URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 26548
[ Назад ]

Исходное сообщение
"в чем заковыка ..."
Отправлено globus , 17-Фев-03 14:55

Привет всем...
Значит в кратце:
SYS- FreeBSD 4.7
Пользователи сидят на реальных ИП
В инет попадают через Squid (ver 2.5, прозрачный) настроен файервол...
Теперь вопрос:
В фаерволе настроенны два правила
30000 384981 251926673 allow tcp from any to any established
65000 54393 4762562 allow ip from any to any
через них (эти правила) идет основной траффик.
Я делал так, настраивал НАТ и весил его 20-м правилом, но через эти правила 30000 и 65000 всеравно валили пакеты
Если их удалить то некоторые программы перестают работать, напримет SSH ICQ
Как мне правильно сделать чтоб натом завернуть весь траффик который идет по этим правилам.

Содержание

RE: в чем заковыка ...,ShyLion, 16:09 , 17-Фев-03
- RE: в чем заковыка ...,globus, 07:24 , 18-Фев-03
  - RE: в чем заковыка ...,ShyLion, 11:25 , 19-Фев-03
    - RE: в чем заковыка ...,globus, 12:03 , 19-Фев-03

Сообщения в этом обсуждении

"RE: в чем заковыка ..."
Отправлено ShyLion , 17-Фев-03 16:09

>Привет всем...
>
>Значит в кратце:
>SYS- FreeBSD 4.7
>Пользователи сидят на реальных ИП
>В инет попадают через Squid (ver 2.5, прозрачный) настроен файервол...
>
>Теперь вопрос:
>В фаерволе настроенны два правила
>30000 384981 251926673 allow tcp from any to any established
>65000 54393 4762562 allow ip from any to any
Пардон, ГДЕ тут fireWall? тот только fireHole.

>через них (эти правила) идет основной траффик.
>
>Я делал так, настраивал НАТ и весил его 20-м правилом, но через
>эти правила 30000 и 65000 всеравно валили пакеты
Зачем NAT, если все на реальных IP ???
>Если их удалить то некоторые программы перестают работать, напримет SSH ICQ
>
>Как мне правильно сделать чтоб натом завернуть весь траффик который идет по
>этим правилам.
Завернуть куда?

"RE: в чем заковыка ..."
Отправлено globus , 18-Фев-03 07:24

>>Привет всем...
>>
>>Значит в кратце:
>>SYS- FreeBSD 4.7
>>Пользователи сидят на реальных ИП
>>В инет попадают через Squid (ver 2.5, прозрачный) настроен файервол...
>>
>>Теперь вопрос:
>>В фаерволе настроенны два правила
>>30000 384981 251926673 allow tcp from any to any established
>>65000 54393 4762562 allow ip from any to any
>
>Пардон, ГДЕ тут fireWall? тот только fireHole.
Правила не все конечно ....
>
>
>>через них (эти правила) идет основной траффик.
>>
>>Я делал так, настраивал НАТ и весил его 20-м правилом, но через
>>эти правила 30000 и 65000 всеравно валили пакеты
>
>Зачем NAT, если все на реальных IP ???
я хотел использовать NAT для того что бы не использовать правила 30000 и 65000, потому как нат повиснит на определенном порту (6886 по умолчанию, или какой покажу в конфиге) и потом я смогу при помощи ipfw pipe ужать траффик проходящий через этот порт.... (похоже на пароною)
>
>>Если их удалить то некоторые программы перестают работать, напримет SSH ICQ
>>
>>Как мне правильно сделать чтоб натом завернуть весь траффик который идет по
>>этим правилам.
>
>Завернуть куда?
понятно все понятно ....

"RE: в чем заковыка ..."
Отправлено ShyLion , 19-Фев-03 11:25

NAT используется для трансляции адресов, когда нужно выпустить наружу приватную сетку (и т.п.)
Для зажимания трафика NAT не нужен и ничем в плане безопасности сам по себе не поможет.
Опиши конфигурацию сети подробнее и возлагаемые на ipfw задачи
Тогда и можно будет что-то дельное подсказать.

"RE: в чем заковыка ..."
Отправлено globus , 19-Фев-03 12:03

>NAT используется для трансляции адресов, когда нужно выпустить наружу приватную сетку (и
>т.п.)
>Для зажимания трафика NAT не нужен и ничем в плане безопасности сам
>по себе не поможет.
>
>Опиши конфигурацию сети подробнее и возлагаемые на ipfw задачи
>Тогда и можно будет что-то дельное подсказать.
Да я понимаю для чего используется NAT, видимо придется пересаживать пользователей на привтные ИП адреса ...