FreeBSD. Не могу настроить шлюз!Ставлю FreeBSD 5.3, поднимаю NAT, Firewall, DHCP, все как положено. Более того, имеется уже рабочий сервер с FreeBSD (правда 4.8). Соответственно все настройки для rc.conf и resolv.conf брал оттуда.. В итоге NAT, Firewall и DHCP работают, но интернет на локальных станциях недоступен. На самом сервере все пингуется - и локалка и интернет. В локалке интернет пингуется только по IP-кам, а по именам - нет. Причем, что интересно, некоторые сайты при этом продолжают быть доступными. Например в Яндексе даже поиск работает. Но скажем mail.ru уже недоступен. Откуда делаю вывод - что-то не так с DNS, но что именно понять никак не могу, две недели уже парюсь.
rc.conf:
####### NET CONFIG #################
ntpdate_flags="ntp0.nl.net"
ntpdate_enable="YES"
tcp_extensions="YES"
network_interfaces="rl0 ed0 rl1 lo0"
ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
defaultrouter="195.209.232.1"
hostname="venture-gw.cef.spbstu.ru"# -- sysinstall generated deltas -- #
gateway_enable="YES"
natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="rl1"
natd_flags="-s -m"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="open"
firewall_quiet="NO"# -- sysinstall generated deltas -- #
named_enable="YES"
named_program="named"
named_flags="-c /etc/namedb/named.conf"
named_flags="-u bind -g bind"
portmap_enable="NO"
resolv.conf:
nameserver 195.209.232.1вот что выдает ipfw list:
00050 divert 8668 ip from any to any via rl1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
>ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
>ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"а что тут транслировать?
все адреса то инетовские...
>>ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
>>ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
>
>а что тут транслировать?
>все адреса то инетовские...не понял вопроса, при чем тут инетовские адреса?
195.209.232.62 - это собственно шлюз,
125.0.3.1 - соответственно выход в локалку, в ней инет и не виден..
>>>ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
>>>ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
>>
>>а что тут транслировать?
>>все адреса то инетовские...
>
>не понял вопроса, при чем тут инетовские адреса?
>195.209.232.62 - это собственно шлюз,
>125.0.3.1 - соответственно выход в локалку, в ней инет и не виден..
>
10.0.0.0/8 172.16.0.0/16 192.168.0.0/24125.0.3.1 -реальный ip
>>>>ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
>>>>ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
>>>
>>>а что тут транслировать?
>>>все адреса то инетовские...
>>
>>не понял вопроса, при чем тут инетовские адреса?
>>195.209.232.62 - это собственно шлюз,
>>125.0.3.1 - соответственно выход в локалку, в ней инет и не виден..
>>
>
>
>10.0.0.0/8 172.16.0.0/16 192.168.0.0/24
>
>125.0.3.1 -реальный ipну реальный, ну и что с того, что если в локалке используются инетовские адреса, то на такую сеть интернет транслировать нельзя? Сеть ставил не я и не мне ее менять. Да и зачем, если и так все прекрасно работало. Я уже упоминал, что есть РАБОЧИЙ сервак с этой же самой локалкой и он на нее интернет прекрасно транслирует. Просто этот сервак нам благополучно "уронили" и дабы чего не вышло я пытаюсь поставить его с нуля методом переноса исходных настроек. Так вот старый сервак с этими настройками работает, а тот что ставлю я не хочет. В этом проблема, а не в том что ip-ки в локалке реальные.
>>>>>ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
>>>>>ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
>>>>
>>>>а что тут транслировать?
>>>>все адреса то инетовские...
>>>
>>>не понял вопроса, при чем тут инетовские адреса?
>>>195.209.232.62 - это собственно шлюз,
>>>125.0.3.1 - соответственно выход в локалку, в ней инет и не виден..
>>>
>>
>>
>>10.0.0.0/8 172.16.0.0/16 192.168.0.0/24
>>
>>125.0.3.1 -реальный ip
>
>ну реальный, ну и что с того, что если в локалке используются
>инетовские адреса, то на такую сеть интернет транслировать нельзя? Сеть ставил
>не я и не мне ее менять. Да и зачем, если
>и так все прекрасно работало. Я уже упоминал, что есть РАБОЧИЙ
>сервак с этой же самой локалкой и он на нее интернет
>прекрасно транслирует. Просто этот сервак нам благополучно "уронили" и дабы чего
>не вышло я пытаюсь поставить его с нуля методом переноса исходных
>настроек. Так вот старый сервак с этими настройками работает, а тот
>что ставлю я не хочет. В этом проблема, а не в
>том что ip-ки в локалке реальные.
ну наверное разные бывают ситуации:)по делу: покажи netstat -r
думаю тебе хочется поправить маршрутизациюхотя надо поправить адресацию в локалке
>по делу: покажи netstat -r
>думаю тебе хочется поправить маршрутизацию
>
>хотя надо поправить адресацию в локалкеnetstat -r выдает следующее:
Destination Gateway Flags Refs Use Netif Expire
default woofie UGS 0 14 rl1
125.0.3/24 link#1 UC 0 0 rl0
125.0.3.69 00:0c:6e:98:f7:f6 UHLW 0 2 rl0 1053
125.0.3.87 00:40:f4:7e:0b:da UHLW 0 3 rl0 1079
125.0.3.98 00:0c:6e:c3:97:33 UHLW 0 16 rl0 1061
localhost localhost UH 0 0 lo0
195.209.232/25 link#2 UC 0 0 rl1
woofie 00:03:47:76:fa:0d UHLW 1 24 rl1 1199
dek-gw 00:c0:26:76:9f:66 UHLW 0 2 rl1 1054
>>по делу: покажи netstat -r
>>думаю тебе хочется поправить маршрутизацию
>>
>>хотя надо поправить адресацию в локалке
>
>netstat -r выдает следующее:
>Destination Gateway
> Flags
> Refs Use Netif Expire
>
>default
>woofie
> UGS
>0 14
>rl1
>125.0.3/24 link#1
> UC
> 0
> 0 rl0
>
>125.0.3.69 00:0c:6e:98:f7:f6 UHLW
> 0
> 2 rl0
>1053
>125.0.3.87 00:40:f4:7e:0b:da UHLW
> 0
> 3 rl0
>1079
>125.0.3.98 00:0c:6e:c3:97:33 UHLW
> 0
> 16 rl0 1061
>
>localhost localhost
> UH
> 0
> 0 lo0
>195.209.232/25 link#2
> UC
> 0
> 0 rl1
>woofie
> 00:03:47:76:fa:0d UHLW
>1 24
>rl1 1199
>dek-gw
> 00:c0:26:76:9f:66 UHLW
>0 2
> rl1 1054
а днс на локальных рабочих станциях прописан провайдерский?
Может у тебя нехватает кеширующего на 5.3?
>а днс на локальных рабочих станциях прописан провайдерский?
ДНС на ЛРС прописан получать автоматически>Может у тебя нехватает кеширующего на 5.3?
возможно, но разве недостаточно указать ДНС провайдера в resolv.conf, не поднимая ДНС на сервере вообще?
Впрочем поднимал (опять таки тупо переносил со старого сервера) - ДНС стартовал и вроде никаких ошибок не выдавал, но все равно ничего не работало..
для сравнения, вот что выдает netstat -r на старом серванте:Destination Gateway Flags Refs Use Netif Expire
default woofie UGSc 76 958 rl1
125.0.3/24 link#1 UC 4 0 rl0
venture-gw.cef.spb 00:05:1c:02:02:03 UHLW 1 40 lo0
125.0.3.69 00:0c:6e:98:f7:f6 UHLW 1 390 rl0 1069
125.0.3.87 00:40:f4:7e:0b:da UHLW 0 326 rl0 992
125.0.3.98 00:0c:6e:c3:97:33 UHLW 0 2 rl0 877
localhost localhost UH 0 0 lo0
195.209.232/25 link#2 UC 1 0 rl1
woofie 00:03:47:76:fa:0d UHLW 77 0 rl1 1199
У 5.3, на мой взгляд, вообще какая-то лажа с gateway.
>У 5.3, на мой взгляд, вообще какая-то лажа с gateway.знать бы еще какая..
Гм... а где собственно natd? Где правила на диверт? Коли ты используеш natd+ipfw(я так понимаю что его) покажи плс!
>Гм... а где собственно natd? Где правила на диверт? Коли ты используеш
>natd+ipfw(я так понимаю что его) покажи плс!..я извеняюсь, а это что, не оно:
00050 divert 8668 ip from any to any via rl1 ?
>У 5.3, на мой взгляд, вообще какая-то лажа с gateway.не сразу врубился в смысл фразы.. в смысле, именно у релиза 5.3 или вообще у 5-й ветки? Ну вообще говоря, о таком варианте я как то не подумал.. надо будет на другом релиз попробовать..
ХЗ. Но 5.1 и сервачком и шлюзом работал... :)
PS: коли идешь путем установки с нуля так и иди эти путем! Не копируй с одной системы на другую они разных веток и нужную вещ ты не заметиш!!!http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/index...
>ХЗ. Но 5.1 и сервачком и шлюзом работал... :)
>PS: коли идешь путем установки с нуля так и иди эти путем!
>Не копируй с одной системы на другую они разных веток и
>нужную вещ ты не заметиш!!!
когда я говорю, что копирую настройки со старого сервака, я имею ввиду только содержимое файлов rc.conf, resolv.conf, dhcpd.conf ну и еще пожалуй named.conf.. и то не целиком, а только то, что посчитал нужным..
Сорри либо незаметил, либо...
Я бы оставил только базовые службы фаерволл нафиг днсп и время нафиг.
только что бы у тебя все пахало и доступ в инет (днс)
Потом нат с фаерволом...
И фаервол я бы советовал PF с его натом. В любом случае все у тебя будет работать будет работать!
>Сорри либо незаметил, либо...
>Я бы оставил только базовые службы фаерволл нафиг днсп и время нафиг.
>
>только что бы у тебя все пахало и доступ в инет (днс)
доступ в инет на самом серваке сеть - надо развести его в локалку..
>
>Потом нат с фаерволом...
>И фаервол я бы советовал PF с его натом..
не совсем понял терминологию, что значит последняя фраза?
>Сорри либо незаметил, либо...
>Я бы оставил только базовые службы фаерволл нафиг днсп и время нафиг.время и DHCP - еще допустим можно нафиг, а вот фаервол так просто не выкинешь - на сколько я понял, во Фре НАТ без фаервола работать не будет
впрочем, этого и не требуется, фаервол все равно стоит в режиме все разрешено - как если бы его и не было..
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/index...я вас умоляю - вот только не надо меня к общим мануалам посылать (на конкректное место, касающееся вопроса - не возбраняется). Был я там. Читал. И не только в электронном формате но и в бумажном. Возможно еще не очень хорошо усвоил прочитанное, но как поставить и настроить эту радость более менее представляю.
Мда, судя по всему, конструктивных предложений не будет.. попробую на другом релизе, может и правда в этом все дело.. так или иначе, спасибо всем за проявленное участие.
Да ладно не дуйся все будет !
rc.conf:defaultrouter="195.209.232.1"
gateway_enable="YES"
hostname="venture-gw.cef.spbstu.ru"
ifconfig_rl1="inet 195.209.232.62 netmask 255.255.255.128"
ifconfig_rl0="inet 125.0.3.1 netmask 255.255.255.0"
pf_enable="YES"
pflog_enable="YES"resolv.conf:
nameserver 81.3.165.35
nameserver 81.3.150.2
pf.conf:eif = "rl1"
iif = "rl0"tcp_service = "{ 22, 53, 80, добавь по вкусу }"
udp_service = "{ 22, 53, 80, добавь по вкусу }"
icmp_types = "echoreq"
table <mynet> { 125.0.3.0/24 }nat on $eif from <mynet> to any -> ($eif)
block drop all
pass quick on lo0 allpass out on $iif inet proto tcp from $iif to any flags S/SA modulate state
pass out on $iif inet proto { udp, icmp } from $iif to any keep statepass in quick on $iif inet proto icmp from any to ($iif) icmp-type $icmp_types keep state
pass in quick on $eif inet proto icmp from any to ($eif) icmp-type $icmp_types keep statepass in on $iif inet proto tcp from < mynet > to ($iif) port $tcp_service flags S/SA modulate state
pass in on $iif inet proto udp from < mynet > to ($iif) port $udp_service keep statepass out on $eif from ($eif) to any keep state
pass in on $iif from < mynet > to not <mynet> keep state
вроде не забыл...
настрой статикой клиентов(днс провайдоровский) да и проверяй доступ...
все остальное вотрым этапом.Извини если задел. Зубы чешутся.
Да kldstat даст модули которые загружены, если в ядро pf не включал то он модулем будет.
PS сие работало на FreeBDS 5.3
Граждане! Всем спасибо, все заработало. Я идиот! Забыл прописать на клиентах адрес DNS (он там автоматом получался).