BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: IPFW не работает NAT
СообщениеДобавлено: Ср 08 окт, 2014 12:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Всем привет. Дело начит такое.

IPFW

Код:
ipfw -q flush
local="192.168.10.0/24, 10.1.1.0/24, 192.168.0.0/24"

ipfw add allow ip from any to any via lo0
ipfw add deny ip from 127.0.0.1/24 to any
ipfw add deny ip from any to 127.0.0.1/24
ipfw add allow icmp from any to any
ipfw add allow tcp from me to any out via em1 keep-state uid squid
ipfw add fwd 127.0.0.1,3128 ip4 from $local to any 80,443 out via em1 #на squid

ipfw nat 1 config log if em1 same_ports \
redirect_port tcp 192.168.10.8:80 80

ipfw add nat 1 log ip4 from any to any via em1 #всё в нат на внешнем

ipfw add allow ip4 from any to any via em0

ipfw add deny log all from any to any


rc.conf

Код:
hostname="Aurora"
ifconfig_em0="*локальный айпи*"
ifconfig_em1="*внешний айпи*"
defaultrouter="109.235.213.25"
sshd_enable="YES"
gateway_enable="YES"

sendmail_enable="NONE"
sendmail_submit_enable="NONE"
sendmail_outbound_enable="NONE"
sendmail_msp_enable="NONE"

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
firewall_logging="YES"
firewall_script="/etc/ipfw"

squid_enable="YES


При этом пробовал разрешать по фулу трафик по 80 порту. Видно что трафик проходит, т.к. счётчик deny не изменяется, но вот что с ним стряслось - непонятно. Собственно вопрос - почему не работает нат?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Ср 08 окт, 2014 4:34 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Проброс портов не работает даже с таким конфигом (rc.conf без изменений)

ipfw
Код:
ipfw -q flush
ipfw nat 1 config log if em1 reset same_ports \
        redirect_port tcp 192.168.10.8:80 80 \
        redirect_port tcp site2.domain.local:80 3333
ipfw add nat 1 log ip4 from any to any via em1

ipfw add allow all from any to any via em0 in
ipfw add allow all from any to any via em0 out
ipfw add allow all from any to any via em1 in
ipfw add allow all from any to any via em1 out

ipfw add deny log all from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 11:02 am 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5334
Откуда: СССР, Харьков
Что в /etc/resolv.conf ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 11:08 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Адрес локального DNS на w2012 (+в сети есть второй работающий шлюз на TMG)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 11:11 am 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5334
Откуда: СССР, Харьков
ipfw show покажите вывод


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 11:44 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
не тот вывод, сейчас поправлю


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 11:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Код:
root@Aurora:/etc # ipfw zero
Accounting cleared.
root@Aurora:/etc # ipfw show
00100  0    0 nat 1 log ip4 from any to any via em1
00200 37 3306 allow ip from any to any via em0 in
00300 12 1280 allow ip from any to any via em0 out
00400  0    0 allow ip from any to any via em1 in
00500  0    0 allow ip from any to any via em1 out
00600  0    0 deny log ip from any to any
65535  0    0 deny ip from any to any


Код:
root@Aurora:/etc # ipfw nat show config
ipfw nat 1 config if em1 log same_ports reset \
redirect_port tcp 192.168.10.62:80 3333 \
redirect_port tcp 192.168.10.8:80 80


После попытки пройти по порту 80 извне
Код:
root@Aurora:/etc # ipfw show
00100 125 34240 nat 1 log ip4 from any to any via em1
00200 768 86356 allow ip from any to any via em0 in
00300 167 26240 allow ip from any to any via em0 out
00400   0     0 allow ip from any to any via em1 in
00500   0     0 allow ip from any to any via em1 out
00600   0     0 deny log ip from any to any
65535   0     0 deny ip from any to any


ps. em0 - локальный em1 - публичный


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 1:05 pm 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5334
Откуда: СССР, Харьков
birds писал(а):
00100 0 0 nat 1 log ip4 from any to any via em1

Уберите log.

Ели вы удалите свой конфиг и добавите в /etc/rc.conf >> firewall_type="OPEN"
НАТ заработает сразу, и если ещё добавить
Код:
firewall_nat_flags="redirect_port tcp 192.168.8.8:20894 20894 redirect_port udp 192.168.8.8:20894 20894"

то:
Код:
root@ankor # ipfw nat show config
ipfw nat 123 config if re0 log redirect_port udp 192.168.8.8:20894 20894 redirect_port tcp 192.168.8.8:20894 20894
root@ankor#


посмотрите как пример /etc/rc.firewall


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 2:08 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
rc.conf
Код:
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="em1"
firewall_logging="YES"
#firewall_script="/etc/ipfw"
firewall_type="open"
firewall_nat_flags="redirect_port tcp 192.168.10.8:80 80"


Код:
root@Aurora:/etc # ipfw zero
Accounting cleared.

root@Aurora:/etc # ipfw nat show config
ipfw nat 123 config if em1 log redirect_port tcp 192.168.10.8:80 80

root@Aurora:/etc # ipfw show
00050  0    0 nat 123 ip4 from any to any via em1
00100  0    0 allow ip from any to any via lo0
00200  0    0 deny ip from any to 127.0.0.0/8
00300  0    0 deny ip from 127.0.0.0/8 to any
00400  0    0 deny ip from any to ::1
00500  0    0 deny ip from ::1 to any
00600  0    0 allow ipv6-icmp from :: to ff02::/16
00700  0    0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800  0    0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900  0    0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000  0    0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 47 4544 allow ip from any to any
65535  0    0 deny ip from any to any




Попытка пройти по 80 извне
Код:
root@Aurora:/etc # ipfw show
00050  37 10278 nat 123 ip4 from any to any via em1
00100   4   192 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400   0     0 deny ip from any to ::1
00500   0     0 deny ip from ::1 to any
00600   0     0 allow ipv6-icmp from :: to ff02::/16
00700   0     0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800   0     0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900   0     0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000   0     0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 215 27781 allow ip from any to any
65535   0     0 deny ip from any to any


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 2:29 pm 
Не в сети
Модератор
Аватара пользователя

Зарегистрирован: Ср 08 ноя, 2006 2:53 pm
Сообщения: 5334
Откуда: СССР, Харьков
Я вам пример привёл, а не руководство к действию, эту строчку
Код:
firewall_nat_flags="redirect_port tcp 192.168.10.8:80 80"

отредактировать до такой
Код:
firewall_nat_flags="same_ports reset  redirect_port tcp 192.168.10.8:80 80"

Если чего не так, натравить tcpdump и посмотреть где затыкается.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Чт 09 окт, 2014 4:49 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3261
Откуда: Харьков
Код:
#!/bin/sh -
fwcmd="/sbin/ipfw"
oif="em1"
iif="em0"
ssh="22,22222"
${fwcmd} -f flush
${fwcmd} nat 1 delete
# Local
        ${fwcmd} add allow all from any to any via lo0
        
${fwcmd} add deny all from any to 127.0.0.0/8
        
${fwcmd} add deny all from 127.0.0.0/8 to any
# SSH (в случае очепяток\ошибок дальше ССШ всёравно будет работать, поэтому лучше его указывать явно в начале)
        ${fwcmd} add allow tcp from any to any ${ssh} via ${iif}
        ${fwcmd} add allow tcp from any ${ssh} to any via ${iif}
# NAT
${fwcmd} nat 1 config if ${oif} redirect_port tcp 192.168.10.8:80 80 redirect_port tcp site2.domain.local:80 3333
${fwcmd} add nat 1 ip from any to any via ${oif}

# разрешить весь трафик (после ната иначе до ната не дойдёт)
${fwcmd} add allow ip from any to any


начни с ̶п̶р̶о̶с̶т̶о̶г̶о̶ такого, должно заработать, потом добавляй по немного нужное и смотри что будет происходить
так-же не забывай про net.inet.ip.fw.one_pass


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пт 10 окт, 2014 5:30 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
grayich, с таким конфигом тоже не заработало +_+
Совершенно непонятно в какую сторону копать. Есть малоподходящее предположение что дело в том, что машина располагается в среде vmware, но, мне кажется, это врятли.

