FreeBSD

Negativ · Отправлено: **17:20, 08-09-2010** | #11

Цитата Telepuzik:

Что то не нравится мне это правило. Попробуйте прописать 450-ым следующее правило:
ipfw add allow ip from any to <внешний ip> 80 in via stge0 »

добавил разницы нет.

ipfw show

Код:

00450      9       432 allow ip from any to внешнийайпи dst-port 80 in via stge0

Telepuzik · Отправлено: **17:29, 08-09-2010** | #12

Я думаю что проблема где то в правилах ipfw. У меня просто правило divert разбито на два правила. Попробуйте прописать правило 460: ipfw add divert natd ip from any to <внешний ip > in via stge0 а 450 отключите.
А из локальной сети сайт нормально открывается.

Negativ · Отправлено: **17:59, 08-09-2010** | #13

Цитата Telepuzik:

Я думаю что проблема где то в правилах ipfw. У меня просто правило divert разбито на два правила. Попробуйте прописать правило 460: ipfw add divert natd ip from any to <внешний ip > in via stge0 а 450 отключите.
А из локальной сети сайт нормально открывается. »

сделал. хост по прежнему снаружи не отвечает по 80 порту. И пропал инет у клиентов.
Сайт в локалке открывается.

Telepuzik · Отправлено: **10:16, 09-09-2010** | #14

Попробуйте отключить свое правило диверта (500), и прописать вместо него правила:
ipfw add divert natd ip from 192.168.1.0/24 to any out via stge0
ipfw add divert natd ip from any to <внешний ip > in via stge0
ipfw add allow tcp from any to any established
и вывод ipfw show с этими правилами покажите. И вывод ifconfig с Веб сервера покажите.

Negativ · Отправлено: **16:38, 09-09-2010** | #15

Код:

gate_serv# ipfw show
00100   0     0 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400 106 23040 allow ip from 192.168.1.0/24 to 192.168.1.0/24 via msk0
00500   0     0 divert 8668 ip from 192.168.1.0/24 to any out via stge0
00600   0     0 divert 8668 ip from any to внешнийайпи in via stge0
00700   0     0 allow tcp from any to any established
00800   0     0 allow ip from 192.168.1.0/24 to any in via msk0
00900   0     0 allow ip from 192.168.1.0/24 to any out via stge0
01000   0     0 allow ip from any to 192.168.1.0/24 in via stge0
01100   0     0 allow ip from any to 192.168.1.0/24 out via msk0
01200   0     0 allow udp from any to any via msk0
01300   0     0 deny log logamount 100 ip from any to any
65535  20  2016 allow ip from any to any

на вебсервере куда мапятся пакеты это сделать невозможно. Это железка с вебинтерфейсом.
Собственно с этими правилами инета нет нигде. И маппинг так же не работает.

Telepuzik · Отправлено: **16:50, 09-09-2010** | #16

Цитата Negativ:

на вебсервере куда мапятся пакеты это сделать невозможно »

На нем шлюз прописан? Вы после внесения изменений в настройки файрвола перезапускаете машину или тока файрвол? Содержимое rc.conf покажите. И правило 400 поставьте ниже диверта.

Negativ · Отправлено: **11:40, 13-09-2010** | #17

Цитата Telepuzik:

На нем шлюз прописан? »

как я мог про это забыть? Прописал это

Код:

ipfw show
00100   0     0 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400   0     0 divert 8668 ip from 192.168.1.0/24 to any out via stge0
00500   0     0 divert 8668 ip from any to внешнийайпи in via stge0
00600 199 44600 allow tcp from any to any established
00700  15  1344 allow ip from 192.168.1.0/24 to 192.168.1.0/24 via msk0
00800   7   822 allow ip from 192.168.1.0/24 to any in via msk0
00900   0     0 allow ip from 192.168.1.0/24 to any out via stge0
01000   0     0 allow ip from any to 192.168.1.0/24 in via stge0
01100   0     0 allow ip from any to 192.168.1.0/24 out via msk0
01200   1    68 allow udp from any to any via msk0
01300   0     0 deny log logamount 100 ip from any to any
65535  44  4496 allow ip from any to any

заработал проброс
но не работает инет ни на шлюзе ни на клиентах.

Telepuzik · Отправлено: **12:03, 13-09-2010** | #18

Цитата Negativ:

00400 0 0 divert 8668 ip from 192.168.1.0/24 to any out via stge0
00500 0 0 divert 8668 ip from any to внешнийайпи in via stge0 »

Так а stge0 это внешний интерфейс? Вывод ifconfig покажите?

Negativ · Отправлено: **16:04, 13-09-2010** | #19

Цитата Telepuzik:

Так а stge0 это внешний интерфейс? Вывод ifconfig покажите? »

Код:

ifconfig
msk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
        ether 00:11:2f:e0:0e:e4
        inet 192.168.1.101 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex,flag0,flag1>)
        status: active
stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:22:15:11:02:7b
        inet внешнийайпи netmask 0xfffffff0 broadcast броадкастайпи
        media: Ethernet autoselect (1000baseTX <full-duplex,flag0,flag1,flag2>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000

Telepuzik · Отправлено: **16:15, 13-09-2010** | #20

Допишите еще правило ipfw add allow ip from <внешний ip> to any out xmit stge0