanface
$cmd nat 1 config log if $exface reset same_ports deny_in \
redirect_port tcp 10.10.10.43:80 80 \

$cmd add 10130 nat 1 ip from any to any via $exface

hostname="srvIPF"
keymap="ru.iso5.kbd"
ifconfig_re1="inet 10.10.10.1 netmask 255.255.255.0"
ifconfig_re0="inet X.X.X.X netmask 255.255.255.224"
defaultrouter="X.X.X.X"
gateway_enable="YES"
sshd_enable="YES"
ntpd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="re0"
firewall_script="/etc/ipfw.conf"

cloned_interfaces="re0.937"
ifconfig_re0_937="inet 10.203.168.100 netmask 255.255.255.0"

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 08-Июл-14, 15:07 
Восстановил старый шлюз на alt linux. нашел правило, с которым работает удаленный офис.

pkts bytes target      prot opt in     out       source               destination
53   2918  MASQUERADE  0    --  *      eth1.937  10.10.10.43          0.0.0.0/0

с этого айпишника удаленный офис виден, как и со шлюза. есть ли аналогичная команда во фрибсд ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw nat vlan"  +/
Сообщение от Andrey Mitrofanov on 08-Июл-14, 16:26 
>нашел правило
> pkts bytes target      prot opt in  
>    out       source
>            
>    destination
> 53   2918  MASQUERADE  0    --
>  *      eth1.937  10.10.10.43  
>         0.0.0.0/0

Это не правило. Правило в выводе iptables-save.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 08-Июл-14, 16:55 
>>нашел правило
>> pkts bytes target      prot opt in
>>    out       source
>>
>>    destination
>> 53   2918  MASQUERADE  0    --
>>  *      eth1.937  10.10.10.43
>>         0.0.0.0/0
> Это не правило. Правило в выводе iptables-save.

опечатался, я имел ввиду вывод iptables. а команда выглядит так -
-A POSTROUTING -s 10.10.10.43 -o eth1.937 -j MASQUERADE

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipfw nat vlan"  +/
Сообщение от Grey (ok) on 09-Июл-14, 18:25 
> Добрый день! Прошу помощи у мастеров фрибсд.
> Есть сервер с установленной freeBSD. На сервере ipfw+nat.
> Есть два офиса. Соединены они по влану через провайдера(так как он один
> и тот же). Провайдер  сказал мне влан айди.
> Я создал влан на фрибсд, привязал его к внешнему интерфейсу. Пинги с
> сервера пошли и доступ есть с сервера в другую подсеть. А
> вот с компьютеров локальной сети пинги не идут, как и доступ.
> При чем в удаленном офисе есть несколько камер, они пнигуются и
> со шлюза и с локальной сети моего офиса. Где у меня
> косяк? Заранее спасибо. Внизу ipfw.conf и rc.conf. Крестами закрыл свой айпи.

какие подсети живут в удалённом офисе?
удалённый офис и ваш надо связать без ната между ними?
где маршруты в удалённые подсети на вашем роутере?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 10-Июл-14, 06:30 
>[оверквотинг удален]
>> и тот же). Провайдер  сказал мне влан айди.
>> Я создал влан на фрибсд, привязал его к внешнему интерфейсу. Пинги с
>> сервера пошли и доступ есть с сервера в другую подсеть. А
>> вот с компьютеров локальной сети пинги не идут, как и доступ.
>> При чем в удаленном офисе есть несколько камер, они пнигуются и
>> со шлюза и с локальной сети моего офиса. Где у меня
>> косяк? Заранее спасибо. Внизу ipfw.conf и rc.conf. Крестами закрыл свой айпи.
> какие подсети живут в удалённом офисе?
> удалённый офис и ваш надо связать без ната между ними?
> где маршруты в удалённые подсети на вашем роутере?

1. 10.203.168.0/24
2. без разницы
3. так это и не получается. если бы были маршруты , то и удаленную сеть было видно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipfw nat vlan"  +/
Сообщение от Grey (ok) on 10-Июл-14, 06:47 
>[оверквотинг удален]
>>> сервера пошли и доступ есть с сервера в другую подсеть. А
>>> вот с компьютеров локальной сети пинги не идут, как и доступ.
>>> При чем в удаленном офисе есть несколько камер, они пнигуются и
>>> со шлюза и с локальной сети моего офиса. Где у меня
>>> косяк? Заранее спасибо. Внизу ipfw.conf и rc.conf. Крестами закрыл свой айпи.
>> какие подсети живут в удалённом офисе?
>> удалённый офис и ваш надо связать без ната между ними?
>> где маршруты в удалённые подсети на вашем роутере?
> 1. 10.203.168.0/24
> 2. без разницы

как это без разницы? вы в курсе вообще как нат работает?

> 3. так это и не получается. если бы были маршруты , то
> и удаленную сеть было видно.

т.е. не получается на вашем роутере маршрут прописать?

P.S. хотя, судя по вашим конфигам и пояснениям...
в общем какой шлюз прописан на хостах удалённой сети? какой шлюз прописан на хостах вашей сети?
НАТ для связи двух офисов не нужен и вреден, маршруты на вашем роутере не нужны, ибо один его интерфейс уже торчит в нужную сеть и знает где она...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 10-Июл-14, 07:27 
>[оверквотинг удален]
> как это без разницы? вы в курсе вообще как нат работает?
>> 3. так это и не получается. если бы были маршруты , то
>> и удаленную сеть было видно.
> т.е. не получается на вашем роутере маршрут прописать?
> P.S. хотя, судя по вашим конфигам и пояснениям...
> в общем какой шлюз прописан на хостах удалённой сети? какой шлюз прописан
> на хостах вашей сети?
> НАТ для связи двух офисов не нужен и вреден, маршруты на вашем
> роутере не нужны, ибо один его интерфейс уже торчит в нужную
> сеть и знает где она...

