forum.opennet.ru

Составление сообщения

Исходное сообщение

"divert_packet: no divert tag"
Отправлено mg, 11-Ноя-06 01:53

>>>По двум остальным командам не вывело ничего ....
>>>Началось все после того как я изменил правила ipfw ...
>>
>>Есть один PR: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/86427
>>Там проблема другая, но на сколько я вижу, общее у вас одно
>>- divert + vlan..
>>rwason@ предложил там патч, если есть желание - можете попробовать, вдруг поможет..
>>
>Есть идея, что проблема в конструкции
>$cmd divert natd all from me to any via $oif
>$cmd divert natd all from Х.Х.Х.Х/28 to any via $oif
>$cmd divert natd all from any to any in via $oif
>Что пакет проходит от дайверта к дайверту но уже с no divert
>tag.
>Такое может быть ?
>Если да, расскажите как грамотнее частично натить сеть (не все облако, а
>определенный диапазон)
Эх отправить бы тебя читать маны как ты любишь делать, но в отличае от тебя я тебе всё же подскажу одну вещ..
1. Проверь в /etc/rc.conf на наличае строчек на всякий случай (ведь у тебя один интерфейс для ната, а бережённого Бог бережёт)
natd_enable="YES"
natd_interface="vlan0"
2. У тебя явный бордак с правилами, я бы сделал так
$cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif
$cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif
$cmd add divert natd all from any to me via $oif
Где Х1.Х1.Х1.Х1/24 некая другая сеть или какой-то один адрес, котрую тоже нужно натить.
3. Я тут уже писал об этом но опять же никто не обратил внимание. ipfw работает по принцыпу сработало хоть одно правило на пакете - дальше никакие правила не рассматриваются, пакет кидается прямо на таблицу маршрутизации по которой уже определяется что с ним делать дальше!
А это означает что тебе нужно все запрещающие правила ставить перед правилами ната, а все разрешающие после правил ната например так:
$cmd add deny log ip from 192.168.0.0/16 to any in via $oif
$cmd add deny log ip from 176.16.0.0/12 to any in via $oif
$cmd add deny log ip from 10.0.0.0/8 to any in via $oif
$cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif
$cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif
$cmd add divert natd all from any to me via $oif
$cmd add allow any from any
А вообще ты можешь например задать посеть для ната а потом правилами выше правил ната выбить из неё определённые адреса или даже групу адресов, просто запретив им соединяться на внутренний интерфейс.

Исходное сообщение
"divert_packet: no divert tag" Отправлено mg, 11-Ноя-06 01:53
>>>По двум остальным командам не вывело ничего .... >>>Началось все после того как я изменил правила ipfw ... >> >>Есть один PR: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/86427 >>Там проблема другая, но на сколько я вижу, общее у вас одно >>- divert + vlan.. >>rwason@ предложил там патч, если есть желание - можете попробовать, вдруг поможет.. >> >Есть идея, что проблема в конструкции >$cmd divert natd all from me to any via $oif >$cmd divert natd all from Х.Х.Х.Х/28 to any via $oif >$cmd divert natd all from any to any in via $oif >Что пакет проходит от дайверта к дайверту но уже с no divert >tag. >Такое может быть ? >Если да, расскажите как грамотнее частично натить сеть (не все облако, а >определенный диапазон) Эх отправить бы тебя читать маны как ты любишь делать, но в отличае от тебя я тебе всё же подскажу одну вещ.. 1. Проверь в /etc/rc.conf на наличае строчек на всякий случай (ведь у тебя один интерфейс для ната, а бережённого Бог бережёт) natd_enable="YES" natd_interface="vlan0" 2. У тебя явный бордак с правилами, я бы сделал так $cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif $cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif $cmd add divert natd all from any to me via $oif Где Х1.Х1.Х1.Х1/24 некая другая сеть или какой-то один адрес, котрую тоже нужно натить. 3. Я тут уже писал об этом но опять же никто не обратил внимание. ipfw работает по принцыпу сработало хоть одно правило на пакете - дальше никакие правила не рассматриваются, пакет кидается прямо на таблицу маршрутизации по которой уже определяется что с ним делать дальше! А это означает что тебе нужно все запрещающие правила ставить перед правилами ната, а все разрешающие после правил ната например так: $cmd add deny log ip from 192.168.0.0/16 to any in via $oif $cmd add deny log ip from 176.16.0.0/12 to any in via $oif $cmd add deny log ip from 10.0.0.0/8 to any in via $oif $cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif $cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif $cmd add divert natd all from any to me via $oif $cmd add allow any from any А вообще ты можешь например задать посеть для ната а потом правилами выше правил ната выбить из неё определённые адреса или даже групу адресов, просто запретив им соединяться на внутренний интерфейс.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру