Subnets.ru

[Paltish]

В правиле:

ipfw add 311 netgraph 60 ip from 10.10.11.0/24 to any via rl0 out

В конфиге статик-ната:

Args: { total_count=1 redirects=[ { id=1 local_addr=10.0.0.2 alias_addr=88.81.238.36 proto=259 description="redir_addr" } ] }

Отсюда и неработоспособность static NAT, т.к. ipfw адрес 10.0.0.2 не завернет в netgraph.

Прошу прощения я просто взял тест пк, пересобрал все и там сеть 10.0.0.0/24
Но стат нат так и не работает, если ищем ошибке в моем конфе, то я думаю что ето бесполезно мы в четвером уже не раз перебрали весь конф.

[Paltish]

И исходя из етого всего обсуждения я зделал вывод что все время господа питаютсо найти у мну ошибки в конфах, я думаю что не дело не в ошибках, а в незнании ибо привиденые вопросы выше не указывают на имения опыта с рабочим конфом такой конфигурации, посему наверно здесь ету тему стоит тоже закрыть.

[Paltish]

Благодарю всех кто пытался помочь)).

[lehisnoe]

И исходя из етого всего обсуждения я зделал вывод что все время господа питаютсо найти у мну ошибки в конфах

Именно так, т.к. свой пост на тему конфигурации ng_nat я запостил только после его испытания на стенде (стенд был, правда, с одним интерфейсом, но это не меняет сути). Дабы не быть голословным только что воспроизвел стенд еще раз (но уже с разными интерфейсами):
Шлюзовая машина (FreeBSD 7.2-STABLE) имеет адрес 192.168.56.1 на внутреннем интерфейсе vlan200, и два адреса на внешнем интерфейсе msk0 - реальник для static NAT ХХ.ХХ.16.107 в 192.168.56.2 и 172.16.10.37 для PAT. Конфигурирование:

Код: Выделить всё

[root@work ~]# kldload ng_ipfw
[root@work ~]# /usr/sbin/ngctl mkpeer ipfw: nat 60 out
[root@work ~]# /usr/sbin/ngctl name ipfw:60 natA
[root@work ~]# /usr/sbin/ngctl connect ipfw: natA: 61 in
[root@work ~]# /usr/sbin/ngctl msg natA: redirectaddr '{ local_addr=192.168.56.2 alias_addr=XX.XX.16.107 description="static_NAT_for_192.168.56.2" }'
[root@work ~]# /usr/sbin/ngctl msg natA: setaliasaddr 172.16.10.37
[root@work ~]# ipfw add 100 netgraph 61 log logamount 100 ip from any to ХХ.ХХ.16.107 via msk0 in
[root@work ~]# ipfw add 110 netgraph 61 log logamount 100 ip from any to 172.16.10.37 via msk0 in
[root@work ~]# ipfw add 300 netgraph 60 log logamount 100 ip from 192.168.56.0/24 to not 192.168.56.0/24 via vlan200 in
[root@work ~]# ipfw add 1000 allow log logamount 100 ip from any to any


После чего трасса от обычной машины (192.168.56.3) до www.ru:

Код: Выделить всё

[root@PAT:~]# traceroute www.ru
traceroute to www.ru (194.87.0.50), 64 hops max, 40 byte packets
 1  192.168.56.1 (192.168.56.1)  0.282 ms  0.337 ms  0.235 ms
 2  office (172.16.10.14)  0.726 ms  0.689 ms  0.612 ms
 3  10.255.255.1 (10.255.255.1)  1.729 ms  1.721 ms  1.736 ms
 4  host65-16-YY-YY.net.ru (YY.YY.16.65)  2.230 ms  2.115 ms  2.209 ms
 5  10.0.255.1 (10.0.255.1)  3.856 ms  2.846 ms  4.108 ms
 6  v11-jun.msk.mmts-9.net.ru (ZZ.ZZ.16.249)  1.857 ms  1.979 ms  2.101 ms
 7  m9-ix-1g.demos.net (193.232.244.35)  2.101 ms  2.591 ms  2.486 ms
 8  iki-c1-vl10.demos.net (194.87.0.111)  2.980 ms  3.219 ms  5.609 ms
 9  www.ru (194.87.0.50)  2.355 ms  2.219 ms  2.485 ms

Трасса от машины (192.168.56.2) с адресом для static NAT до www.ru:

Код: Выделить всё

[root@Static_nat:~] traceroute www.ru
traceroute to www.ru (194.87.0.50), 64 hops max, 40 byte packets
 1  192.168.56.1 (192.168.56.1)  0.383 ms  0.368 ms  0.373 ms
 2  host105-16-XX-XX.net.ru (XX.XX.16.105)  0.697 ms  0.691 ms  0.666 ms
 3  10.255.255.1 (10.255.255.1)  1.400 ms  1.435 ms  1.431 ms
 4  host65-16-YY-YY.net.ru (YY.YY.16.65)  1.977 ms  2.918 ms  2.094 ms
 5  10.0.255.1 (10.0.255.1)  79.723 ms  3.321 ms  2.259 ms
 6  v11-jun.msk.mmts-9.net.ru (ZZ.ZZ.16.249)  1.799 ms  1.719 ms  1.635 ms
 7  m9-ix-1g.demos.net (193.232.244.35)  2.240 ms  2.190 ms  2.398 ms
 8  iki-c1-vl10.demos.net (194.87.0.111)  5.832 ms  21.683 ms  6.127 ms
 9  www.ru (194.87.0.50)  2.552 ms  2.324 ms  2.536 ms


Входящее подключение на ХХ.ХХ.16.107, ретранслируемое на 192.168.56.2:

Код: Выделить всё

[root@work ~]# tail -f /var/log/security
Nov  5 20:41:20 work kernel: ipfw: 100 Netgraph 61 TCP aa.aa.80.243:63874 XX.XX.16.107:22 in via msk0
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP aa.aa.80.243:63874 192.168.56.2:22 out via vlan200
Nov  5 20:41:20 work kernel: ipfw: 300 Netgraph 60 TCP 192.168.56.2:22 aa.aa.80.243:63874 in via vlan200
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP XX.XX.16.107:22 aa.aa.80.243:63874 out via msk0
Nov  5 20:41:20 work kernel: ipfw: 100 Netgraph 61 TCP aa.aa.80.243:63874 XX.XX.16.107:22 in via msk0
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP aa.aa.80.243:63874 192.168.56.2:22 out via vlan200
Nov  5 20:41:20 work kernel: ipfw: 300 Netgraph 60 TCP 192.168.56.2:22 aa.aa.80.243:63874 in via vlan200
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP XX.XX.16.107:22 aa.aa.80.243:63874 out via msk0

я думаю что не дело не в ошибках, а в незнании ибо привиденые вопросы выше не указывают на имения опыта с рабочим конфом такой конфигурации

Каждый имеет право на свое мнение, но у меня складывается впечатление на основе игнорирования части моих вопросов, что это мне надо, чтобы у вас что-то заработало.

посему наверно здесь ету тему стоит тоже закрыть.

Пусть повисит пока открытой

Благодарю всех кто пытался помочь)).

Пожалуйста.

[armadex]

при

Код: Выделить всё

net.link.ether.ipfw=1


NAT перестает работать, подскажите куда копать!

[root]

копать правила, которые ты написал в фаирволе, покажи что у тя там

Код: Выделить всё

ipfw show

делать логирование и смотреть в логи

ну и поясни свою задачу. для чего ты это включаешь ?

[armadex]

ipfw show

Код: Выделить всё

00010     28      3531 netgraph 61 ip from any to 200.200.201.34 via em0 in
00011     44      4122 netgraph 60 ip from 172.24.33.0/24 to any via em0 out
65535     667125 340121828 allow ip from any to any


а фильтрация нужна что бы отсеивать "нежелательных" пользователей. А вообще хочется что то вроде:

Код: Выделить всё

ipfw nat 100 config if em0
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to IP_В_ИНЕТ
ipfw add allow ip from any to any mac any РАЗРЕШЕННЫЙ_МАС in
ipfw table 1 add 172.24.33.225/32(Разрешенный IP)
ipfw add deny all from 172.24.33.0/24 to any


[root]

а фильтрация нужна что бы отсеивать "нежелательных" пользователей.

ну а что мешает добавить ДО правил ната простые deny правила для "нежелательных" пользовательких ипов ?

сейчас НЕ может подделать МАС-адрес только ленивый, посему добавлять привала по макам в ipfw я бы не стал
хочешь заморочиться с маками ? да нивопрос., можешь воспользоваться старым добрым arp:

arp -S hostname ether_addr [temp] [blackhole | reject] [pub [only]]

The blackhole keyword is similar in that traffic is discarded but the sender is not notified.
These can be used to block external traffic to a host without using a firewall.

З.Ы. а маки нуна вязать на порту коммутатора в сторону юзера. Валидный IP+MAC, а все остальное рубить беспощадно иил вязать просто IP.