The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw - в чём может быть трабл???"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 17-Янв-03, 17:03  (MSK)
Hi All! Сёдня я поделюсь с вами историей как я (новичок в *nix and FreeBSD системах) решился ставить сервак на FreeBSD 4.7
И так по порядку:

1) В наличии имеем следующие железяки - Lucent DSL Pipe (хаб/4 порта+DSL модем) две сетевухи Intel одна fxp0 соеденяется с Lucent DSL Pipe, вторая fxp1 смотрит в локалку.

2)Использовал рекомендации следующих статей:

- http://freeunix.unicor.ru/content.php?page=Сеть&id=138
- http://freeunix.unicor.ru/content.php?page=Сеть&id=80
- http://freeunix.unicor.ru/content.php?page=Сеть&id=105

3)Сколько не бился ни чего не добился :( Инсталировал как два пальца, ядро пересобрал с соответсвующими параметрами из вышеуказанных статей без проблем, но так и не могу добиться что бы хоть кто то мог из локалки ходить в инет через эту FreeBSD :((( Локальные службы - FTP, Web and etc пашут без проблем, то есть локально (в самой локалке) всё работает, а вот в инет ну ни как не хотит :( Все конфиги я кстате сюды постил подключившись к фрюхе с другой виндовой тачки по SSH.

Предоставляю мои конфиги и сообщения об ошибках на первой консоли, кто чем может пусть ПОЖАЛУЙСТА поможет :)

# rc.conf

keymap=ru.koi8-r
keychange="61 ^[[K"
scrnmap=koi8-r2cp866
font8x16=cp866b-8x16
font8x14=cp866-8x14
font8x8=cp866-8x8
hostname="samnambulas.lestek.ru"
firewall_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"
firewall_type="lestek"
firewall_logging="YES"
natd_program="/sbin/natd"
natd_interface="fxp0"
tcp_extension="NO"
tcp_keepalive="YES"
tcp_drop_synfin="YES"
tcp_restrcit_rst="YES"
icpm_drop_redirect="YES"
icpm_log_redirect="YES"
ifconfig_lo0="inet 127.0.0.1"
ifconfig_fxp0="inet 212.29.109.64 netmask 255.255.255.240"
ifconfig_fxp1="inet 192.168.125.101 netmask 255.255.255.0"
syslogd_enable="YES"
inetd_enable="NO"
named_enable="NO"
fsck_y_enable="YES"
portmap_enable="NO"
kern_securelevel_enable="YES"
moused_enable="YES"
moused_port="/dev/psm0"
moused_type="auto"
nfs_client_enable="NO"
nfs_server_enable="NO"
nfs_reserved_port_only="NO"
sendmail_enable="NO"
sshd_enable="YES"
sshd_programm="/usr/sbin/sshd"
sshd_flags=""
defaultrouter="212.29.109.100"
getaway_enable="YES"
icpm_bmcastecho="NO"
cron_enable="NO"
clear_tmp_enable="YES"
lpd_enable="NO"
usbd_enable="NO"
kern_securelevel="1"

(ПРИМЕЧАНИЕ: IP-212.29.109.64 fxp0 and defaultrouter="212.29.109.100" и DNS nameserver не настоящие, то бишь не мои по понятным причинам :)

#  /usr/local/etc/rc.firewall

[Ll] [Ee] [Ss] [Tt] [eE] [Kk]

fw="212.29.109.64"
local="192.168.125.101"
net="192.168.125.0/24"
mask="255.255.255.0"

${fwcmd} add pass all from any to any via lo0
${fwcmd} add pass all from any to any via fxp1
${fwcmd} add deny icpm from any to any frag
${fwcmd} add pass icpm from any to any
${fwcmd} add pass tcp from any to any 25 out
${fwcmd} add pass tcp from any 25 to any out
${fwcmd} add pass tcp from any to any 443 out
${fwcmd} add pass tcp from any 443 to any out
${fwcmd} add pass tcp from any to any 80 out via fxp1
${fwcmd} add pass tcp from any 80 to any out via fxp1
${fwcmd} add pass tcp from any to any 80 out
${fwcmd} add pass tcp from any 80 to any out
${fwcmd} add pass tcp from any to any 80
${fwcmd} add pass tcp from any 80 to any
${fwcmd} add allow all from any to any via fxp1
${fwcmd} add pass udp from any to any 53 out
${fwcmd} add pass udp from any 53 to any out
${fwcmd} add pass tcp from any to any 119
${fwcmd} add pass tcp from any 119 to any
${fwcmd} add pass tcp from any to any 110
${fwcmd} add pass tcp from any 110 to any
${fwcmd} add pass tcp from any 21 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 20
${fwcmd} add pass tcp from 192.168.125.15 22 to 192.168.125.101
${fwcmd} add pass tcp from 192.168.125.101 to 192.168.125.15 22
${fwcmd} add pass tcp from 192.168.125.0/24 to any 25 via fxp1
${fwcmd} add pass tcp from any 25 to 192.168.125.0/24 via fxp1
${fwcmd} add pass tcp from 192.168.125.0/24 to any 110 via fxp1
${fwcmd} add pass tcp from any 110 to 192.168.125.0/24 via fxp1
${fwcmd} add pass udp from 192.168.125.0/24 to any 53 via fxp1
${fwcmd} add pass udp from any 53 to 192.168.125.0/24 via fxp1
${fwcmd} add pass tcp from 192.168.125.0/24 to any 80 via fxp1
${fwcmd} add pass tcp from any 80 to 192.168.125.0/24 via fxp1

#  resolv.conf

nameserver="212.29.109.1"
nameserver="212.29.110.1"


Это кажет команда ipfw l :

samnambulas# ipfw l
00100 allow ip from any to any via lo0
00200 allow ip from any to any via fxp1
00300 allow tcp from any to any 25 out
00400 allow tcp from any 25 to any out
00500 allow tcp from any to any 443 out
00600 allow tcp from any 443 to any out
00700 allow tcp from any to any 80 out xmit fxp1
00800 allow tcp from any 80 to any out xmit fxp1
00900 allow tcp from any to any 80 out
01000 allow tcp from any 80 to any out
01100 allow tcp from any to any 80
01200 allow tcp from any 80 to any
01300 allow ip from any to any via fxp1
01400 allow udp from any to any 53 out
01500 allow udp from any 53 to any out
01600 allow tcp from any to any 119
01700 allow tcp from any 119 to any
01800 allow tcp from any to any 110
01900 allow tcp from any 110 to any
02000 allow tcp from any 21 to any
02100 allow tcp from any to any 21
02200 allow tcp from any 20 to any
02300 allow tcp from any to any 20
02600 allow tcp from 192.168.125.15 22 to 192.168.125.101
02700 allow tcp from 192.168.125.101 to 192.168.125.15 22
02800 allow tcp from 192.168.125.0/24 to any 25 via fxp1
02900 allow tcp from any 25 to 192.168.125.0/24 via fxp1
03000 allow tcp from 192.168.125.0/24 to any 110 via fxp1
03100 allow tcp from any 110 to 192.168.125.0/24 via fxp1
03200 allow udp from 192.168.125.0/24 to any 53 via fxp1
03300 allow udp from any 53 to 192.168.125.0/24 via fxp1
03400 allow tcp from 192.168.125.0/24 to any 80 via fxp1
03500 allow tcp from any 80 to 192.168.125.0/24 via fxp1
65535 deny ip from any to any
samnambulas# ifconfig
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 212.29.109.64 netmask 0xfffffffc broadcast 212.29.109.65

-???? тока ща заметил у меня тут не .255 на конце, а почему то на 1 цифру больше просто (может тут трабл какой?)

        inet6 fe80::290:27ff:feb0:decb%fxp0 prefixlen 64 scopeid 0x1
        ether 00:90:27:b0:de:cb
        media: Ethernet autoselect (10baseT/UTP)
        status: active
fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.125.101 netmask 0xffffff00 broadcast 192.168.125.255
        inet6 fe80::290:27ff:feaf:8105%fxp1 prefixlen 64 scopeid 0x2
        ether 00:90:27:af:81:05
        media: Ethernet autoselect (100baseTX)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
faith0: flags=8002<BROADCAST,MULTICAST> mtu 1500
vlan0: flags=0<> mtu 1500
        ether 00:00:00:00:00:00
        vlan: 0 parent interface: <none>

Вот что кажет на первой консоли коды я конекчусь с другой тачки в инет:

FreeBSD/i386 (samnambulas.lestek.ru) (ttyv0)
login: Jan 17 15:18:23 samnambulas last message repeated 2 times
Jan 17 15:26:49 kab /kernel: arp: 212.29.109.100 is on fxp0 but got reply from 0
0:c0:7b:b1:80:36 on fxp1
Jan 17 15:27:00 kab /kernel: arp: 192.168.125.15 is on fxp1 but got reply from 0
0:d0:b7:d5:d9:89 on fxp0
Jan 17 15:28:23 kab /kernel: arp: 192.168.125.15 is on fxp1 but got reply from 0
0:d0:b7:d5:d9:89 on fxp0
Jan 17 15:37:03 kab /kernel: arp: 192.168.125.15 is on fxp1 but got reply from 0
0:d0:b7:d5:d9:89 on fxp0
Jan 17 15:38:23 kab /kernel: arp: 192.168.125.15 is on fxp1 but got reply from 0
0:d0:b7:d5:d9:89 on fxp0
Jan 17 15:39:22 kab /kernel: arp: 212.29.109.100 is on fxp0 but got reply from 0
0:c0:7b:b1:80:36 on fxp1

Как это понимать???

samnambulas# ping 192.168.125.101
PING 192.168.125.101 (192.168.125.101): 56 data bytes
64 bytes from 192.168.125.101: icmp_seq=0 ttl=64 time=0.075 ms
64 bytes from 192.168.125.101: icmp_seq=1 ttl=64 time=0.038 ms
64 bytes from 192.168.125.101: icmp_seq=2 ttl=64 time=0.045 ms
^C
--- 192.168.125.101 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.038/0.053/0.075/0.016 ms
samnambulas# ping 192.168.125.15
PING 192.168.125.15 (192.168.125.15): 56 data bytes
64 bytes from 192.168.125.15: icmp_seq=0 ttl=128 time=0.264 ms
64 bytes from 192.168.125.15: icmp_seq=1 ttl=128 time=0.258 ms
^C
--- 192.168.125.15 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.258/0.261/0.264/0.003 ms
samnambulas# ping 192.168.125.5
PING 192.168.125.5 (192.168.125.5): 56 data bytes
64 bytes from 192.168.125.5: icmp_seq=0 ttl=128 time=0.307 ms
64 bytes from 192.168.125.5: icmp_seq=1 ttl=128 time=0.152 ms
^C
--- 192.168.125.5 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.152/0.229/0.307/0.078 ms
samnambulas# ping 192.168.125.220
PING 192.168.125.220 (192.168.125.220): 56 data bytes
64 bytes from 192.168.125.220: icmp_seq=0 ttl=128 time=0.936 ms
64 bytes from 192.168.125.220: icmp_seq=1 ttl=128 time=0.523 ms
^C
--- 192.168.125.220 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.523/0.730/0.936/0.206 ms
samnambulas# ping www.mtu.ru
ping: cannot resolve www.mtu.ru: Host name lookup failure
samnambulas# ftp
ftp> open 192.168.125.5
Connected to 192.168.125.5.
220-GuildFTPd FTP Server (c) 2001
220-Welcome CoRp$ FTP!
220-Version 0.995
220 Please enter your name:
Name (192.168.125.5:root): xyu
331 User name okay, Need password.
Password:
230 User logged in.
Remote system type is DOS/360.
ftp> ls
227 Entering Passive Mode (192,168,125,5,4,125)
150 Opening ASCII mode data connection for /bin/ls (1015 bytes).
drwxrw-rw- 1 root  root        0 Jan 14 16:32 Alex
drwxrw-rw- 1 root  root        0 Dec 30  2002 Anatoly
drwxrw-rw- 1 root  root        0 Jan 17 11:45 Andrey
drwxrw-rw- 1 root  root        0 Jan 16 17:37 CBeTA
drwxrw-rw- 1 root  root        0 Jan  9 12:42 Dmitry
drwxrw-rw- 1 root  root        0 Jan  9 16:10 Elena
drwxrw-rw- 1 root  root        0 Jan 17 14:16 Irina
drwxrw-rw- 1 root  root        0 Jan  5 17:36 kab
drwxrw-rw- 1 root  root        0 Jan 17 14:15 Luba
drwxrw-rw- 1 root  root        0 Jan 17 15:07 Nastya
drwxrw-rw- 1 root  root        0 Dec 15  2002 Natascha
drwxrw-rw- 1 root  root        0 Dec 19  2001 Olga
drwxrw-rw- 1 root  root        0 Aug 28  2002 Olgaa
drwxrw-rw- 1 root  root        0 Jan 17 12:46 Olya
drwxrw-rw- 1 root  root        0 Oct 17  2002 Sergey
drwxrw-rw- 1 root  root        0 Jul 15  2002 Temp
drwxrw-rw- 1 root  root        0 Jan 15 17:26 Viktor
drwxrw-rw- 1 root  root        0 Jan 17 15:34 Vladimir
drwxrw-rw- 1 root  root        0 Jan  5 13:49 netscan
226 Transfer complete. 0 bytes in 0.00 sec. (000.00 Kb/s).
ftp> close
221 Goodbye.  Control connection closed.
ftp> open ftp.newmail.ru
ftp: ftp.newmail.ru: No address associated with hostname
ftp> quit
samnambulas# ping www.newmail.ru
ping: cannot resolve www.newmail.ru: Host name lookup failure
samnambulas# ping 212.48.140.150
PING 212.48.140.150 (212.48.140.150): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
^C
--- 212.48.140.150 ping statistics ---
6 packets transmitted, 0 packets received, 100% packet loss
samnambulas#

Жду Ваших предложений и коментариев...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: ipfw - в чём может быть трабл???"
Сообщение от dukie Искать по авторуВ закладки on 19-Янв-03, 14:56  (MSK)
В rc.conf добавить natd_enable="YES"
А то в правилах файрвола diverta не вижу - а без него 192.168.. далеко не уйдет.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 20-Янв-03, 12:50  (MSK)
>В rc.conf добавить natd_enable="YES"
>А то в правилах файрвола diverta не вижу - а без него
>192.168.. далеко не уйдет.

