Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
jetson
Зарегистрирован: 26.02.2008 Сообщения: 29
|
Добавлено: Вт Янв 22, 2013 6:32 pm Заголовок сообщения: freebsd + ipfw + kernel nat |
|
|
Адресация в сети выглядит так:
Router: 192.168.0.1
Asta server: 192.168.0.200
Operator: 192.168.0.100
Freebsd: 192.168.0.90 (re0), 192.168.0.91 (rl0)
Клиенты: 192.168.0.101 - 192.168.0.123
Установил freebsd 9.1 amd64. Собрал ядро с опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"
добавил в /etc/ssh/sshd_config
PasswordAuthentication yes
UseDNS no
Сгенерил ipfw config:
#!/bin/sh
-f flush
# Rules
ipfw add 1 allow all from any to any via lo*
ipfw add 2 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
ipfw add 3 allow udp form 192.168.0.0/24 to 255.255.255.255
ipfw add 10100 deny ip from any to 192.168.0.101
ipfw add 10101 count ip from any to 192.168.0.101 via re0
ipfw add 10102 count ip from 192.168.0.101 to any via re0
ipfw add 10200 deny ip from any to 192.168.0.102
ipfw add 10201 count ip from any to 192.168.0.102 via re0
ipfw add 10202 count ip from 192.168.0.102 to any via re0
...
ipfw add 12300 deny ip from any to 192.168.0.123
ipfw add 12301 count ip from any to 192.168.0.123 via re0
ipfw add 12302 count ip from 192.168.0.123 to any via re0
add 65535 allow ip from any to any
ну и добавил строчки в /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/ipfw"
1. Всё ли в порядке с конфигом ipfw? Сдаётся мне я что то упустил...
2. Что необходимо добавить чтобы разрешить трафик на операторе и астасервере?
Буду очень благодарен за помощь. |
|
Вернуться к началу |
|
|
jetson
Зарегистрирован: 26.02.2008 Сообщения: 29
|
Добавлено: Вт Янв 22, 2013 7:22 pm Заголовок сообщения: |
|
|
В пример ipfw для работы nat присутствуют вот эти строчки:
ipfw add 14 divert natd ip from 192.168.0.0/24 to any out xmit rl1
ipfw add 15 divert natd ip from any to me in recv rl1
Судя по всему эти правила для nat'a реализованного на основе nat демона, а как они должны выглядеть в случае ядерной реализации nat'a? |
|
Вернуться к началу |
|
|
jetson
Зарегистрирован: 26.02.2008 Сообщения: 29
|
Добавлено: Ср Янв 23, 2013 12:35 pm Заголовок сообщения: |
|
|
Кто может помочь настроить на возмездной основе стучитесь в ICQ 632502125 |
|
Вернуться к началу |
|
|
|