форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"помогите с IPFW"
Сообщение от Gua (??) on 02-Май-04, 21:02  (MSK)
мне надо чтобы сеть 192.168.1.ххх ходила в нет через FREEBSD!! я прописал            ipfw add divert natd all from 192.168.1.0/24 to any via rl1 смотрел через ipfw -a list пакеты уходят но обратно видимо неприходят т.к неконектит в инет когда пишу            ipfw add divert natd all from any to any via rl1 все работает !! Как зделать чтобы только сеть с 192.168.1.ххх могла ходить в нет сеть висит на rl0
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "помогите с IPFW"
Сообщение от fogary (??) on 02-Май-04, 21:23  (MSK)
>мне надо чтобы сеть 192.168.1.ххх ходила в нет через FREEBSD!! >я прописал >           ipfw >add divert natd all from 192.168.1.0/24 to any via rl1 >смотрел через ipfw -a list пакеты уходят но обратно видимо неприходят т.к >неконектит в инет >когда пишу >           ipfw >add divert natd all from any to any via rl1 >все работает !! > >Как зделать чтобы только сеть с 192.168.1.ххх могла ходить в нет сеть >висит на rl0 Добавь обратное правило, что-то вроде: ipfw add divert natd all from any to 192.168.1.xxx via rl1
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "помогите с IPFW"
	Сообщение от Gua (??) on 02-Май-04, 21:35  (MSK)
	неработает всеравно что еще можно зделать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "помогите с IPFW"
	Сообщение от Xeon (??) on 03-Май-04, 08:34  (MSK)
	>неработает всеравно что еще можно зделать? ipfw add divert natd all from any to внешний_ip via rl1 ipfw add divert natd all from 192.168.1.0/24 to any via rl1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "помогите с IPFW"
	Сообщение от Gua (??) on 03-Май-04, 09:18  (MSK)
	а можно ли сделать чтобы натилось только с интерфейса rl0 ??? т.е сделать чтоб не через IP а что то вроде: ipfw add divert natd all from rl0 to any via rl1 ???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "помогите с IPFW"
	Сообщение от kolayshkin (??) on 03-Май-04, 10:10  (MSK)
	>а можно ли сделать чтобы натилось только с интерфейса rl0 ??? т.е >сделать чтоб не через IP а что то вроде: ipfw add >divert natd all from rl0 to any via rl1 ??? Можно в ipfw2 сделать так, чтобы можно было по MAC адресам смотрел а не по IP.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "помогите с IPFW"
	Сообщение от Gua (??) on 03-Май-04, 18:10  (MSK)
	а можно ли вобще сделать чтоб с определенного интерфейса только натились пакеты??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 04-Май-04, 00:17  (MSK)
	Gua: > а можно ли вобще сделать чтоб с определенного интерфейса только натились пакеты? А даже если и можно, то зачем? На машине надо поднимать и др.сервисы кроме NAT/Masuerading. Zhelezniy_Felix: > За что убили мой вопрос? А почему это как реплика в ответ на мою реплику? Это не я убивал. Повтори свой вопрос. PS по теме: После указанных мной манипуляций сделай 'ipfw show' и сравни, правило, которое делает стандартный скрипт, со своим.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "помогите с IPFW"
	Сообщение от Xeon (??) on 04-Май-04, 17:25  (MSK)
	>а можно ли сделать чтобы натилось только с интерфейса rl0 ??? т.е >сделать чтоб не через IP а что то вроде: ipfw add >divert natd all from rl0 to any via rl1 ??? Если на интерфейсе rl0 висит адрес из сети 192.168.1.0/24, то ipfw add divert natd all from any to внешний_ip via rl1 ipfw add divert natd all from 192.168.1.0/24 to any via rl1 Можно указывать определённые хосты: ipfw add divert natd all from any to внешний_ip via rl1 ipfw add divert natd all from 192.168.1.25 to any via rl1 ipfw add divert natd all from 192.168.7.16 to any via rl1 Натиться будут только эти адреса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Глянь http://www.pi2.ru/UnixFAQ"
Сообщение от Дмитрий Ю. Карпов on 03-Май-04, 13:15  (MSK)
В /etc/rc.conf пишешь: gateway_enable="YES" firewall_enable="YES" firewall_type="open" natd_enable="YES" natd_interface="внешний_интерфейс" Твоя ошибка в том, что возвращающиеся пакеты (from any to внешний_интерфейс) не дивертятся. Если машина занимается маскарадингом на том же интерфейсе, на каком живут машины 192.168.*.*, то внешний IP-номер д.б. первым (не алиасным). Для привязки IP-номеров к MAC-адресам есть программа arp с ключиком "-s" или "-S".