Включил, один фиг ни чего не работает :(


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: ipfw - в чём может быть трабл???"
Сообщение от Ilia emailИскать по авторуВ закладки on 19-Янв-03, 23:42  (MSK)
>ifconfig_fxp0="inet 212.29.109.64 netmask 255.255.255.240"
/.../
>samnambulas# ifconfig
>fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        inet 212.29.109.64 netmask 0xfffffffc
>broadcast 212.29.109.65

...задолбался читать твои конфиги, в общем. Правила ipfw вычитывать мне лень, а вот почему у тебя маска для fxp0 получилась 0xfffffffc (255.255.255.252), хотя в конфиге указана .240 - это непонятно.

>-???? тока ща заметил у меня тут не .255 на конце, а
>почему то на 1 цифру больше просто (может тут трабл какой?)

С такой маской броадкаст именно таким и будет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 20-Янв-03, 17:36  (MSK)
>>ifconfig_fxp0="inet 212.29.109.64 netmask 255.255.255.240"
>/.../
>>samnambulas# ifconfig
>>fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>>        inet 212.29.109.64 netmask 0xfffffffc
>>broadcast 212.29.109.65
>
>...задолбался читать твои конфиги, в общем. Правила ipfw вычитывать мне лень, а
>вот почему у тебя маска для fxp0 получилась 0xfffffffc (255.255.255.252), хотя
>в конфиге указана .240 - это непонятно.

Чё тут непонятного вручную я правил просто :)

(ПРИМЕЧАНИЕ: IP-212.29.109.64 fxp0 and defaultrouter="212.29.109.100" и DNS nameserver не настоящие, то бишь не мои по понятным причинам :)

>
>>-???? тока ща заметил у меня тут не .255 на конце, а
>>почему то на 1 цифру больше просто (может тут трабл какой?)
>
>С такой маской броадкаст именно таким и будет.

буду теперь знать :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 20-Янв-03, 17:42  (MSK)
Люди добрые - Help Me!
Уж всё расписал по полкам разложил фиг кто помочь может, как кратко напишешь судь вопроса, так начинают писать - мол дай тот конфиг, да тот, типа пальцы погнуть - вот вам все мои конфиги (см. выше).

Сроки поджимают на носу сессия :)

Подскажите помажите, хоть кто разбирается в ipfw какие правила по минимуму пробить что бы вся эта байда заработала?

(В кратце имею две сетевухи одна смотрит в инет другая в локалку, с фрюхи в инет хожу всё зашибись, как заставить локалку по инету лазить через этот чёртов natd + ipfw ????)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: ipfw - в чём может быть трабл???"
Сообщение от LinaS emailИскать по авторуВ закладки on 20-Янв-03, 17:51  (MSK)
>Люди добрые - Help Me!
>Уж всё расписал по полкам разложил фиг кто помочь может, как кратко
>напишешь судь вопроса, так начинают писать - мол дай тот конфиг,
>да тот, типа пальцы погнуть - вот вам все мои конфиги
>(см. выше).
>
>Сроки поджимают на носу сессия :)
>
>Подскажите помажите, хоть кто разбирается в ipfw какие правила по минимуму пробить
>что бы вся эта байда заработала?
>
>(В кратце имею две сетевухи одна смотрит в инет другая в локалку,
>с фрюхи в инет хожу всё зашибись, как заставить локалку по
>инету лазить через этот чёртов natd + ipfw ????)

а где у тебя в списке правил для ipfw divert то?

добавь в начало (после правила про lo например)
ipfw add divert natd ip from any to any via ext_iface

ext_iface - твой интерфейс в инет (забыла какой там у тебя)

ну и натд должен быть запущен

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: ipfw - в чём может быть трабл???"
Сообщение от LinaS emailИскать по авторуВ закладки on 20-Янв-03, 18:03  (MSK)
>># rc.conf
>
>keymap=ru.koi8-r
>keychange="61 ^[[K"
>scrnmap=koi8-r2cp866
>font8x16=cp866b-8x16
>font8x14=cp866-8x14
>font8x8=cp866-8x8
>hostname="samnambulas.lestek.ru"
>firewall_enable="YES"
>firewall_script="/usr/local/etc/rc.firewall"
>firewall_type="lestek"
>firewall_logging="YES"
>natd_program="/sbin/natd"
>natd_interface="fxp0"

natd_enable="YES" не забыл? :)


>#  /usr/local/etc/rc.firewall
>
>[Ll] [Ee] [Ss] [Tt] [eE] [Kk]
>
>fw="212.29.109.64"
>local="192.168.125.101"
>net="192.168.125.0/24"
>mask="255.255.255.0"
>
>${fwcmd} add pass all from any to any via lo0

см ниже про divert
сунь его например сюда для начала

>samnambulas# ipfw l

HINT: ipfw show покажет также значение счетчиков, что может быть очччень полезно - можно посмотреть, куда собственно попадают пакеты

HINT2: а если еще и log к правилам deny прицепить (временно или нет не важно), то можно посмотреть, почему у тебя собственно permission denied при пинге :)


>Вот что кажет на первой консоли коды я конекчусь с другой тачки
>в инет:
>
>FreeBSD/i386 (samnambulas.lestek.ru) (ttyv0)
>login: Jan 17 15:18:23 samnambulas last message repeated 2 times
>Jan 17 15:26:49 kab /kernel: arp: 212.29.109.100 is on fxp0 but got
>reply from 0
>0:c0:7b:b1:80:36 on fxp1
>Jan 17 15:27:00 kab /kernel: arp: 192.168.125.15 is on fxp1 but got
>reply from 0
>0:d0:b7:d5:d9:89 on fxp0
>Jan 17 15:28:23 kab /kernel: arp: 192.168.125.15 is on fxp1 but got
>reply from 0
>0:d0:b7:d5:d9:89 on fxp0
>Jan 17 15:37:03 kab /kernel: arp: 192.168.125.15 is on fxp1 but got
>reply from 0
>0:d0:b7:d5:d9:89 on fxp0
>Jan 17 15:38:23 kab /kernel: arp: 192.168.125.15 is on fxp1 but got
>reply from 0
>0:d0:b7:d5:d9:89 on fxp0
>Jan 17 15:39:22 kab /kernel: arp: 212.29.109.100 is on fxp0 but got
>reply from 0
>0:c0:7b:b1:80:36 on fxp1
>
>Как это понимать???

хм
оба интерфейса в один свич воткнуты например?


>samnambulas# ping www.mtu.ru
>ping: cannot resolve www.mtu.ru: Host name lookup failure

днс не пашет
а если nslookup или dig посмотреть?

>samnambulas# ping 212.48.140.150
>PING 212.48.140.150 (212.48.140.150): 56 data bytes
>ping: sendto: Permission denied
>ping: sendto: Permission denied
>ping: sendto: Permission denied
>ping: sendto: Permission denied
>ping: sendto: Permission denied
>ping: sendto: Permission denied
>Жду Ваших предложений и коментариев...

ну смотри выше - насчет ipfw и остальное

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: ipfw - в чём может быть трабл???"
Сообщение от Scy emailИскать по авторуВ закладки on 20-Янв-03, 23:57  (MSK)
Поделюсь тем как я ставил Бсдю для тех же задачь !!!

1)
/etc/rc.conf  
ipnat_enable="YES"

2)
/etc/ipnat.rules  (если нет то создай)
map rl0 0/0 -> 0/32 proxy port ftp ftp/tcp (Это для фтп)
map rl0 10.0.0.0/24 -> Внешний ип/32 proxy port ftp ftp/tcp
map rl0 10.0.0.0/24 -> Внешний ип/32  (а это тебе больше всего нужно)
(rl0 - Мой внешний интерфейс, 10.0.0.0/24 - моя сеть
Внешний ип/32 - /32 у меня маска 255,255,255,252)

3)
# reboot

После этого у меня внутренние тачки в инет начали ходить !!!

Потом у меня была зопара с резкой скорости пришлось пересобирать ядро !!!

Если надо поподробний и с примерами конфигов то скажи !!! А пока писать лень !!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: ipfw - в чём может быть трабл???"
Сообщение от Garry emailИскать по авторуВ закладки on 21-Янв-03, 10:06  (MSK)
1. Добавь divert 8668 ip from any to any via fxp0
2. У тебя интерфейсы перепутаны - переткни их наоборот
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 12:09  (MSK)
>1. Добавь divert 8668 ip from any to any via fxp0
>2. У тебя интерфейсы перепутаны - переткни их наоборот

1. Уже советовали - делал, результат 0.
2. Ни чего не перепутанно fxp0 смотрит в инет, а fxp1 смотрит в локалку :)
посмотри выше мою команду ifconfig :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 12:06  (MSK)
>Поделюсь тем как я ставил Бсдю для тех же задачь !!!
>
>1)
>/etc/rc.conf
>ipnat_enable="YES"
>
>2)
>/etc/ipnat.rules  (если нет то создай)
>map rl0 0/0 -> 0/32 proxy port ftp ftp/tcp (Это для фтп)
>map rl0 10.0.0.0/24 -> Внешний ип/32 proxy port ftp ftp/tcp
>map rl0 10.0.0.0/24 -> Внешний ип/32  (а это тебе больше всего нужно)
>(rl0 - Мой внешний интерфейс, 10.0.0.0/24 - моя сеть
>Внешний ип/32 - /32 у меня маска 255,255,255,252)
>
>3)
># reboot
>
>После этого у меня внутренние тачки в инет начали ходить !!!
>
>Потом у меня была зопара с резкой скорости пришлось пересобирать ядро !!!
>
>
>Если надо поподробний и с примерами конфигов то скажи !!! А пока
>писать лень !!!

Прочитав твой постинг я подумал вот оно я спасён (ибо человек чётко и доходчиво написал что к чему) :)

но проделав всё как ты описал получил тот же результат - с фри в инет хожу из локалки нет :(

Посему прошу дай более детальную инфу, а лучше скинь на corps@land.ru

Да и возник ещё один не маловажный вопрос у тя при этом firewall включён???

firewall_enable="YES"
firewall_script="/usr/local/etc/rc.firewall"
firewall_type="closed" - Если ДА, то в особенности интересует какой ты используешь тип?
firewall_logging="YES"

Жду коментариев...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: ipfw - в чём может быть трабл???"
Сообщение от Scy emailИскать по авторуВ закладки on 21-Янв-03, 14:38  (MSK)
>Да и возник ещё один не маловажный вопрос у тя при этом
>firewall включён???
>
>firewall_enable="YES"
>firewall_script="/usr/local/etc/rc.firewall"
>firewall_type="closed" - Если ДА, то в особенности интересует какой ты используешь тип?
>
>firewall_logging="YES"
>
>Жду коментариев...

Не большое отступление !!!
(Скажу сразу я в БСД почти ноль но с помощью openet.ru настроил всё как хотел !!)

Ты не забыл указать на локальных тачка что твоя машина gateway_ем является !!! (Хотя думаю что нет !!!)

Это весь мой /etc/rc.conf
kern_securelevel_enable="NO"
sshd_enable="YES"
ifconfig_rl1="inet 10.0.0.254  netmask 255.255.255.0"
ifconfig_rl0="inet xxx.xxx.xxx.xxx  netmask 255.255.255.252"
defaultrouter="xxx.xxx.xxx.xxx"
ipnat_enable="YES"
linux_enable="YES"
usbd_enable="NO"
hostname="njn.ee"
moused_enable="YES"
gateway_enable="YES"   (Посмотри наето !!! Помойму когда етого не было ничего не пахало !!!)
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -g bind"
keymap=ru.koi8-r
keychange="61 ^[[K"
scrnmap=koi8-r2cp866
font8x16=cp866b-8x16
font8x14=cp866-8x14
font8x8=cp866-8x8

!!!
Короче времени нет я побежал сеть делать вернусь допишу !!!

И вобще залезай ко мне в асю: 145558222  
  
Удачи !!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 15:33  (MSK)
Ребята Help Me Please!!!! Ну памажите ради бога!!!!!

Вообщем прекрутил я squid от безисходности :(

УРА! по вебу люди поползли при чём так, что без принудительного использования прокси (пробития сего в браузере клиента) инет не работает :))) Но! Может это и есть мой трабл с natd+ipfw почему без него не ходят пакеты???

Ещё интересный момент локалка вся пингуется, а также с любой локальной машины можно пинговать внешний IP который смотрит в ИНЕТ, НО! его и только его, а что то типа ping www.mtu.ru пишет, цитирую: "Ping request could not find host www.mtu.ru. Please check the name and try again."

Естественно у всех клиентов пробиты ДНС сервера прова, а также gateway по умолчанию: 192.168.125.101

Остались ещё две вещи ПОЧТА и FTP! Ну как же мне заставить их работать
Может кто всё таки подскажет?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: ipfw - в чём может быть трабл???"
Сообщение от LopDog Искать по авторуВ закладки on 21-Янв-03, 15:46  (MSK)
Можно попробовать такой вариант:

В ядре обязательно должно быть:

IPFIREWALL
IPDIVERT

=====
/etc/rc.conf
firewall_type=open
=====

=====
natd -n твой_внешний_интерфейс
ipfw add 200 divert natd ip from any to any via твой_внешний_интерфейс
=====

Заработает, а потом можешь доделать(переделать) по своему вкусу.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: ipfw - в чём может быть трабл???"
Сообщение от Scy emailИскать по авторуВ закладки on 21-Янв-03, 16:10  (MSK)
По сборке ядра сам долго с этим парился !!!

