https://mobile.opennet.me/openforum/vsluhforumID3/12464.html Что бы поднять NAT и Firewall на FreeBSD надо:<br><br>Скомпилировать ядро:<br>Следующие строки нужно включить в /usr/src/sys/i386/conf/GENERIC файл конфигурации:<br><br> options IPFIREWALL<br> options IPDIVERT<br> options IPFIREWALL_VERBOSE<br> options IPFIREWALL_VERBOSE_LIMIT=10<br> options DUMMYNET<br> options TCP_DROP_SYNFIN<br><br>Переходим в директорию /usr/src/<br> make buildkernel KERNCONF=GENERIC<br> make installkernel KERNCONF=GENERIC<br><br>Следующие строки можно к примеру включить в rc.conf файл конфигурации:<br><br> hostname="free"<br> ifconfig_rl0="10.0.0.1"<br> gateway_enable="YES"<br> firewall_enable="YES"<br> firewall_type="open"<br> natd_enable="YES"<br> natd_interface="rl0"<br> natd_flags="-redirect_port tcp 10.0.0.10:80 80"<br> tcp_extensions="NO"<br> tcp_drop_synfin="YES"<br> icmp_drop_redirect="YES"<br> sendmail_enable="NONE"<br><br>Для удаленного управления нужно добавить следующую строку:<br> sshd_enable="YES"<br>(возможно понадобится скопировать /etc/ssh/ssh_host_dsa_key.pub в /root/.ssh/authorized_keys<br><br>Сл https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#19 Sat, 04 Nov 2006 12:25:34 GMT Скрипт написать с $1 вместо oip - будет первый параметр в командной строке скрипта. <br>На dhclient настроить запуск етого скрипта.<br> https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#17 Thu, 12 Oct 2006 09:03:58 GMT Подскажите как записать oip если внешний IP получаю по DHCP? https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#16 Thu, 18 May 2006 06:24:00 GMT Добавил приведенные строки и перекомпилировал файл конфигурации ядра GENERIC как сказано выше.<br>Также добавил вышеприведенные строки в rc.conf, но rc.firewall трогать не стал потому как скурпулезных ограничений пока не нужно.<br><br>Все другие приложения (ICQ, MSN) работают <br>нормально, но вот в Internet Explorer просматривать сайты не могу.<br>Как быть? https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#13 Fri, 11 Nov 2005 12:34:49 GMT Уважаемые!<br>Авам не кажеться, что автор с интерфейсами напутал <br> ! ifconfig_rl0="10.0.0.1"<br><br> ! oif="rl0"<br> iif="tx0"<br> oip="132.5.7.172"<br> ! iip="10.0.0.1"<br> lan="10.0.0.0/24"<br>что это? https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#12 Fri, 11 Nov 2005 08:15:09 GMT ipfw add deny icmp from any to any frag #запрещаем проход для фрагментированых покетов<br>ipfw add allow icmp from any to any #остальные разрешаем вроде так https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#11 Wed, 09 Nov 2005 18:27:00 GMT всем здрасти,я<br>подскажите пожалуйста,как добавить правило,чтоб хоть ping проходил, а то я собрал систему,а всё закрыть ,по умолчанию, так вот как вообще добавляются правила?????<br><br>заранее спасибо https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#10 Sat, 05 Nov 2005 17:28:01 GMT &gt;Вот заморочки....... делов на 5 минут: <br>&gt;kldload pf <br>&gt;sysctl net.inet.ip.forwarding=1 <br>&gt;vi /etc/pf.conf <br>&gt;... <br>&gt;и ВСЕ!!! <br>Тоже вариант.<br><br>А проблемы с FTP и необходимостью хранить состояния пакетов уже решены?<br>Когда юзал давно когда-то, то были...<br><br>Кстати, есть правила для ipnat, а для pf нужно переделывать.<br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#9 Sat, 05 Nov 2005 17:24:07 GMT &gt;Нафига Вам IPF и IPFW одновременно. IMHO чушь порете. <br><br>Дело в том, чт система работает на NATD и ipfw.<br>Нужно:<br>1. Пробросить порты из вне внутрь локалки на разные серваки<br>2. Уменьшить нагрузку по NAT<br><br>Вещи не взаимоисключающие, но дублирующие.<br>Для чистоты - да, либо то, либо другое. Согласен.<br> https://mobile.opennet.me/openforum/vsluhforumID3/12464.html#8 Sat, 05 Nov 2005 12:31:58 GMT Нафига Вам IPF и IPFW одновременно. IMHO чушь порете.