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Глянь http://www.pi2.ru/UnixFAQ"
	Сообщение от Zhelezniy_Felix (??) on 03-Май-04, 18:16  (MSK)
	За что убили мой вопрос?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "помогите с IPFW"
Сообщение от jr (??) on 04-Май-04, 10:32  (MSK)
пусть есть два интерфейса: iface0 - в Интет iface1 - в локалку 1.2.3.4/32 -> iface0 192.168.0.1/24 -> iface1 пишем # natd -s -n iface0 # ipfw add 100 divert natd from any to 1.2.3.4 in via iface0 # ipfw add 200 divert natd from 192.168.0.0/24 to any out via iface0 трансляция готова!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 04-Май-04, 11:30  (MSK)
	> # natd -s -n iface0 > # ipfw add 100 divert natd from any to 1.2.3.4 in via iface0 > # ipfw add 200 divert natd from 192.168.0.0/24 to any out via iface0 Настройка через rc.conf делает # natd -n iface0 # ipfw add 50 divert natd from any to any via iface0 Зачем изобретать более другой :-) велосипед?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "помогите с IPFW"
	Сообщение от jr (ok) on 04-Май-04, 12:21  (MSK)
	>> # natd -s -n iface0 >> # ipfw add 100 divert natd from any to 1.2.3.4 in via iface0 >> # ipfw add 200 divert natd from 192.168.0.0/24 to any out via iface0 > >Настройка через rc.conf делает ># natd -n iface0 ># ipfw add 50 divert natd from any to any via iface0 > > >Зачем изобретать более другой :-) велосипед? в данном случае дивертиться будет только входящие на адрес 1.2.3.4, и только исходящие из сети 192.168.0.0/24 - чем больше ты сам контролируешь процесс прохождения пакетов, тем проще понимание того, что происходит в системе и проще при ловле всевозможных глюков а стандартный вариант, предлагаемый в rc.conf и не тронутом файле rc.firewall, конечно, никто не отменял
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "помогите с IPFW"
	Сообщение от Zhelezniy_Felix (??) on 04-Май-04, 16:27  (MSK)
	Вот такой вопрос.... Допустим дайю разрешение на хождение dns туда сюда.. Разрешаю вход на ftp Но вот такой вопрос как разрешить ходить на web... ведь тоже кудато ответ приходит...  на какой порт? и как заставить ваирвол разлечать ответ от левого пакета? аналогично с аськой...... З.Ы. есть ли утилитка которая может показывать что происходит в сети в данный момент? желательно графическая...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "помогите с IPFW"
	Сообщение от Xeon (??) on 04-Май-04, 17:28  (MSK)
	>Вот такой вопрос.... >Допустим дайю разрешение на хождение dns туда сюда.. >Разрешаю вход на ftp >Но вот такой вопрос как разрешить ходить на web... ведь тоже кудато >ответ приходит...  на какой порт? и как заставить ваирвол разлечать >ответ от левого пакета? >аналогично с аськой...... В таких случаях надо смотреть, с какого порта идёт ответ. В этих случаях, соответственно, с 80 и 5190 Проще всего пользоваться keep-state >З.Ы. есть ли утилитка которая может показывать что происходит в сети в >данный момент? желательно графическая... /usr/ports/net/trafshow
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "помогите с IPFW"
	Сообщение от Zhelezniy_Felix (??) on 04-Май-04, 18:13  (MSK)
	xxx.xxx.xxx.xxx - допустим я yyy.yyy.yyy.yyy - дружественные мне ip (хотелось бы уточнить как тут выставляется диапазон адресов) yyy.yyy.yyy.yyy - днс серверы моего провайдера add 200 allow all from xxx.xxx.xxx.xxx to any via rl0 add 300 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 400 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 500 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 600 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 700 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 800 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx 21 via rl0 add 900 deny all from 127.0.0.0/8 to xxx.xxx.xxx.xxx via rl0 add 1000 deny all from 10.0.0.0/8 to xxx.xxx.xxx.xxx via rl0 add 1100 deny all from 172.16.0.0/12 to xxx.xxx.xxx.xxx via rl0 add 1200 deny all from 192.168.0.0/16 to xxx.xxx.xxx.xxx via rl0 add 1300 deny all from 224.0.0.0/4 to xxx.xxx.xxx.xxx via rl0 add 1400 deny all from 240.0.0.0/5 to xxx.xxx.xxx.xxx via rl0 add 1600 deny all from any to xxx.xxx.xxx.xxx 445 via rl0 add 1700 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx  via rl0 add 1800 allow all from yyy.yyy.yyy.yyy to xxx.xxx.xxx.xxx  via rl0 add 1900 allow all from any 80 to xxx.xxx.xxx.xxx  via rl0 add 2000 deny all from any to xxx.xxx.xxx.xxx 22 via rl0 add 2100 deny all from any to xxx.xxx.xxx.xxx 23 via rl0 add 2200 allow all from any 5190 to xxx.xxx.xxx.xxx  via rl0 что сделал нетак..... сеть мертва и пожалуйста поподробней про keep-state
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "помогите с IPFW"
	Сообщение от Xeon (??) on 04-Май-04, 18:16  (MSK)
	Я не из тыкателей в маны, поэтому промолчу :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "помогите с IPFW"
	Сообщение от Zhelezniy_Felix (??) on 04-Май-04, 18:19  (MSK)
	>Я не из тыкателей в маны, поэтому промолчу :) ЛАдно буду рыть.... хоть на этом спасиба.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 05-Май-04, 00:42  (MSK)
	Я не понял, зачем так много и так сложно. А проблема связана с тем, что нет правила для established. Почитай немного /etc/rc.firewall, не ленись! А если не найдёшь там на тему "established", то иди на курсы "Американского Английского. :-) PS: По мере набора групп я читаю курс "FreeBSD" в StinsComan, http://www.infosystem.ru , в т.ч. и эту тему. Тут трудно объяснять, надо пальцем (или курсором) показывать.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "помогите с IPFW"
	Сообщение от Xeon (??) on 05-Май-04, 04:55  (MSK)
	>Я не понял, зачем так много и так сложно. А проблема связана >с тем, что нет правила для established. Почитай немного /etc/rc.firewall, не >ленись! >А если не найдёшь там на тему "established", то иди на курсы >"Американского Английского. :-) > >PS: По мере набора групп я читаю курс "FreeBSD" в StinsComan, http://www.infosystem.ru >, в т.ч. и эту тему. Тут трудно объяснять, надо пальцем >(или курсором) показывать. Уважаемый Господин Преподаватель! А как быть c established в случае UDP, ICMP? :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 05-Май-04, 18:33  (MSK)
	> А как быть c established в случае UDP, ICMP? :) В UDP и ICMP нет сессии на уровне протокола, поэтому там нет "setup" и "established". Есть несколько путей: 1) Разрешить все исходящие UDP и ICMP (или не все). Разрешить порты >4096 для UDP (все сервисы работают на портах <4096) и определённые сервисы ICMP (ping-reply, time-out и др., но не ping-запрос). 2) Разрешить все исходящие UDP и ICMP, а на входящие поставить keep-alive. Я с этим не работал, не разбирался и не хочу. 3) Дать машинам IP-номера 192.168.*.* и выпускать их через маскарадинг; а ещё лучше - через Proxy, каковыми являются не только HTTP-Proxy, но и SMTP-Relay и DNS-сервер. Вот такой способ - рулез.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "помогите с IPFW"
	Сообщение от jr (ok) on 05-Май-04, 18:55  (MSK)
	>2) Разрешить все исходящие UDP и ICMP, а на входящие поставить keep-alive. В ipfw для этого есть параметр keep-state. Если его применить для какого-либо правила (вне зависимости от типа протокола транспортного уровня), то ipfw будет атоматически генерить временные правила для обратных пакетов. Очень удобная вещь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "помогите с IPFW"
	Сообщение от Zhelezniy_Felix (ok) on 06-Май-04, 01:19  (MSK)
	Я конечно понемаю что вы тут все умные до беспамятства... Но вы не моглибы конф дать... а то блин нету негде чтоб посмотреть как организовывается всё это ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "помогите с IPFW"
	Сообщение от jr (ok) on 06-Май-04, 10:29  (MSK)
	>Я конечно понемаю что вы тут все умные до беспамятства... эх блин... если бы я умным был настолько, насколько хотел... =) >Но вы не моглибы конф дать... а то блин нету негде чтоб >посмотреть как организовывается всё это ... ну а # man ipfw чем не подходит? там и примеры есть
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "помогите с IPFW"
	Сообщение от kolayshkin (??) on 06-Май-04, 11:21  (MSK)
	>Я конечно понемаю что вы тут все умные до беспамятства... >Но вы не моглибы конф дать... а то блин нету негде чтоб >посмотреть как организовывается всё это ... Сдесь прям на русском языке и еще примеры http://www.opennet.ru/docs/RUS/ipfw/index.html Читай и набирайся опыта
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 06-Май-04, 17:43  (MSK)
	Zhelezniy_Felix: > вы не моглибы конф дать... Конф должен подтраиваться под конкретные потребности. Например, в какой-то фирме запрещают порт:80, вынуждая всех вручную настраивать браузер на Proxy; где-то ставят прозрачный Proxy; а где-то вообще Proxy-сервера нет, так что все лазают напрямую. Где-то разрешено тащить почту по POP3 всем подряд, где-то разрешено только избранным. Короче говоря, набор правил FireWall - это переведённый на машинный язык приказ о предоставлении сотрудникам доступа в Internet. :-) Xeon: > keep-alive это было сильно > Пожалуй, я не буду записываться слушателем... Не настаиваю - мой курс для сильно начинающих. И я сразу предупреждаю, что рассказываю только то, что знаю и пробовал сам в реальной жизни. А с "keep-alive" - качдый может очепятаться... :-(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "помогите с IPFW"
	Сообщение от Xeon (ok) on 06-Май-04, 04:14  (MSK)
	keep-alive это было сильно
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "помогите с IPFW"
	Сообщение от Xeon (ok) on 06-Май-04, 04:32  (MSK)
	>Я с этим не работал, не разбирался и не хочу. ... >и выпускать их через маскарадинг ... >Вот такой способ - рулез. Пожалуй, я не буду записываться слушателем...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "помогите с IPFW"
	Сообщение от Gua (??) on 10-Май-04, 11:09  (MSK)
	Что не так?? когда пишу        ipfw add divert natd from any to any via rl1        скорость инета 40КБ когда пишу         ipfw add divert natd all from any to 10.1.21.47 in via rl1         ipfw add divert natd all from 192.168.1.0/24 to any out via rl1           скорость инета падает до ~7КБ и выше неподымаеться !!! как с этим бороться ??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "помогите с IPFW"
	Сообщение от Xeon (??) on 10-Май-04, 11:16  (MSK)
	>Что не так?? >когда пишу >       ipfw add divert natd from >any to any via rl1 >       скорость инета 40КБ >когда пишу >        ipfw add divert natd >all from any to 10.1.21.47 in via rl1 >        ipfw add divert natd >all from 192.168.1.0/24 to any out via rl1 >        скорость инета падает до >~7КБ и выше неподымаеться !!! >как с этим бороться ?? А сколько памяти на машине и какой процессор? И можно сюда вывод ipfw sh ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "помогите с IPFW"
	Сообщение от Gua (??) on 10-Май-04, 11:36  (MSK)
	128 RAM Celeron 1.7 00001  3061  3400753 divert 8668 ip from any to 10.1.21.47 in recv rl1 00002  2551   250931 divert 8668 ip from 192.168.1.0/24 to any out xmit rl1 00100     0        0 allow ip from any to any via lo0 00200     0        0 deny ip from any to 127.0.0.0/8 00300     0        0 deny ip from 127.0.0.0/8 to any 65535 21445 10805158 allow ip from any to any
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "помогите с IPFW"
	Сообщение от Gua (??) on 10-Май-04, 13:44  (MSK)
	в чем причина причина снижения скорости кто нить может помочь???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "помогите с IPFW"
	Сообщение от Дмитрий Ю. Карпов on 10-Май-04, 18:59  (MSK)
	У меня чёткая уверенность, что в случае с двумя правилами не дивертятся какие-то пакеты, отвечающие за регулировку скорости. Но вот понять, что имеенно не дивертится - не могу, знаний об recv и xmit не хватает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	34. "помогите с IPFW"
	Сообщение от Xeon (ok) on 11-Май-04, 11:01  (MSK)
	>в чем причина причина снижения скорости кто нить может помочь??? ps -ax|grep natd
		Рекомендовать в FAQ | Cообщить модератору | Наверх

35. "помогите с IPFW"
Сообщение от anon on 16-Май-04, 18:55  (MSK)
>мне надо чтобы сеть 192.168.1.ххх ходила в нет через FREEBSD!! >я прописал >           ipfw >add divert natd all from 192.168.1.0/24 to any via rl1 >смотрел через ipfw -a list пакеты уходят но обратно видимо неприходят т.к >неконектит в инет >когда пишу >           ipfw >add divert natd all from any to any via rl1 >все работает !! > >Как зделать чтобы только сеть с 192.168.1.ххх могла ходить в нет сеть >висит на rl0 isp_if="rl1" isp_ip="a.b.c.d" add divert natd all from 192.168.1.0/24 to any out via ${isp_if} add divert natd all from any to ${isp_ip} in via ${isp_if} add allow all from any to any via ${isp_if}
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.