Попробую реализовать через natd.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пт 10 окт, 2014 5:39 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3261
Откуда: Харьков
ifconfig
ipfw show
netstat -rn


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пт 10 окт, 2014 5:48 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
-f /etc/natd.conf
Извиняюсь, недоглядел конфы, шлюз прописан не тот.
Но натд уже поднял. Попробую с ним, а затем протестирую с вашим конфигом ещё раз.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пт 10 окт, 2014 5:56 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Код:
root@Aurora:/etc # ipfw show
00100   0     0 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400 129 10944 allow tcp from any to any dst-port 22,22222 via em0
00500  85 14723 allow tcp from any 22,22222 to any via em0
00600 109 27066 nat 1 ip from any to any via em1
00700 419 68536 allow ip from any to any
65535  20  1908 deny ip from any to any


Код:
root@Aurora:/etc # ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:2b:5b:93
        inet 192.168.10.97 netmask 0xffffff00 broadcast 192.168.10.255
        inet6 fe80::250:56ff:fe2b:5b93%em0 prefixlen 64 scopeid 0x1
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:50:56:3d:a1:39
        inet 109.235.213.29 netmask 0xff000000 broadcast 109.255.255.255
        inet6 fe80::250:56ff:fe3d:a139%em1 prefixlen 64 scopeid 0x2
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>


Код:
root@Aurora:/etc # netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            109.235.213.25     UGS         0        0    em1
109.0.0.0/8        link#2             U           0        0    em1
109.235.213.29     link#2             UHS         0        0    lo0
127.0.0.1          link#3             UH          0        0    lo0
192.168.10.0/24    link#1             U           0      129    em0
192.168.10.97      link#1             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::/96                             ::1                           UGRS        lo0
::1                               link#3                        UH          lo0
::ffff:0.0.0.0/96                 ::1                           UGRS        lo0
fe80::/10                         ::1                           UGRS        lo0
fe80::%em0/64                     link#1                        U           em0
fe80::250:56ff:fe2b:5b93%em0      link#1                        UHS         lo0
fe80::%em1/64                     link#2                        U           em1
fe80::250:56ff:fe3d:a139%em1      link#2                        UHS         lo0
fe80::%lo0/64                     link#3                        U           lo0
fe80::1%lo0                       link#3                        UHS         lo0
ff01::%em0/32                     fe80::250:56ff:fe2b:5b93%em0  U           em0
ff01::%em1/32                     fe80::250:56ff:fe3d:a139%em1  U           em1
ff01::%lo0/32                     ::1                           U           lo0
ff02::/16                         ::1                           UGRS        lo0
ff02::%em0/32                     fe80::250:56ff:fe2b:5b93%em0  U           em0
ff02::%em1/32                     fe80::250:56ff:fe3d:a139%em1  U           em1
ff02::%lo0/32                     ::1                           U           lo0


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пн 13 окт, 2014 10:17 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
grayich, не заработало ни с вашим конфигом, ни с natd. Листинги выше


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пн 13 окт, 2014 1:20 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3261
Откуда: Харьков
1. на фре инет вообще есть?
2. у клиентов правильно всё прописано?

ядро генерик или своё компилировал?
запости куда нить на http://paste.org.ru/ вывод kldstat -v


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пн 13 окт, 2014 1:29 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
На фре инет есть, клиенту нафик ничего не нужно. Вводишь в адресную строку адрес, а вместо вэб страницы ошибки разные.
(Если подробнее про фрю - на ней стоит сквид + ipfw, ядро компилил с поддержкой ядерного ната и ната демона (на всякий). Всё работает кроме ната)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пн 13 окт, 2014 4:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 11 авг, 2014 5:13 pm
Сообщения: 36
Я скоро начну рвать волосы на голове. Почему он не хочет работать? Чего ему не хватает или может не хватать?
Перенёс виртуалку на железо - всё одно, не натит >___<


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: IPFW не работает NAT
СообщениеДобавлено: Пн 13 окт, 2014 5:03 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3261
Откуда: Харьков
я ж не телепат, для начала ответь на все вопросы


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 29 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика