URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91499
[ Назад ]
Исходное сообщение
"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено 62mkv , 29-Апр-11 16:14 
Понимаю, что не оригинален со своим вопросом, и все же.. Абсолютно элементарная проблема, но почему-то похоже что все имеющиеся в сети примеры решают ее как-то странно.

Есть шлюз на FreeBSD, одна сетевуха - локалка с серыми IP, другая - Инет со статическим IP-адресом.

необходимо обеспечить исходящие сеансы из внутренней сети (хотя бы с 1-го IP-адреса) в глобальный инет.

вроде все мануалы прочитал, и хандбук и маны и примеров кучу.. делаю примерно как там (только стараюсь как можно проще, пока)

не проходят пакеты из локальной сети наружу и все тут - ни TCP, ни ICMP, ни UDP, ничего.

сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не отрабатывают, судя по ipfw show - значит проблема NATD, я так полагаю ? больше всего меня озадачивает то что ipfw show не показывает вообще никаких сработок по правилам divert. хотя судя по консоли загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в общем все (вроде) работает правильно.

все конфиги и выводы команд, которые я посчитал важными для этой проблемы, собрал тут :
http://files.mail.ru/P1TYGH

Кто может помочь советом - помогите, заранее спасибо !

Содержание
Сообщения в этом обсуждении
"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено Michael , 29-Апр-11 16:24 
>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !

gateway_enable="YES"
в rc.conf не забыли?

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено PavelR , 29-Апр-11 16:26 
>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !

Интересно, сколько народу будет качать зип, распаковывать, смотреть :-)

Ну да ладно. Не смотря в архив:

1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?

2) Откройте для себя пару консолек с командами tcpdump -i rl0 / tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.

3) man ipfw на тему "NETWORK ADDRESS TRANSLATION"

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено 62mkv , 02-Май-11 13:08 

> Интересно, сколько народу будет качать зип, распаковывать, смотреть :-)
> Ну да ладно. Не смотря в архив:
> 1) net.inet.ip.forwarding=1 ? gateway_enable=YES at rc.conf ?
> 2) Откройте для себя пару консолек с командами tcpdump -i rl0 /
> tcpdump -i rl1 - на внутреннем и на внешнем интерфейсах.
> 3) man ipfw на тему "NETWORK ADDRESS TRANSLATION"

по пункту 0 - если б знал как прикрепить непосредственно файлы к вопросу, не мудрил бы с архивом...

по пункту 1 - естественно это сделано и кстати второе гарантирует первое.

по пункту 3 - да уж всю голову об этот ман разбил.. примеры которые с встроенным nat, приведены супер лапидарно, вообще ничего не понятно.

по пункту 2 - сделал так. похоже что на внешнем интерфейсе пакеты вываливаются с неизмененными адресами (если это конечно не особенность tcpdump). то есть они выходить выходят, и source у них стоит 192.168.0.x. так и должно быть или это признак проблемы ?

сейчас взял прям весь пример из handbook (которые Stateful+NAT, Example1) забабашил (только названия ифейсов поменял) - ровно то же самое что и с моим файлом правил. счетчики у правил skipto и allow (которые сразу после второго divert) увеличиваются, в deny ничего не падает, а сеансы не устанавливаются ! ;((

еще раз попрошу, если хоть у кого-то оно работает - дайте файл правил посмотреть ! и иные конфы (loader.conf,rc.conf, sysctl.conf, что нибудь еще ?) относящиеся к делу.


"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено Аноним , 29-Апр-11 16:28 
>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !

ipfw сам умеет делать nat. и делает это гибче и быстрее чем natd.
не смотря на то, что в настройке этой связки нет ничего сложного,
я рекомендую все-таки сделать nat на ipfw. так вы по крайней мере
избавитесь лишнего звена и проблем, которые могут возникать в
этой связи.


"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено hizel , 29-Апр-11 17:31 
> ipfw сам умеет делать nat. и делает это гибче и быстрее чем
> natd.

пардоне прошу, как оно может работать гибче, если они оба на одной и той же основе
libalias? :-|

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено Аноним , 29-Апр-11 17:36 
>> ipfw сам умеет делать nat. и делает это гибче и быстрее чем
>> natd.
> пардоне прошу, как оно может работать гибче, если они оба на одной
> и той же основе
> libalias? :-|

Гибкость != фичастость. Я имел в виду возможности настройки.

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено Hammer , 30-Апр-11 06:39 
>[оверквотинг удален]
> сам шлюз нормально видит и внутреннюю и глобальную сеть, deny правила не
> отрабатывают, судя по ipfw show - значит проблема NATD, я так
> полагаю ? больше всего меня озадачивает то что ipfw show не
> показывает вообще никаких сработок по правилам divert. хотя судя по консоли
> загрузки, natd активируется, показывает что "aliasing on x.х.246.94, mtu 1500", в
> общем все (вроде) работает правильно.
> все конфиги и выводы команд, которые я посчитал важными для этой проблемы,
> собрал тут :
> http://files.mail.ru/P1TYGH
> Кто может помочь советом - помогите, заранее спасибо !

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...

Я делал по этому документу.

"IPFW + NATD не работает ни в какую (FreeBSD 8.1, GENERIC)"
Отправлено universite , 02-Май-11 05:07 

>> http://files.mail.ru/P1TYGH
>> Кто может помочь советом - помогите, заранее спасибо !
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
> Я делал по этому документу.

явно прописать интерфейсы.
стараться не использовать конструкции "any to any", а разбить на два "any to me" и "me to any". вместо me можно использовать ip приемника или передатчика.