Чтобы лишнию инфу не рыть !!!

cd /sys/i386/conf
cp GENERIC new_kernel

Редактируеш new_kernel как те надо

make config
cd ../../compile/new_kernel
make && make install && reboot

Вроде так !!!


P.S. Может пригодиться !!!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 17:32  (MSK)
>По сборке ядра сам долго с этим парился !!!
>
>Чтобы лишнию инфу не рыть !!!
>
>cd /sys/i386/conf
>cp GENERIC new_kernel
>
>Редактируеш new_kernel как те надо
>
>make config
>cd ../../compile/new_kernel

сперва не помешает make depend для отладочки, чтобы потом ошибки там разные при сборке не вылезли

>make && make install && reboot
>
>Вроде так !!!
>
>
>P.S. Может пригодиться !!!

СПАСИБО, но как раз тут то я не увидел ничегошеньки сложного :)

Моя первая пересборка ядра была наудивление лёгкой,  мне даже понравилось, особенно когда по загрузке KDE я услышал музыку из-за которой и пересобирал ядрецо :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: ipfw - в чём может быть трабл???"
Сообщение от cynic Искать по авторуВ закладки on 21-Янв-03, 16:47  (MSK)
А ты IP forwarding включал?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 17:13  (MSK)
>А ты IP forwarding включал?

Такссссс, а это ещё что, и где его включать (rc.conf, ядро, ещё где то)?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 16:52  (MSK)
>Hi All! Сёдня я поделюсь с вами историей как я (новичок в
>*nix and FreeBSD системах) решился ставить сервак на FreeBSD 4.7
>И так по порядку:
>
>1) В наличии имеем следующие железяки - Lucent DSL Pipe (хаб/4 порта+DSL
>модем) две сетевухи Intel одна fxp0 соеденяется с Lucent DSL Pipe,
>вторая fxp1 смотрит в локалку.
>
>2)Использовал рекомендации следующих статей:
>
>- http://freeunix.unicor.ru/content.php?page=Сеть&id=138
>- http://freeunix.unicor.ru/content.php?page=Сеть&id=80
>- http://freeunix.unicor.ru/content.php?page=Сеть&id=105
>
>3)Сколько не бился ни чего не добился :( Инсталировал как два пальца,
>ядро пересобрал с соответсвующими параметрами из вышеуказанных статей без проблем, но
>так и не могу добиться что бы хоть кто то мог
>из локалки ходить в инет через эту FreeBSD :((( Локальные службы
>- FTP, Web and etc пашут без проблем, то есть локально
>(в самой локалке) всё работает, а вот в инет ну ни
>как не хотит :( Все конфиги я кстате сюды постил подключившись
>к фрюхе с другой виндовой тачки по SSH.
>
>Предоставляю мои конфиги и сообщения об ошибках на первой консоли, кто чем
>может пусть ПОЖАЛУЙСТА поможет :)
>

Короче не парься. Я это 1000 раз делал и вслепую могу сделать ещё раз.
Рисую конфиг "в инет ходють все" если что потом в ipfw правила перепишешь.

в rc.conf должно быть следущее:

gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"

в natd.conf:

same_ports      yes
use_sockets     yes

ядро компелим с опциями:

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT

в rc.firewall пишем:

#!/bin/sh
#
# enable transfer via loopback

/sbin/ipfw -q flush

/sbin/ipfw add divert natd all from any to any via fxp0

/sbin/ipfw add pass all from any to any

Только особо над ядром не изголяйся если хочешь чтоб всё сразу заработало. Возьми генерик и добавь к нему эти опции. А когда всё заработает можно уже и ядро урезать и правила для фаервола выставлять.
Залезай ко мне на сайт переодически http://goodwin.net.ru я там сваливаю в кучу доку о постройке серверов. Удачи!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 17:27  (MSK)
>Короче не парься. Я это 1000 раз делал и вслепую могу сделать
>ещё раз.
>Рисую конфиг "в инет ходють все" если что потом в ipfw правила
>перепишешь.
>
>в rc.conf должно быть следущее:
>
>gateway_enable="YES"
>firewall_enable="YES"
>firewall_type="OPEN"
>natd_enable="YES"
>natd_interface="fxp0"
>natd_flags="-f /etc/natd.conf"
>
>в natd.conf:
>
>same_ports      yes
>use_sockets     yes
>
>ядро компелим с опциями:
>
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_VERBOSE_LIMIT=100
>options         IPDIVERT

ДО СЕГО МОМЕНТА АБСОЛЮТНО ВСЁ ПОНЯТНО :) и именно так всё и сделанно


А ВОТ НАЧИНАЯ ОТ СЕДА НЕ ХЕРА НЕ ПОНИМАЮ :( rc.firewall же не хилый файл с кучай там разной инфы по умолчанию я его затираю нахрен???????
Али куда, что ты пишешь ниже, писать если он будет брать из раздела

[Oo] [Pp] [Ee] [Nn]  {как я понял почитав его самого и мануалы да и моими эксперементами не хилами за эти дни - безрезультатными :( тока благодоря squid веб хоть запахал :) }

>в rc.firewall пишем:
>
>#!/bin/sh
>#
># enable transfer via loopback
>
>/sbin/ipfw -q flush
>
>/sbin/ipfw add divert natd all from any to any via fxp0
>
>/sbin/ipfw add pass all from any to any
>
>Только особо над ядром не изголяйся если хочешь чтоб всё сразу заработало.
>Возьми генерик и добавь к нему эти опции. А когда всё
>заработает можно уже и ядро урезать и правила для фаервола выставлять.
>
>Залезай ко мне на сайт переодически http://goodwin.net.ru я там сваливаю в кучу
>доку о постройке серверов. Удачи!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 17:30  (MSK)
>>Короче не парься. Я это 1000 раз делал и вслепую могу сделать
>>ещё раз.
>>Рисую конфиг "в инет ходють все" если что потом в ipfw правила
>>перепишешь.
>>
>>в rc.conf должно быть следущее:
>>
>>gateway_enable="YES"
>>firewall_enable="YES"
>>firewall_type="OPEN"
>>natd_enable="YES"
>>natd_interface="fxp0"
>>natd_flags="-f /etc/natd.conf"
>>
>>в natd.conf:
>>
>>same_ports      yes
>>use_sockets     yes
>>
>>ядро компелим с опциями:
>>
>>options         IPFIREWALL
>>options         IPFIREWALL_VERBOSE
>>options         IPFIREWALL_VERBOSE_LIMIT=100
>>options         IPDIVERT
>
>ДО СЕГО МОМЕНТА АБСОЛЮТНО ВСЁ ПОНЯТНО :) и именно так всё и
>сделанно
>
>
>А ВОТ НАЧИНАЯ ОТ СЕДА НЕ ХЕРА НЕ ПОНИМАЮ :( rc.firewall же
>не хилый файл с кучай там разной инфы по умолчанию я
>его затираю нахрен???????
>Али куда, что ты пишешь ниже, писать если он будет брать из
>раздела
>
>[Oo] [Pp] [Ee] [Nn]  {как я понял почитав его самого и
>мануалы да и моими эксперементами не хилами за эти дни -
>безрезультатными :( тока благодоря squid веб хоть запахал :) }
>

Всё нахрен убери в rc.firewall и напиши только то что я сказал. Стукнись в аську вобще то 4060401

  Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 17:38  (MSK)
ХОРОШО, что прям ща ответ твой получил :)
Прям ща пойду делать как ты сказал, ну если опять не заработает я вообще офигею в чём же может быть дело :(

Вся это копня в разных конфигах уже вправила в мозги куча инфы и теперь я уже и сам перечитав стока мануалов и ваших советов, за что огромное Всем спасибо!!! не фига не понимаю ну почему же блин вся эта байда у меня не заводиться, всё по логике правильно, а не пашет :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 21-Янв-03, 17:37  (MSK)
>[Oo] [Pp] [Ee] [Nn]  {как я понял почитав его самого и
>мануалы да и моими эксперементами не хилами за эти дни -
>безрезультатными :( тока благодоря squid веб хоть запахал :) }

твоя проблема в том, что начитавшись кучу всяких порой несовместимых инструкций ты слишком много всего наворотил. если open для начала тебя устраивает, поднять все можно правкой одного только /etc/rc.conf, больше ничего трогать не надо. так что все свои траблы ты себе создал сам. впрочем, это не смертельно :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 17:43  (MSK)
>>[Oo] [Pp] [Ee] [Nn]  {как я понял почитав его самого и
>>мануалы да и моими эксперементами не хилами за эти дни -
>>безрезультатными :( тока благодоря squid веб хоть запахал :) }
>
>твоя проблема в том, что начитавшись кучу всяких порой несовместимых инструкций ты
>слишком много всего наворотил. если open для начала тебя устраивает, поднять
>все можно правкой одного только /etc/rc.conf, больше ничего трогать не надо.
>так что все свои траблы ты себе создал сам. впрочем, это
>не смертельно :)

Да я и сам уже понял, что переборщил не подетски :) ща пойду всё чистить к чертям собачим :) и напишу нулячии конфиги которые посоветовал мне GoodWin :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 21-Янв-03, 17:47  (MSK)
>Да я и сам уже понял, что переборщил не подетски :) ща
>пойду всё чистить к чертям собачим :) и напишу нулячии конфиги
>которые посоветовал мне GoodWin :)

special note:
rc.firewall и natd.conf не трогай
все запашет и так.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 17:51  (MSK)
>>Да я и сам уже понял, что переборщил не подетски :) ща
>>пойду всё чистить к чертям собачим :) и напишу нулячии конфиги
>>которые посоветовал мне GoodWin :)
>
>special note:
>rc.firewall и natd.conf не трогай
>все запашет и так.


rc.firewall можно не трогать, а natd.conf если я не ошибаюсь по определению не существует в системе :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 21-Янв-03, 17:54  (MSK)
>rc.firewall можно не трогать, а natd.conf если я не ошибаюсь по определению
>не существует в системе :)
он и не нужен
natd_flags="-u"
вполне подходит.
для любителей экспериментов
natd_flags="-u -s"
еще кстати можно добавить, что будет работать и без флагов.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

32. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 18:00  (MSK)
>>rc.firewall можно не трогать, а natd.conf если я не ошибаюсь по определению
>>не существует в системе :)
>он и не нужен
>natd_flags="-u"
>вполне подходит.
>для любителей экспериментов
>natd_flags="-u -s"
>еще кстати можно добавить, что будет работать и без флагов.


Полностью согласен :)
Всё зависит от того кто по какой доке учился. У меня например нихрена не заработало пока я

dynamic        yes

в natd.conf не поставил.

А как это сделать флагами разбиратся не было времени.

Хотя по моему разницы в принципе никакой нету. Создавать конфиг или нет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 17:52  (MSK)
>>Да я и сам уже понял, что переборщил не подетски :) ща
>>пойду всё чистить к чертям собачим :) и напишу нулячии конфиги
>>которые посоветовал мне GoodWin :)
>
>special note:
>rc.firewall и natd.conf не трогай
>все запашет и так.


rc.firewall можно не трогать, а natd.conf если я не ошибаюсь по определению не существует в системе :)

А вообще rc.firewall, был вписан мною в таком виде потому что после того как всё заработает в него правила добавить будет много проще :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "RE: ipfw - в чём может быть трабл???"
Сообщение от GoodWin emailИскать по авторуВ закладки on 21-Янв-03, 17:48  (MSK)
Короче как сделаешь мыльни мне пока время есть расскажу как мыло и фтп сделать :) goodwin@vworld.ru

  Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: ipfw - в чём может быть трабл???"
Сообщение от poige emailИскать по авторуВ закладки on 21-Янв-03, 17:52  (MSK)
>Hi All! Сёдня я поделюсь с вами историей как я (новичок в
>*nix and FreeBSD системах) решился ставить сервак на FreeBSD 4.7

Ты веришь, что это кому-то нужно? Я верю, что таких "историй" 1000-и.

[...]

>${fwcmd} add pass all from any to any via lo0
>${fwcmd} add pass all from any to any via fxp1
>${fwcmd} add deny icpm from any to any frag
>${fwcmd} add pass icpm from any to any
___________________^^^^_______________

если ты это все теми же 2-я пальцами вбивал, то мне тя уже жаль больше, чем я мог предположить. Если же не ими, то сдается мне, ты уж больно круто ядро FreeBSD перекомпилил.

>${fwcmd} add pass tcp from any to any 25 out
>${fwcmd} add pass tcp from any 25 to any out

Ты хотел получить нечто вроде "туда можно" и "оттуда можно"?
Тогда нужно помнить, что антоним для "out" -- "in".
Впрочем, читай далее...

>${fwcmd} add pass tcp from any to any 119
>${fwcmd} add pass tcp from any 119 to any

А тут (и в др. подобных местах) ты оставил свою эту машину открытой -- ничто не мешает потенц. злоумышленнику использовать для аттаки порт 119 своей машины, которому, ты сам разрешил доступ ко всему (any). Даже BSD's telnet позволяет указать порт источника, чего уж говорить про спец. софт для ломки?

>Жду Ваших предложений и коментариев...

ты точно хочешь использовать UNIX?...

/poige, http://www.morning.ru/~poige/

  Рекомендовать в FAQ | Cообщить модератору | Наверх

31. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 21-Янв-03, 17:59  (MSK)

>ты точно хочешь использовать UNIX?...
>

да ладно тебе... человек просто начитался всяких инструкций и у него голова опухла. с кем не бывало по молодости :) через пару лет пройдет.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

34. "RE: ipfw - в чём может быть трабл???"
Сообщение от poige emailИскать по авторуВ закладки on 21-Янв-03, 18:28  (MSK)
>
>>ты точно хочешь использовать UNIX?...
>>
>
>да ладно тебе... человек просто начитался всяких инструкций и у него голова
>опухла. с кем не бывало по молодости :) через пару лет
>пройдет.

Я _уверен_, что не следует увлекаться постингом своих трабл не удосужившись уделить время документации.

/poige, http://www.morning.ru/~poige/

  Рекомендовать в FAQ | Cообщить модератору | Наверх

37. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 22-Янв-03, 10:21  (MSK)
>>
>>>ты точно хочешь использовать UNIX?...
>>>
>>
>>да ладно тебе... человек просто начитался всяких инструкций и у него голова
>>опухла. с кем не бывало по молодости :) через пару лет
>>пройдет.
>
>Я _уверен_, что не следует увлекаться постингом своих трабл не удосужившись уделить
>время документации.

абсолютно правильно, особенно это касается юникс. но в данном случае проблема в слишком большом количестве документации.
на самом деле очень вредно читать несколько разных доков на одну тему. лучше найти один хороший (хэндбук например) и читать его.
новички зачастую этого простого принципа не понимают, да и неоткуда им его узнать.
раз уж речь об этом зашла, закину сюда ссылочку:
http://ln.com.ua/~openxs/articles/smart-questions-ru.html
по-моему, ее стоит периодически здесь публиковать, будет не вредно.
рекомендую всем кто не читал.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

39. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 11:46  (MSK)
>новички зачастую этого простого принципа не понимают, да и неоткуда им его
>узнать.

Странно, но когда я хорошо знаю суть вопроса, то человек у меня спросит лишь раз. Почему? Потому что получив мой ответ у него всё заробатает.

>раз уж речь об этом зашла, закину сюда ссылочку:
>http://ln.com.ua/~openxs/articles/smart-questions-ru.html
>по-моему, ее стоит периодически здесь публиковать, будет не вредно.
>рекомендую всем кто не читал.

Спасибо за ссылку :) Я это уже всё читал :) И помойму задаю вопросы согласно данных там рекомендаций, по крайне мере очень приближённо :)

Ты думаешь я не читал мануалов, доков и всё прочего, ошибаешься - сюда я обратился именно потому, что у меня всё это дело не завелось и я просто в растеренности и не знаю в чём же причина, хотя и догадываюсь, что пару правильных строк и всё заработало бы.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

40. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 12:02  (MSK)
>Я _уверен_, что не следует увлекаться постингом своих трабл не удосужившись уделить
>время документации.

ПОЛНОСТЬЮ СОГЛАСЕН %) Но я обратился сюда именно тогда, когда согласно этим самым докам должно всё работать, а у меня не работает...


  Рекомендовать в FAQ | Cообщить модератору | Наверх

33. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 21-Янв-03, 18:07  (MSK)
>>Hi All! Сёдня я поделюсь с вами историей как я (новичок в
>>*nix and FreeBSD системах) решился ставить сервак на FreeBSD 4.7
>
>Ты веришь, что это кому-то нужно? Я верю, что таких "историй" 1000-и.
>
>
>[...]
>
>>${fwcmd} add pass all from any to any via lo0
>>${fwcmd} add pass all from any to any via fxp1
>>${fwcmd} add deny icpm from any to any frag
>>${fwcmd} add pass icpm from any to any
>___________________^^^^_______________
>
>если ты это все теми же 2-я пальцами вбивал, то мне тя
>уже жаль больше, чем я мог предположить. Если же не ими,
>то сдается мне, ты уж больно круто ядро FreeBSD перекомпилил.
>
>>${fwcmd} add pass tcp from any to any 25 out
>>${fwcmd} add pass tcp from any 25 to any out
>
>Ты хотел получить нечто вроде "туда можно" и "оттуда можно"?
>Тогда нужно помнить, что антоним для "out" -- "in".
>Впрочем, читай далее...
>
>>${fwcmd} add pass tcp from any to any 119
>>${fwcmd} add pass tcp from any 119 to any
>
>А тут (и в др. подобных местах) ты оставил свою эту машину
>открытой -- ничто не мешает потенц. злоумышленнику использовать для аттаки порт
>119 своей машины, которому, ты сам разрешил доступ ко всему (any).
>Даже BSD's telnet позволяет указать порт источника, чего уж говорить про
>спец. софт для ломки?
>
>>Жду Ваших предложений и коментариев...
>
>ты точно хочешь использовать UNIX?...

ДА хочу :) Просто сроки малые и я в этом IPFW ни чего вообще не догоняю, а пройдёт время я ещё и с тобой поспорю, где и как всё открыто :)
и 2-ое я не програмист и не знаю всякие там C++ и всё такое, но считаю, что и без знание языков *nix системы намного, намного лучше маздая %)
>
>/poige, http://www.morning.ru/~poige/


  Рекомендовать в FAQ | Cообщить модератору | Наверх

35. "RE: ipfw - в чём может быть трабл???"
Сообщение от poige emailИскать по авторуВ закладки on 21-Янв-03, 18:52  (MSK)
>>ты точно хочешь использовать UNIX?...
>
>ДА хочу :) Просто сроки малые и я в этом IPFW ни
>чего вообще не догоняю, а пройдёт время я ещё и с
>тобой поспорю, где и как всё открыто :)
>и 2-ое я не програмист и не знаю всякие там C++ и
>всё такое, но считаю, что и без знание языков *nix системы
>намного, намного лучше маздая %)

что ж, может быть на http://www.clonaid.com/ и появятся соотв. GPLed патчи...

:-)

/poige, http://www.morning.ru/~poige/

  Рекомендовать в FAQ | Cообщить модератору | Наверх

41. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 12:04  (MSK)
>что ж, может быть на http://www.clonaid.com/ и появятся соотв. GPLed патчи...
>
>:-)

Чтож очень рад, что ты имеешь хорошее чувство юмора :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

49. "RE: ipfw - в чём может быть трабл???"
Сообщение от poige emailИскать по авторуВ закладки on 22-Янв-03, 14:45  (MSK)
>Чтож очень рад, что ты имеешь хорошее чувство юмора :)

;-)

/poige


  Рекомендовать в FAQ | Cообщить модератору | Наверх

36. "RE: ipfw - в чём может быть трабл???"
Сообщение от Scy emailИскать по авторуВ закладки on 22-Янв-03, 03:07  (MSK)
Так у тебя заработало или нет ???
  Рекомендовать в FAQ | Cообщить модератору | Наверх

38. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 22-Янв-03, 10:22  (MSK)
>Так у тебя заработало или нет ???

у него заработало через сквид, а это мягко говоря не совсем то.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

42. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 12:16  (MSK)
>Так у тебя заработало или нет ???