я и не говорю, что я спец. в unix системах. Просто стоит такая задача. Разбираюсь.
Почему ответил, что без разницы, потому что между двумя локалками, которые соединены вланом я не вижу смысла использовать nat. Если надо, то можно, если нет, то нет. На удаленной сети нет шлюза. Она специфична. Там несколько серверов с видеонаблюдением и камеры. Они напрямую через влан идут в мою сеть и уже должны быть видны, как только я создаю интерфейс для влана. Так оно и должно быть, но выше я писал, что моя сеть видит только несколько камер, остальные не видит, как и не видит и всех серверов. А со шлюза-фрибсд всё прекрасно работает.
Шлюз на фрибсд прописан внешний, провайдера - по дефолту. Иначе доступа в инет не будет. Всё сделано практически, как в линуксе, за исключением того, что в линуксе есть та самая команда, которая позволяет видеть полностью всю удаленную сеть.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ipfw nat vlan"  +/
Сообщение от Дум Дум on 11-Июл-14, 08:34 
> А со шлюза-фрибсд всё прекрасно работает.
> за исключением того, что в линуксе есть та самая команда,

<<-A POSTROUTING -s 10.10.10.43 -o eth1.937 -j MASQUERADE>> <- это ли не nat?
> которая позволяет видеть полностью всю удаленную сеть.

Послушайте Grey-а - разберитесь с маршрутизацией. И unix здесь ни при чём.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ipfw nat vlan"  +/
Сообщение от fortochka100 (ok) on 11-Июл-14, 08:40 
>> А со шлюза-фрибсд всё прекрасно работает.
>> за исключением того, что в линуксе есть та самая команда,
> <<-A POSTROUTING -s 10.10.10.43 -o eth1.937 -j MASQUERADE>> <- это ли не
> nat?
>> которая позволяет видеть полностью всю удаленную сеть.
> Послушайте Grey-а - разберитесь с маршрутизацией. И unix здесь ни при чём.

Один совет лучше другого. Если нечем помочь, зачем писать стандартные фразы? Или вы думаете, что я отписался и забил сам думать? Каждый день зависаю на лисяре, читаю маны...
Если бы знал, как всё исправить . не писал бы здесь. Поэтмоу и скинул свои конфиги. Чтобы посмотрели и помогли найти ошибки.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ipfw nat vlan"  +/
Сообщение от Grey (ok) on 11-Июл-14, 14:12 
>[оверквотинг удален]
>>> за исключением того, что в линуксе есть та самая команда,
>> <<-A POSTROUTING -s 10.10.10.43 -o eth1.937 -j MASQUERADE>> <- это ли не
>> nat?
>>> которая позволяет видеть полностью всю удаленную сеть.
>> Послушайте Grey-а - разберитесь с маршрутизацией. И unix здесь ни при чём.
> Один совет лучше другого. Если нечем помочь, зачем писать стандартные фразы? Или
> вы думаете, что я отписался и забил сам думать? Каждый день
> зависаю на лисяре, читаю маны...
> Если бы знал, как всё исправить . не писал бы здесь. Поэтмоу
> и скинул свои конфиги. Чтобы посмотрели и помогли найти ошибки.

какой шлюз прописан на хостах удалённой сети?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipfw nat vlan"  +/
Сообщение от Дум Дум on 11-Июл-14, 14:46 
>[оверквотинг удален]
>>> за исключением того, что в линуксе есть та самая команда,
>> <<-A POSTROUTING -s 10.10.10.43 -o eth1.937 -j MASQUERADE>> <- это ли не
>> nat?
>>> которая позволяет видеть полностью всю удаленную сеть.
>> Послушайте Grey-а - разберитесь с маршрутизацией. И unix здесь ни при чём.
> Один совет лучше другого. Если нечем помочь, зачем писать стандартные фразы? Или
> вы думаете, что я отписался и забил сам думать? Каждый день
> зависаю на лисяре, читаю маны...
> Если бы знал, как всё исправить . не писал бы здесь. Поэтмоу
> и скинул свои конфиги. Чтобы посмотрели и помогли найти ошибки.

Фигу, ответов один. Скинутые конфиги не дают достаточной информации. Проблемма не в них. Смотреть нужно таблицы маршрутизации на клиентах (netstat -r).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "ipfw nat vlan"  +/
Сообщение от Дум Дум on 11-Июл-14, 14:50 
Причём - удалённых клиентов.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ipfw nat vlan"  +/
Сообщение от tuta on 19-Июл-14, 16:14 
>[оверквотинг удален]
> sshd_enable="YES"
> ntpd_enable="YES"
> # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
> dumpdev="AUTO"
> firewall_enable="YES"
> firewall_nat_enable="YES"
> firewall_nat_interface="re0"
> firewall_script="/etc/ipfw.conf"
> cloned_interfaces="re0.937"
> ifconfig_re0_937="inet 10.203.168.100 netmask 255.255.255.0"

Какое отношение vlan провайдера имеет к вам?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "ipfw nat vlan"  +/
Сообщение от andy03 email(ok) on 20-Июл-14, 09:54 
вот тут очень подробно http://subnets.ru/blog/?p=1605
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру