URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 53421
[ Назад ]

Исходное сообщение
"ерунда с натом"
Отправлено HighTower , 12-Фев-05 21:12

Привет.
ситуация:
- фря 5.3 с двумя сетевыми:
ed0: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.100.45 netmask 0xffffff00 broadcast 192.168.100.255
ed1: flags=108943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
ed0 - смотри в мир
ed1 - смотри в локалку
соответенно обе подсети серые!
далее
rc.conf:
ifconfig_ed0="inet 192.168.100.45 netmask 255.255.255.0"
ifconfig_ed1="inet 10.0.0.1 netmask 255.255.255.0"
natd_enable="YES"
natd_flags="-s -m -p natd -a 192.168.100.45"
gateway_enable="YES"
rc.firewall^
/sbin/ipfw -q -f flush
fw="/sbin/ipfw add"
${fw} check-state
${fw} allow udp from 192.168.100.45 to any keep-state
${fw} allow tcp from 192.168.100.45 to any setup keep-state
${fw} allow ip from any to any via lo0
${fw} allow ip from any to any via ed1
${fw} divert natd all from any to any via ed0
${fw} 60000 allow all from any to any
${fw} 65534 reject all from any to any
без 60000 ВООБЩЕ НЕ ПАШЕТ!!!

соответенно при таких настройках вроде машет, т.е. клинты из 10.0.0.0/24 инет видят...
вопрос в том как divert natd all from any to any via ed0
переписать? чтобы было 2 правила, для входящих и исходящих и избавиться от 60000 правила?

Содержание

ерунда с натом,adil_18, 17:33 , 13-Фев-05
- ерунда с натом,HighTower, 23:18 , 14-Фев-05

Сообщения в этом обсуждении

"ерунда с натом"
Отправлено adil_18 , 13-Фев-05 17:33

>Привет.
>
>ситуация:
>- фря 5.3 с двумя сетевыми:
>
>ed0: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 192.168.100.45 netmask 0xffffff00
>broadcast 192.168.100.255
>ed1: flags=108943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
> inet 10.0.0.1 netmask 0xffffff00
>broadcast 10.0.0.255
>
>ed0 - смотри в мир
>ed1 - смотри в локалку
>
Должно быть так:
rc.conf:
natd_enable="YES"
natd_interface="ed1"
natd_flags=" -s -m -u .........."
>соответенно обе подсети серые!
>
>далее
>
>rc.conf:
>
>ifconfig_ed0="inet 192.168.100.45 netmask 255.255.255.0"
>ifconfig_ed1="inet 10.0.0.1 netmask 255.255.255.0"
>
>natd_enable="YES"
>natd_flags="-s -m -p natd -a 192.168.100.45"
>
>gateway_enable="YES"
>
>
>
>rc.firewall^
>
>/sbin/ipfw -q -f flush
>
>fw="/sbin/ipfw add"
>
>${fw} check-state
>
>${fw} allow udp from 192.168.100.45 to any keep-state
>${fw} allow tcp from 192.168.100.45 to any setup keep-state
>
>${fw} allow ip from any to any via lo0
>${fw} allow ip from any to any via ed1
>
>${fw} divert natd all from any to any via ed0
>
>${fw} 60000 allow all from any to any
>${fw} 65534 reject all from any to any
>
>без 60000 ВООБЩЕ НЕ ПАШЕТ!!!
>
>
>соответенно при таких настройках вроде машет, т.е. клинты из 10.0.0.0/24 инет видят...
>
>
>
>
>вопрос в том как divert natd all from any to any via
>ed0
>переписать? чтобы было 2 правила, для входящих и исходящих и избавиться от
>60000 правила?

"ерунда с натом"
Отправлено HighTower , 14-Фев-05 23:18

>Должно быть так:
>rc.conf:
>natd_enable="YES"
>natd_interface="ed1"
>natd_flags=" -s -m -u .........."
т.е. внутренний фейс?
и как по поводу правиль фаера?