http://www.astalavista.ru
Тематические форумы для компьютерных клубов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

freebsd + ipfw + kernel nat

 
Начать новую тему   Ответить на тему    Список форумов http://www.astalavista.ru -> Общие вопросы (ASV2)
Предыдущая тема :: Следующая тема  
Автор Сообщение
jetson



Зарегистрирован: 26.02.2008
Сообщения: 29

СообщениеДобавлено: Вт Янв 22, 2013 6:32 pm    Заголовок сообщения: freebsd + ipfw + kernel nat Ответить с цитатой

Адресация в сети выглядит так:
Router: 192.168.0.1
Asta server: 192.168.0.200
Operator: 192.168.0.100
Freebsd: 192.168.0.90 (re0), 192.168.0.91 (rl0)
Клиенты: 192.168.0.101 - 192.168.0.123

Установил freebsd 9.1 amd64. Собрал ядро с опциями:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"

добавил в /etc/ssh/sshd_config
PasswordAuthentication yes
UseDNS no

Сгенерил ipfw config:
#!/bin/sh
-f flush

# Rules
ipfw add 1 allow all from any to any via lo*
ipfw add 2 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
ipfw add 3 allow udp form 192.168.0.0/24 to 255.255.255.255

ipfw add 10100 deny ip from any to 192.168.0.101
ipfw add 10101 count ip from any to 192.168.0.101 via re0
ipfw add 10102 count ip from 192.168.0.101 to any via re0

ipfw add 10200 deny ip from any to 192.168.0.102
ipfw add 10201 count ip from any to 192.168.0.102 via re0
ipfw add 10202 count ip from 192.168.0.102 to any via re0

...

ipfw add 12300 deny ip from any to 192.168.0.123
ipfw add 12301 count ip from any to 192.168.0.123 via re0
ipfw add 12302 count ip from 192.168.0.123 to any via re0

add 65535 allow ip from any to any

ну и добавил строчки в /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/ipfw"

1. Всё ли в порядке с конфигом ipfw? Сдаётся мне я что то упустил...
2. Что необходимо добавить чтобы разрешить трафик на операторе и астасервере?

Буду очень благодарен за помощь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
jetson



Зарегистрирован: 26.02.2008
Сообщения: 29

СообщениеДобавлено: Вт Янв 22, 2013 7:22 pm    Заголовок сообщения: Ответить с цитатой

В пример ipfw для работы nat присутствуют вот эти строчки:
ipfw add 14 divert natd ip from 192.168.0.0/24 to any out xmit rl1
ipfw add 15 divert natd ip from any to me in recv rl1

Судя по всему эти правила для nat'a реализованного на основе nat демона, а как они должны выглядеть в случае ядерной реализации nat'a?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
jetson



Зарегистрирован: 26.02.2008
Сообщения: 29

СообщениеДобавлено: Ср Янв 23, 2013 12:35 pm    Заголовок сообщения: Ответить с цитатой

Кто может помочь настроить на возмездной основе стучитесь в ICQ 632502125
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов http://www.astalavista.ru -> Общие вопросы (ASV2) Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Rambler's Top100 Яндекс цитирования