Перейти к содержимому
Калькуляторы

Проблемы с ipfw_nat не получается мигрировать на ipfw после pf

Доброго времени суток!

Прошу совета :(

Дано:

Сервер под OS FreeBSD 8-Stable, mpd 5.5 в качестве PPPoE терминации.

PF, и в качестве фаерволла и в качестве NAT.

Сетевуха в мир em1, внутрь em0, диапазон адресов для PPPoE - 10.255.0.0/16(Помимо клиентов получающих сразу внешний вдрес на интерфейс PPPoE)

Натилось раньше элементарно так:

pf.conf

nat on em1 from 10.255.0.0/16 to any -> ххх.ххх.ххх.ххх 

Было принято решение переходить на на ipfw, а заодно и на его нат, libalias, все же.

 

Сделано:

KERNEL

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_NAT
options         IPDIVERT # На всякий случай
options         IPFIREWALL_DEFAULT_TO_ACCEPT # Уж очень далеко до него добираться
options         LIBALIAS

 

Затем в rc.conf

firewall_enable="YES"
firewall_nat_enable="YES"

 

Перезагружаемся, далее

pfctl -d
ipfw nat 1 config if em1 (опции)
ipfw add 100 nat 1 ip from 10.255.0.0/16 to any via em1 

 

Ожидаемого результата не последовало. =)

Счетчики в ipfw show показывают что под правила попадают пакеты.

Если смотреть tcpdump'ом - в ng интерфейс от клиента прилетел icmp echo request, благополучно отнатился и улетел в em1.

В ответ на em1 пришел echo-reply, но в ng к клиенту почему то не вылетел.

 

Опции типа unreg_only и пр. проверял, device pf из ядра убирал.

 

Что то где то явно в табличках трансляций, но куда смотреть и что делать пока не знаю, надеюсь, здесь кто подскажет.

Изменено пользователем andrew_fobos

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Опции типа unreg_only и пр. проверял, device pf из ядра убирал.

 

Что то где то явно в табличках трансляций, но куда смотреть и что делать пока не знаю, надеюсь, здесь кто подскажет.

 

В rc.conf

оставте только

firewall_enable="YES"

 

 

cat /etc/rc.firewall

#!/bin/sh
ext_ip="1.1.1.1"

fwcmd="/sbin/ipfw"
${fwcmd} -f flush

${fwcmd} nat 123 config ip ${ext_ip} log
${fwcmd} add 10 nat 123 ip from 10.255.0.0/16 to any
${fwcmd} add 20 nat 123 ip from any to ${ext_ip}

Воля и все натится

Изменено пользователем roysbike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все верно, у автора входящие пакеты в НАТ не попадали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

${fwcmd} add 20 nat 123 ip from any to ${ext_ip}

Все получилось, Спасибо!

мда... в голову после ната на pf, да и после SNAT в ipt, как то такая конструкция не пришла =)

Еще раз спасибо за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помогите настроить snat на ipfw nat kernel. На pf все прозрачно ,но в связи с болшим поток хочу попробываИть kernel nat, libalias все же. Имеем пул белых адресов , алиасом на внешнем интерфейсе, можете показать внятный пример как завернуть на локальный ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что у вас плохо с pf? Тут вон 800 мег натит и не жужжит, + 3 фуллвью на тазике. Шейпинг куда более ресурсозатратен, оно на отдельном тазике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что у вас плохо с pf? Тут вон 800 мег натит и не жужжит, + 3 фуллвью на тазике. Шейпинг куда более ресурсозатратен, оно на отдельном тазике.

да у меня более 2.5 гбит, без bgp , только NAT. Но есть сеть /26 , раздаю через PFnat на локальный ip клиента. У коллеги тачка с меньшими характеристиками жует почти 4 гбит. Но у них ipfw nat. Вот и хочу попробывать и сравнить.

Изменено пользователем roysbike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас