MaXToP Posted July 17, 2004 Posted July 17, 2004 Как на фрее одновременно поднять и NAT и Routing ? По отдельности без проблем - работает, вместе не хочет. Вставить ник Quote
Guest Posted July 22, 2004 Posted July 22, 2004 Как на фрее одновременно поднять и NAT и Routing ? По отдельности без проблем - работает, вместе не хочет. Я так понимаю, что на машине должны маршрутизироваться одни адреса и транслироваться другие? Управление тем, какие адреса транслируются, как правило происходит с использованием ipfw ... divert. Если нужно транслировать только определенные адреса, то только их и надо включать в правила ipfw. Маршрутизация же при этом перманентно включается в /etc/rc.conf (gateway_enable="YES"), либо временно командой sysctl net.inet.ip.forwarding=1. Необходимо заметить, что трансляция адресов должна происходить в две стороны, поэтому правила ipfw надо писать аккуратно. Ответы на все вопросы есть в документации ;) Вставить ник Quote
ptah Posted July 22, 2004 Posted July 22, 2004 У меня такая же проблема. Попытаюсь обьяснить что должно получиться.... Есть рутер. Фря 5.2.1. Есть несколько плдсеток с реальными айпи. На одном интерфейсе висит сетка с реальными айпи. Напр. 195.195.195.64/27. Тоесть на интерфейе висит 195.195.195.65/27 айпи, являющийся гейтом для клиентов с реальными айпи. На этом же интерфейсе напр. dc0. Висит сеть 192.10.10.0/26. Тоесть у одних коиентов может быть айпи реальный у других фейк. По умолчанию ipfw. deny from any to any. Пропускаются нужные порты... нужные айпи. Всё работает. Для реальных айпи. Настройка ната ... Буквально в пару шагов. В rc.conf прописал natd_enable, interface. А в ipfw прописал каким фейкам можно ходить. natd сам записал в ipfw divert. Фейки не работают.... Походу ... чтото в ipfw не дописал. Вставить ник Quote
Денис Креминский Posted July 22, 2004 Posted July 22, 2004 У меня такая же проблема.Попытаюсь обьяснить что должно получиться.... Есть рутер. Фря 5.2.1. Есть несколько плдсеток с реальными айпи. На одном интерфейсе висит сетка с реальными айпи. Напр. 195.195.195.64/27. Тоесть на интерфейе висит 195.195.195.65/27 айпи, являющийся гейтом для клиентов с реальными айпи. На этом же интерфейсе напр. dc0. Висит сеть 192.10.10.0/26. Тоесть у одних коиентов может быть айпи реальный у других фейк. По умолчанию ipfw. deny from any to any. Пропускаются нужные порты... нужные айпи. Всё работает. Для реальных айпи. Настройка ната ... Буквально в пару шагов. В rc.conf прописал natd_enable, interface. А в ipfw прописал каким фейкам можно ходить. natd сам записал в ipfw divert. Фейки не работают.... Походу ... чтото в ipfw не дописал. если указать интерфейс, на котором natd должен дивертить пакеты, то работать будет неверно. в действительности диверт-правила ipfw прописывает не natd, тут я рекомендую изучить /etc/rc.firewall. вообще natd не решает, какие пакеты из проходящих через него дивертить (ну, разве что если ему дать параметр дивертить только приватные адреса). рыть все равно в сторону ipfw. повторюсь, думать надо о движении пакетов в _обе_ стороны. Вставить ник Quote
ptah Posted July 22, 2004 Posted July 22, 2004 Что думаете об IPnat? Хорошая замена divertu? Вставить ник Quote
Kuzmich Posted July 22, 2004 Posted July 22, 2004 ipfw add divert natd ip from 192.168/16 to anu out via ${iface_inet} ipfw add divert natd ip from any to me in via ${iface_inet} Объяснения нужны ? :) Вставить ник Quote
ptah Posted July 22, 2004 Posted July 22, 2004 00006 allow ip from 192.10.10.64/26 to any 00007 allow ip from any to 192.10.10.64/26 00008 divert 8668 ip from 192.10.10.64/26 to any out via ath0 00009 divert 8668 ip from any to me in via ath0 Где ath0 внешний интерфейс. Не работает.... Вставить ник Quote
Kuzmich Posted July 22, 2004 Posted July 22, 2004 Естественно. Сделай ipfw show, и посмотри, доходит ли до 8 и 9 правила хоть один пакет. (хинт - после allow дальнейший просмотр правил прекращается). Вставить ник Quote
Денис Креминский Posted July 22, 2004 Posted July 22, 2004 Естественно. Сделай ipfw show, и посмотри, доходит ли до 8 и 9 правила хоть один пакет. (хинт - после allow дальнейший просмотр правил прекращается). ...по умолчанию ;) вообще sysctl позволяет это поведение изменить. Вставить ник Quote
jab Posted July 22, 2004 Posted July 22, 2004 Что думаете об IPnat?Хорошая замена divertu? ipnat значительно быстрее и проще в настройке Вставить ник Quote
ptah Posted July 22, 2004 Posted July 22, 2004 00008 0 0 divert 8668 ip from 192.10.10.64/26 to any out via ath0 00009 127 10965 divert 8668 ip from any to me in via ath0 До этих правил нет ни одного allow..... Так и не понял в чём проблема... Вставить ник Quote
Денис Креминский Posted July 22, 2004 Posted July 22, 2004 00008 0 0 divert 8668 ip from 192.10.10.64/26 to any out via ath000009 127 10965 divert 8668 ip from any to me in via ath0 До этих правил нет ни одного allow..... Так и не понял в чём проблема... если пакет удовлетворяет условиям правила номер, например, 7, то через 8 правило оно по умолчанию пропущено не будет. Вставить ник Quote
ptah Posted July 22, 2004 Posted July 22, 2004 Вообщем... проблема решена. Вообшем то её и небыло... :) Я просто запарился. Я проверял НАТ пингами. А у меня первое правило в файерволе стоит разрешение пингов.... :) При этом всё отсальное кроме ицмп натилось. Всем спасибо. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.