Jump to content
Калькуляторы

Правильный ipnat

Reply to this topic

K0matoznik   

K0matoznik
Posted

Привет всем, есть freebsd 10.1, поднят ipfw +ipnat.

Есть куча вланов и я пытаюсь снатить человека на впн сервер. 

map vlan1 from 172.17.12.0/22 to 172.17.12.2/32 -> 172.17.15.200/32
map vlan2 from 172.18.12.0/22 to 172.17.12.2/32 -> 172.18.15.200/32
map vlan3 from 172.19.12.0/22 to 172.17.12.2/32 -> 172.19.15.200/32

Подключается первый пассажир, и после него уже никто не может подключиться.

Выключаем первого и только тогда один из 3х других сможет подключиться.

Подскажите как правильно в данной ситуации приминить опцию portmap tcp/udp 10101-20200. Заранее спасибо

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted

подымите ipfw nat

у него с LGA вроде проблем нету

Подтверждаю, ipfw nat корректно работает. просто natd жрет немилосердно ресурсы, а pf - именно так себя и ведет - не более одного коннекта. Может конечно и пофиксили в 10ке, но я при переезде стараюсь максимально использовать уже отлаженное. ipfw nat - самое оно, ибо предсказуем.

Share this post

Link to post
Share on other sites

K0matoznik   

K0matoznik
Posted

Подскажите в чем бяда, фря 10.2, ядро собрано с ipfw

# Firewall      
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=500
options         IPFIREWALL_NAT
options         IPDIVERT
options         DUMMYNET      
options         LIBALIAS       
options         IPFILTER
options         IPFILTER_LOG
options         ROUTETABLES=5

Но не могу сделать нат через ipfw

#!/bin/sh
ipfw='/sbin/ipfw -q'
flush='/sbin/ipfw -q -f flush'
flushnat='/sbin/ipfw -q -f nat flush'
flushpipe='/sbin/ipfw -q pipe flush'
pipe='/sbin/ipfw -q pipe'
#traffmeter='/usr/local/TraffMeter/ipacctd.sh'

${flush}
${flushnat}
${flushpipe}

worknet='172.17.12.0/22'
usernet='172.20.0.0/24'
${ipfw} nat 1 config log if em1 reset same_ports


#local
${ipfw} add 10 allow icmp from any to any
${ipfw} add 10 allow all from any to any via lo0
${ipfw} add 10 deny all from any to 127.0.0.0/8
${ipfw} add 10 deny all from 127.0.0.0/8 to any

${ipfw} add 20 allow all from any to me keep-state
${ipfw} add 30 allow all from 172.17.12.236/32 to me keep-state dst-port 22


${ipfw} add 100 nat 1 ip from 172.17.12.236/32 to 172.20.6.1/32 via em1
#${ipfw} add 100 nat 1 ip from 172.20.6.0/24 to 172.17.12.236/32 in recv em1

em1 - сетевушка которая смотрит в сеть 172.20.6.0.24

em0 - сетевушка смотрит в сеть 172.17.12.0/24

172.17.12.236 - я сам (вин7)

172.20.6.1 - случайный адрес из сети 172.20.6.0-24 (пингуется из фри 100%)

172.20.6.253 - адрес фри в сети 172.20.6.0-24

я на своей тачке (вин7) просто прописываю маршрут, route add 172.20.6.1 mask 255.255.255.255 172.20.6.253 и ожидаю пингов на 172.20.6.1

Где не стыковочка?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы