AdvNik Опубликовано 26 июня, 2003 · Жалоба Следующая ситуация: Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит") Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины. Вопрос: Что я делаю не так и как правильно это делать. OS: FreeBSD 5.0 realese Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shs Опубликовано 27 июня, 2003 · Жалоба Следующая ситуация: Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит") Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины. Вопрос: Что я делаю не так и как правильно это делать. OS: FreeBSD 5.0 realese может попробовать IPNAT ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdvNik Опубликовано 30 июня, 2003 · Жалоба может попробовать IPNAT ? Выполняю следующие деиствия: /etc/rc.d/ipfw restart >Firewall rules loaded, starting divert daemons: natdnatd: Unable to bind divert socket.: Address already in use /etc/rc.d/ipnat restart Пинга с внутрених хостов внешних нет :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shs Опубликовано 30 июня, 2003 · Жалоба может попробовать IPNAT ? Выполняю следующие деиствия: /etc/rc.d/ipfw restart >Firewall rules loaded, starting divert daemons: natdnatd: Unable to bind divert socket.: Address already in use /etc/rc.d/ipnat restart Пинга с внутрених хостов внешних нет :( Ну тогда для начала /usr/share/examples/ipfilter стоит почитать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdvNik Опубликовано 30 июня, 2003 · Жалоба shs, насколько я понимаю ipfilter это просто другой firewall. Т.е. я спрашиваю про одно, а ты мне говоришь совсем про другое. Или я чего-то не понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shs Опубликовано 30 июня, 2003 · Жалоба shs, насколько я понимаю ipfilter это просто другой firewall. Т.е. я спрашиваю про одно, а ты мне говоришь совсем про другое. Или я чего-то не понимаю? Собственно - в чём преимущества при работе в связке ipfilter + ipfw ? А в том, что они никаким образом не взаимосвязаны друг с другом. Т.е. используя IPNAT ты имеешь гарантию что любые изменения в ipfw не затронут твой нат. Я лично не любля использовать natd. На то есть много причин. Вот и подумалось - может и тебе пригодится ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdvNik Опубликовано 30 июня, 2003 · Жалоба shs, спасибо за заботу, может быть когдани-будь руки доидут до того чтобы посмотреть ipfilter and ipnat, но в данный момент для меня актуалны ipfw and natd :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka Опубликовано 1 июля, 2003 · Жалоба Да в чем проблема то? Ну напиши скрипт чтобы он вначале килял нат потом релоадил фаервол потом поднимал нат, Ну или сам напиши скрипт который реловадит фаервол как тебе надо , онже и так команды понимает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grumbler Опубликовано 1 июля, 2003 · Жалоба Следующая ситуация: Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит") Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины. Вопрос: Что я делаю не так и как правильно это делать. natd - это демон, который слушает некоторый TCP порт (обычно 8668, описан как порт natd в /etc/services) и когда у тебя стартует второй natd (из скрипта), он не может подключиться к этому порту. Решение: выполнить команду killall natd ; sleep 5 ; /etc/rc.d/ipwf reload (т.е. "прибить" работающий natd, подождать чтобы он успел завершиться и затем перезапустить правила файрвола и natd) Хотя я бы исправил /etc/rc.d/ipwf чтобы он посылал сигнал завершения в natd и проверял список процессов. OS: FreeBSD 5.0 realese Напрямую к вопросу не относится, но: эта версия слишком сырая. Или срочно накатывай 5.1 или (лучше) поставить 4.5 и пропатчить ее до RELEND_4_5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdvNik Опубликовано 1 июля, 2003 · Жалоба Grumbler, проделал то что ты сказал - natd запустился (ошибок не пишет), но пакеты из "внутрених" хостов всеравно не уходят :( хотя до этой операции и после перезагрузки все "хорошо" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AdvNik Опубликовано 2 июля, 2003 · Жалоба "Накатил" до 5.1 и стало все нормально работать :) Всем большое спасибо за помошь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...