НЕТ - работает только www через Squid


  Рекомендовать в FAQ | Cообщить модератору | Наверх

43. "RE: ipfw - в чём может быть трабл???"
Сообщение от mike emailИскать по авторуВ закладки on 22-Янв-03, 12:48  (MSK)
Все это хорошо и правильно :)
Но про одно вы забыли:
в kernel включить опцию BRIDGE
  Рекомендовать в FAQ | Cообщить модератору | Наверх

44. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 22-Янв-03, 12:52  (MSK)
>Все это хорошо и правильно :)
>Но про одно вы забыли:
>в kernel включить опцию BRIDGE

мост нужен для соединения сегментов сети. а здесь сети разные. нужен шлюз а не мост. или я не прав?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

45. "RE: ipfw - в чём может быть трабл???"
Сообщение от mike emailИскать по авторуВ закладки on 22-Янв-03, 12:58  (MSK)
>мост нужен для соединения сегментов сети. а здесь сети разные. нужен шлюз
>а не мост. или я не прав?
Bridge нужен, что бы одна сетевуха видела другую(ие)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

46. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 22-Янв-03, 13:10  (MSK)
>>мост нужен для соединения сегментов сети. а здесь сети разные. нужен шлюз
>>а не мост. или я не прав?
>Bridge нужен, что бы одна сетевуха видела другую(ие)

правильно, а в данном случае для этого нужен
gateway_enable=YES
в /etc/rc.conf
все это в хэндбуке подробно описано
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/routing.html
ну и про мосты там же есть
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/bridging.html

  Рекомендовать в FAQ | Cообщить модератору | Наверх

47. "RE: ipfw - в чём может быть трабл???"
Сообщение от mike emailИскать по авторуВ закладки on 22-Янв-03, 13:40  (MSK)
>>>мост нужен для соединения сегментов сети. а здесь сети разные. нужен шлюз
gateway_enable=YES нужен по-любому
но без BRIDGE фря не будет роутить пакеты из одной сетевухи в другую
По-этому одна сеть не увидит другую.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

48. "RE: ipfw - в чём может быть трабл???"
Сообщение от LinaS emailИскать по авторуВ закладки on 22-Янв-03, 13:50  (MSK)
>>>>мост нужен для соединения сегментов сети. а здесь сети разные. нужен шлюз
>gateway_enable=YES нужен по-любому
>но без BRIDGE фря не будет роутить пакеты из одной сетевухи в
>другую
>По-этому одна сеть не увидит другую.

очень даже будет роутить
если сети на сетевухах разные, бридж не нужен
здесь я так понимаю именно такая ситуация
для этого как раз нужен gateway_enable
а BRIDGE - это несколько о другом, как ранее Den написал

  Рекомендовать в FAQ | Cообщить модератору | Наверх

50. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 15:55  (MSK)
Вот так и пойми нужно то не нужно это, а чётко у кого у самого работает ответа нет :)
Вот внимательнейшим образом прочёл следующие статьи:

http://www2.freebsd.org.ru/handbook/natd.html
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/natd.html

И что же, у меня всё как в них написано замучено, а результат один ни фига не работает :(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

51. "RE: ipfw - в чём может быть трабл???"
Сообщение от mike emailИскать по авторуВ закладки on 22-Янв-03, 16:03  (MSK)
ipfw add 50 divert natd all from any to any via ${natd_interface}

  Рекомендовать в FAQ | Cообщить модератору | Наверх

52. "RE: ipfw - в чём может быть трабл???"
Сообщение от Scy emailИскать по авторуВ закладки on 22-Янв-03, 16:09  (MSK)
>Вот так и пойми нужно то не нужно это, а чётко у
>кого у самого работает ответа нет :)
>Вот внимательнейшим образом прочёл следующие статьи:
>
>http://www2.freebsd.org.ru/handbook/natd.html
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/natd.html
>
>И что же, у меня всё как в них написано замучено, а
>результат один ни фига не работает :(


Отвечу так я после установки бсди некаких дивертов не включал только нат поднял и всё заработало !!! Ни каких правил изначально в ипфв небыло !!! просто gateway_enable="YES"

Похоже ты действительно чегото в конфигах накрутил слишком много !!!

Попробуй мой rc.conf использовать вместе с ipnat.rules (Выше всё есть !!) !!! (Авось чего хорошего выдет !! А может чего нехорошего !!)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

53. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 22-Янв-03, 17:07  (MSK)
>Вот так и пойми нужно то не нужно это, а чётко у
>кого у самого работает ответа нет :)
>Вот внимательнейшим образом прочёл следующие статьи:
>
>http://www2.freebsd.org.ru/handbook/natd.html
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/natd.html
>
>И что же, у меня всё как в них написано замучено, а
>результат один ни фига не работает :(

тяжелый случай. в хэндбуке то все написано в расчете на то что ты еще ничего не поломал.
значит делаем так:
# mergemaster -a
в конце работы он даст тебе список поломанных тобой файлов.
вручную меняешь их на нормальные.
можно сразу
# mergemaster
но это чуть сложнее
это все. rc.conf он трогать не будет.
чтобы все сработало, исходники должны быть уже распакованы.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

54. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 22-Янв-03, 19:57  (MSK)
16. "RE: ipfw - в чём может быть трабл???"

Сообщение от cynic on 21-Янв-03, 16:47  (MSK)

А ты IP forwarding включал?

ВОТ человек который глядел в корень :)
Все заработало когда я дал всего одну команду из консоли вот она:

sysctl -w net.inet.ip.forwarding=1

Но всёравно всем огромное спасибо! Без вас бы я неперлопатил стока мануолов за столь короткое время %)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

55. "RE: ipfw - в чём может быть трабл???"
Сообщение от Kostya9 emailИскать по авторуВ закладки on 23-Янв-03, 09:28  (MSK)
>Все заработало когда я дал всего одну команду из консоли вот она:
>
>sysctl -w net.inet.ip.forwarding=1

Твой rc.conf
....
getaway_enable="YES"
^^^^^^^
....

Ты просто изначально ошибся, правильно gateway.
Соответственно ты сделал тоже самое просто через sysctl.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

56. "RE: ipfw - в чём может быть трабл???"
Сообщение от Den emailИскать по авторуВ закладки on 23-Янв-03, 10:48  (MSK)
>>Все заработало когда я дал всего одну команду из консоли вот она:
>>
>>sysctl -w net.inet.ip.forwarding=1
>
>Твой rc.conf
>....
>getaway_enable="YES"
>^^^^^^^
>....
>
>Ты просто изначально ошибся, правильно gateway.
>Соответственно ты сделал тоже самое просто через sysctl.

абсолютно верно, цитирую /etc/rc.network
        case ${gateway_enable} in
        [Yy][Ee][Ss])
                echo -n ' IP gateway=YES'
                sysctl net.inet.ip.forwarding=1 >/dev/null
                ;;
        esac

просто никто не заметил твоей ошибки сразу. одна из причин в том, что у тебя были слишком длинные конфиги :)
/etc/rc.conf просто устанавливает переменные. ну и получилось что gateway_enable осталась в NO.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

57. "RE: ipfw - в чём может быть трабл???"
Сообщение от samnambulas emailИскать по авторуВ закладки on 23-Янв-03, 10:53  (MSK)
Да, я это теперь понял :)
Вот так одна опечатка, что может сделать :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру