MaXToP Опубликовано 17 июля, 2004 · Жалоба Как на фрее одновременно поднять и NAT и Routing ? По отдельности без проблем - работает, вместе не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j262 Опубликовано 18 июля, 2004 · Жалоба а подробнее в чем проблема ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 22 июля, 2004 · Жалоба Как на фрее одновременно поднять и NAT и Routing ? По отдельности без проблем - работает, вместе не хочет. Я так понимаю, что на машине должны маршрутизироваться одни адреса и транслироваться другие? Управление тем, какие адреса транслируются, как правило происходит с использованием ipfw ... divert. Если нужно транслировать только определенные адреса, то только их и надо включать в правила ipfw. Маршрутизация же при этом перманентно включается в /etc/rc.conf (gateway_enable="YES"), либо временно командой sysctl net.inet.ip.forwarding=1. Необходимо заметить, что трансляция адресов должна происходить в две стороны, поэтому правила ipfw надо писать аккуратно. Ответы на все вопросы есть в документации ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ptah Опубликовано 22 июля, 2004 · Жалоба У меня такая же проблема. Попытаюсь обьяснить что должно получиться.... Есть рутер. Фря 5.2.1. Есть несколько плдсеток с реальными айпи. На одном интерфейсе висит сетка с реальными айпи. Напр. 195.195.195.64/27. Тоесть на интерфейе висит 195.195.195.65/27 айпи, являющийся гейтом для клиентов с реальными айпи. На этом же интерфейсе напр. dc0. Висит сеть 192.10.10.0/26. Тоесть у одних коиентов может быть айпи реальный у других фейк. По умолчанию ipfw. deny from any to any. Пропускаются нужные порты... нужные айпи. Всё работает. Для реальных айпи. Настройка ната ... Буквально в пару шагов. В rc.conf прописал natd_enable, interface. А в ipfw прописал каким фейкам можно ходить. natd сам записал в ipfw divert. Фейки не работают.... Походу ... чтото в ipfw не дописал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 22 июля, 2004 · Жалоба У меня такая же проблема.Попытаюсь обьяснить что должно получиться.... Есть рутер. Фря 5.2.1. Есть несколько плдсеток с реальными айпи. На одном интерфейсе висит сетка с реальными айпи. Напр. 195.195.195.64/27. Тоесть на интерфейе висит 195.195.195.65/27 айпи, являющийся гейтом для клиентов с реальными айпи. На этом же интерфейсе напр. dc0. Висит сеть 192.10.10.0/26. Тоесть у одних коиентов может быть айпи реальный у других фейк. По умолчанию ipfw. deny from any to any. Пропускаются нужные порты... нужные айпи. Всё работает. Для реальных айпи. Настройка ната ... Буквально в пару шагов. В rc.conf прописал natd_enable, interface. А в ipfw прописал каким фейкам можно ходить. natd сам записал в ipfw divert. Фейки не работают.... Походу ... чтото в ipfw не дописал. если указать интерфейс, на котором natd должен дивертить пакеты, то работать будет неверно. в действительности диверт-правила ipfw прописывает не natd, тут я рекомендую изучить /etc/rc.firewall. вообще natd не решает, какие пакеты из проходящих через него дивертить (ну, разве что если ему дать параметр дивертить только приватные адреса). рыть все равно в сторону ipfw. повторюсь, думать надо о движении пакетов в _обе_ стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ptah Опубликовано 22 июля, 2004 · Жалоба Что думаете об IPnat? Хорошая замена divertu? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kuzmich Опубликовано 22 июля, 2004 · Жалоба ipfw add divert natd ip from 192.168/16 to anu out via ${iface_inet} ipfw add divert natd ip from any to me in via ${iface_inet} Объяснения нужны ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ptah Опубликовано 22 июля, 2004 · Жалоба 00006 allow ip from 192.10.10.64/26 to any 00007 allow ip from any to 192.10.10.64/26 00008 divert 8668 ip from 192.10.10.64/26 to any out via ath0 00009 divert 8668 ip from any to me in via ath0 Где ath0 внешний интерфейс. Не работает.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kuzmich Опубликовано 22 июля, 2004 · Жалоба Естественно. Сделай ipfw show, и посмотри, доходит ли до 8 и 9 правила хоть один пакет. (хинт - после allow дальнейший просмотр правил прекращается). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 22 июля, 2004 · Жалоба Естественно. Сделай ipfw show, и посмотри, доходит ли до 8 и 9 правила хоть один пакет. (хинт - после allow дальнейший просмотр правил прекращается). ...по умолчанию ;) вообще sysctl позволяет это поведение изменить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 22 июля, 2004 · Жалоба Что думаете об IPnat?Хорошая замена divertu? ipnat значительно быстрее и проще в настройке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ptah Опубликовано 22 июля, 2004 · Жалоба 00008 0 0 divert 8668 ip from 192.10.10.64/26 to any out via ath0 00009 127 10965 divert 8668 ip from any to me in via ath0 До этих правил нет ни одного allow..... Так и не понял в чём проблема... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Денис Креминский Опубликовано 22 июля, 2004 · Жалоба 00008 0 0 divert 8668 ip from 192.10.10.64/26 to any out via ath000009 127 10965 divert 8668 ip from any to me in via ath0 До этих правил нет ни одного allow..... Так и не понял в чём проблема... если пакет удовлетворяет условиям правила номер, например, 7, то через 8 правило оно по умолчанию пропущено не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ptah Опубликовано 22 июля, 2004 · Жалоба Вообщем... проблема решена. Вообшем то её и небыло... :) Я просто запарился. Я проверял НАТ пингами. А у меня первое правило в файерволе стоит разрешение пингов.... :) При этом всё отсальное кроме ицмп натилось. Всем спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...