|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - [решено] ipfw+nat |
|
|
FreeBSD - [решено] ipfw+nat
|
|
Пользователь Сообщения: 125 |
Всем доброго дня.
Имеется FreeBSD 9.1. Ядро скомпилировано с параметрами Код:
 options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options IPFIREWALL_FORWARD options IPFIREWALL_NAT options LIBALIAS options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT gateway_enable="YES" firewall_enable="YES" firewall_type="/etc/ipfwnat" Внешний интерфейс - em0, 195.*.*.* Внутренний интерфейс - em1, 10.0.0.1 содержимое ipfwnat: Код:
#запрещающие правила add 1000 deny ip from any to 10.0.0.0/8 in via em0 add deny ip from any to 172.16.0.0/12 in via em0 add deny ip from any to 192.168.0.0/16 in via em0 add deny ip from any to 0.0.0.0/8 in via em0 add deny ip from any to 169.254.0.0/16 in via em0 add deny ip from any to 240.0.0.0/4 in via em0 add deny icmp from any to any frag add deny log logamount 10 icmp from any to 255.255.255.255 in via em0 add deny log logamount 10 icmp from any to 255.255.255.255 out via em0 #разрешающие правила add 30000 allow tcp from any to any via em1 add allow tcp from any to any established add allow ip from me to any out via em0 add allow udp from any 53 to any in via em0 add allow icmp from any to any icmp_types 0,8,11 #собственно, NAT nat 1 config log if em0 reset same_ports deny_in add nat 1 ip from any to any via em0 #запрещаем все остальное add 65000 deny from any to any in via em0 Есть машина с адресом 10.0.0.2, в качестве шлюза указан 10.0.0.1 (локальный интерфейс FreeBSD), DNS - 8.8.8.8. Если правило НАТ стоит в начале - то все отлично, 10.0.0.2 получает полный доступ в интернет. Но внешний адрес FreeBSD перестает пинговаться. Если правило НАТ стоит в конце - то: 1) С 10.0.0.2 пингуется любой адрес в интернете по IP 2) С 10.0.0.2 не резолвятся адреса (nslookup ya.ru, google.com и т.д. ничего не дает, также как и пинг по имени) 3) Внешний адрес шлюза FreeBSD начинает пинговаться снаружи согласно правилу add allow icmp from any to any icmp_types 0,8,11. Как заставить нормально отрабатывать нат без использования divert, natd и т.д., несмотря на то, что ядро скомпилировано с поддержкой этих функций - хотелось бы разобраться без них. |
|
|
Отправлено: 12:14, 07-10-2013 |
|
Пользователь Сообщения: 125
|
Профиль | Отправить PM | Цитировать Странно, но проблема решилась удалением разрешающих правил. Тема решена, наверное.
|
|
Отправлено: 16:56, 07-10-2013 | #2 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| FreeBSD - ipfw + NAT | FloID1986 | Общий по FreeBSD | 1 | 04-05-2012 18:02 | |
| FreeBSD - IPFW NAT проброс порта на Web server | AbS | Общий по FreeBSD | 4 | 04-11-2010 13:36 | |
| FreeBSD - Задача с IPFW+NAT | zlx | Общий по FreeBSD | 3 | 10-01-2010 00:25 | |
| FreeBSD - [решено] IPFW+NAT+MPD | mss_sarvarbek | Общий по FreeBSD | 14 | 27-02-2009 21:11 | |
| FreeBSD - [решено] Динамическое подключение IPFW & NAT | Аlchemist | Общий по FreeBSD | 6 | 11-08-2008 12:16 | |
|
|
Время: 15:00. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
