Есть комп (FreeBSD 4.3)
1)скомпилировал ядро с поддержкой файерволла и роутинга

2) в rc.conf прописано следущее:
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-unregistered_only -dynamic"
router_enable="YES"

3)В файле sysctl.conf вот так:
vfs.vmiodirenable=1
kern.ipc.somaxconn=4096
net.inet.ip.forwarding=1
kern.maxfiles=65536

Настраиваю винду которая подключена к сетевухе на сервере с внутренним IP
192.168.1.2 и ничего не работает :(
где грабли?
ЗЫ в настройках винды указываю роутером вышеназванный сервак - результат zero
пинги во внешний мир не идут соотвественно и tracert не идет

Прошу помощи уважаемые
Спасибо

• RE: FreeBSD не хочет работать как роутер,LinaS, 09:59 , 12-Сен-02
  • RE: FreeBSD не хочет работать как роутер,qwerty, 10:21 , 12-Сен-02
    • RE: FreeBSD не хочет работать как роутер,LinaS, 10:32 , 12-Сен-02
      • RE: FreeBSD не хочет работать как роутер,qwerty, 11:02 , 12-Сен-02
        • RE: FreeBSD не хочет работать как роутер,LinaS, 11:05 , 12-Сен-02
          • RE: FreeBSD не хочет работать как роутер,qwerty, 11:20 , 12-Сен-02

>Есть комп (FreeBSD 4.3)
>1)скомпилировал ядро с поддержкой файерволла и роутинга
>
>2) в rc.conf прописано следущее:
>gateway_enable="YES"
>firewall_enable="YES"
>firewall_script="/etc/rc.firewall"
>natd_enable="YES"
>natd_interface="rl0"
>natd_flags="-unregistered_only -dynamic"
>router_enable="YES"
>
>3)В файле sysctl.conf вот так:
>vfs.vmiodirenable=1
>kern.ipc.somaxconn=4096
>net.inet.ip.forwarding=1
>kern.maxfiles=65536
>
>Настраиваю винду которая подключена к сетевухе на сервере с внутренним IP
>192.168.1.2 и ничего не работает :(
>где грабли?
>ЗЫ в настройках винды указываю роутером вышеназванный сервак - результат zero
>пинги во внешний мир не идут соотвественно и tracert не идет
>
>Прошу помощи уважаемые
>Спасибо

ipfw show?
что именно говорит винда, когда пинги не идут? таймаут? хост недоступен?
в firewall.rc что?
rl0 - внешний интерфейс?

>ipfw show?
su-2.05# ipfw show
00100 10608 4171994 allow ip from any to any via lo0
00200 15727 3617209 allow ip from any to any via rl0
00300 13725 5376733 allow ip from any to any via rl1
00400     0       0 deny icmp from any to any frag
00500     0       0 deny udp from any to any 69
00600     0       0 deny tcp from any to any 87
00700     0       0 deny tcp from any to any 111,2049
00800     0       0 deny udp from any to any 111,2049
00900     0       0 deny tcp from any to any 3300-3400
01000     0       0 deny udp from any to any 3300-3400
01100     0       0 deny tcp from any to any 20,21
01200     0       0 deny udp from any to any 20,21
01300     0       0 deny tcp from any to any 512,513,514
01400     0       0 deny tcp from any to any 515
01500     0       0 deny tcp from any to any 540
01600     0       0 deny tcp from any to any 2000
01700     0       0 deny udp from any to any 2000
01800     0       0 deny tcp from any to any 6000-6010
01900     0       0 deny udp from any to any 6000-6010
02000     0       0 deny ip from any to any
65535     0       0 deny ip from any to any
>что именно говорит винда, когда пинги не идут? таймаут? хост недоступен?
Обмен пакетами с 195.9.44.193 по 32 байт:
Время ожидания запроса истекло. (это наша внутренняя сеть те провайдерская)
>в firewall.rc что?
#!/bin/sh
#Firewall rules
#Written by Roman Zabolotnikov (romaha@eoffice.ru)
#
#Freely distributable

fwcmd="/sbin/ipfw"
fakenet="192.168.1.0:255.255.255.0"
ext_if="rl0"

#Flush a current rules
ipfw -f flush
ipfw add pass all from any to any via lo0
ipfw add pass all from any to any via rl0
ipfw add pass all from any to any via rl1
#Debug rule, DISABLE IT!!!
#ipfw add divert natd all from any to any via $ext_if
#Set of deny rules
ipfw add deny icmp from any to any frag
#tftp
ipfw add deny udp from any to any 69
#link
ipfw add deny tcp from any to any 87
#ipfw add deny tcp from any to any 80,81
#SunRPC & NFS
ipfw add deny tcp from any to any 111,2049
ipfw add deny udp from any to any 111,2049
ipfw add deny tcp from any to any 3300-3400
ipfw add deny udp from any to any 3300-3400
ipfw add deny tcp from any to any 20,21
ipfw add deny udp from any to any 20,21
#BSD UNIX "r" cmds
ipfw add deny tcp from any to any 512,513,514
#lpd
ipfw add deny tcp from any to any 515
#uucpd
ipfw add deny tcp from any to any 540
#openwindows
ipfw add deny tcp from any to any 2000
ipfw add deny udp from any to any 2000
#X windows
ipfw add deny tcp from any to any 6000-6010

rl0 - внешний интерфейс?
ДА

>>ipfw show?
>su-2.05# ipfw show
>00100 10608 4171994 allow ip from any to any via lo0
>00200 15727 3617209 allow ip from any to any via rl0
>00300 13725 5376733 allow ip from any to any via rl1
>00400     0      
>0 deny icmp from any to any frag
>00500     0      
>0 deny udp from any to any 69
>00600     0      
>0 deny tcp from any to any 87
>00700     0      
>0 deny tcp from any to any 111,2049
>00800     0      
>0 deny udp from any to any 111,2049
>00900     0      
>0 deny tcp from any to any 3300-3400
>01000     0      
>0 deny udp from any to any 3300-3400
>01100     0      
>0 deny tcp from any to any 20,21
>01200     0      
>0 deny udp from any to any 20,21
>01300     0      
>0 deny tcp from any to any 512,513,514
>01400     0      
>0 deny tcp from any to any 515
>01500     0      
>0 deny tcp from any to any 540
>01600     0      
>0 deny tcp from any to any 2000
>01700     0      
>0 deny udp from any to any 2000
>01800     0      
>0 deny tcp from any to any 6000-6010
>01900     0      
>0 deny udp from any to any 6000-6010
>02000     0      
>0 deny ip from any to any
>65535     0      
>0 deny ip from any to any
>>что именно говорит винда, когда пинги не идут? таймаут? хост недоступен?
>Обмен пакетами с 195.9.44.193 по 32 байт:
>Время ожидания запроса истекло. (это наша внутренняя сеть те провайдерская)
>>в firewall.rc что?
>#!/bin/sh
>#Firewall rules
>#Written by Roman Zabolotnikov (romaha@eoffice.ru)
>#
>#Freely distributable
>
>fwcmd="/sbin/ipfw"
>fakenet="192.168.1.0:255.255.255.0"
>ext_if="rl0"
>
>
>#Flush a current rules
>ipfw -f flush
>ipfw add pass all from any to any via lo0
>ipfw add pass all from any to any via rl0
>ipfw add pass all from any to any via rl1
>#Debug rule, DISABLE IT!!!
>#ipfw add divert natd all from any to any via $ext_if
>#Set of deny rules
>ipfw add deny icmp from any to any frag
>#tftp
>ipfw add deny udp from any to any 69
>#link
>ipfw add deny tcp from any to any 87
>#ipfw add deny tcp from any to any 80,81
>#SunRPC & NFS
>ipfw add deny tcp from any to any 111,2049
>ipfw add deny udp from any to any 111,2049
>ipfw add deny tcp from any to any 3300-3400
>ipfw add deny udp from any to any 3300-3400
>ipfw add deny tcp from any to any 20,21
>ipfw add deny udp from any to any 20,21
>#BSD UNIX "r" cmds
>ipfw add deny tcp from any to any 512,513,514
>#lpd
>ipfw add deny tcp from any to any 515
>#uucpd
>ipfw add deny tcp from any to any 540
>#openwindows
>ipfw add deny tcp from any to any 2000
>ipfw add deny udp from any to any 2000
>#X windows
>ipfw add deny tcp from any to any 6000-6010
>
>rl0 - внешний интерфейс?
>ДА

либо я чего-то с утра не втыкаю, либо:

1. правила с 400 и далее не работают, как сам видишь - счетчики на 0... чтобы заработали, надо, например, переместить правила под номером 200 и 300 за 1900 ... Но это так, к слову.

2. А divert то зачем закоментарен?
ipfw add divert natd all from any to any via $ext_if раскоментарить бы надо, и прописать его после правила про lo0
natd запусти, если еще не запущен

>либо я чего-то с утра не втыкаю, либо:
>
>1. правила с 400 и далее не работают, как сам видишь -
>счетчики на 0... чтобы заработали, надо, например, переместить правила под номером
>200 и 300 за 1900 ... Но это так, к слову.
Сделал как вы сказали, просканил из винды X-spider-ом (для создания траффика)счетчики запустились и все считают :)
>
>2. А divert то зачем закоментарен?
Расскоментировал - толку НОЛЬ
>ipfw add divert natd all from any to any via $ext_if раскоментарить
>бы надо, и прописать его после правила про lo0
И это сделал - толку тоже нет :(
>natd запусти, если еще не запущен
Он запускается автоматом из rc.conf с такими флагами
natd_enable="YES"
natd_interface="rl0"
natd_flags="-unregistered_only -dynamic"

Ептить! слушай ! может поэтому ничего не работает ? смотри :
natd_interface="rl0"
он же смотрит на внешний интерфейс! rl0 !!!
может сменить на rl1? - эт внутренний

>>либо я чего-то с утра не втыкаю, либо:
>>
>>1. правила с 400 и далее не работают, как сам видишь -
>>счетчики на 0... чтобы заработали, надо, например, переместить правила под номером
>>200 и 300 за 1900 ... Но это так, к слову.
>Сделал как вы сказали, просканил из винды X-spider-ом (для создания траффика)счетчики запустились
>и все считают :)
>>
>>2. А divert то зачем закоментарен?
>Расскоментировал - толку НОЛЬ
>>ipfw add divert natd all from any to any via $ext_if раскоментарить
>>бы надо, и прописать его после правила про lo0
>И это сделал - толку тоже нет :(
>>natd запусти, если еще не запущен
>Он запускается автоматом из rc.conf с такими флагами
>natd_enable="YES"
>natd_interface="rl0"
>natd_flags="-unregistered_only -dynamic"
>
>Ептить! слушай ! может поэтому ничего не работает ? смотри :
>natd_interface="rl0"
>он же смотрит на внешний интерфейс! rl0 !!!
>может сменить на rl1? - эт внутренний

нини! :) не надо на внутренний менять в смысле :)

а теперь снова ipfw show?
ifconfig?

>нини! :) не надо на внутренний менять в смысле :)
Я всетаки поменял - в результате стал пинговаться внешний ипшник
но то чего мне надо так и не работает
>а теперь снова ipfw show?
su-2.05# ipfw show
00100 356160 182592556 allow ip from any to any via rl1
00200      0         0 deny icmp from any to any frag
00300      0         0 deny udp from any to any 69
00400      0         0 deny tcp from any to any 87
00500      0         0 deny tcp from any to any 111,2049
00600      0         0 deny udp from any to any 111,2049
00700      2        80 deny tcp from any to any 3300-3400
00800      0         0 deny udp from any to any 3300-3400
00900      0         0 deny tcp from any to any 20,21
01000      0         0 deny udp from any to any 20,21
01100      0         0 deny tcp from any to any 512,513,514
01200      0         0 deny tcp from any to any 515
01300      0         0 deny tcp from any to any 540
01400      0         0 deny tcp from any to any 2000
01500      0         0 deny udp from any to any 2000
01600      0         0 deny tcp from any to any 6000-6010
01700      0         0 deny udp from any to any 6000-6010
01800    486     33140 allow ip from any to any via lo0
01900   1414    183855 allow ip from any to any via rl0
02000      0         0 deny ip from any to any
65535      0         0 deny ip from any to any

не все счетчики считают тк нет обращения к ним :)

>ifconfig?
su-2.05# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 195.9.44.111 netmask 0xffffff00 broadcast 195.9.44.255
        inet6 fe80::250:bfff:fe7c:7fc4%rl0 prefixlen 64 scopeid 0x1
        ether 00:50:bf:7c:7f:c4
        media: autoselect (100baseTX <full-duplex>) status: active
        supported media: autoselect 100baseTX <full-duplex> 100baseTX 10baseT/UTP <full-duplex> 10baseT/UTP 100baseTX <hw-loopback>
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::250:bfff:fe7c:7fcb%rl1 prefixlen 64 scopeid 0x2
        ether 00:50:bf:7c:7f:cb
        media: autoselect (100baseTX <full-duplex>) status: active
        supported media: autoselect 100baseTX <full-duplex> 100baseTX 10baseT/UTP <full-duplex> 10baseT/UTP 100baseTX <hw-loopback>
faith0: flags=8000<MULTICAST> mtu 1500
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
gif1: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
gif2: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
gif3: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x8
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552