| Autor |
Sõnum |
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
Nonii unix ässad vaja abi sellega et teen oma serverist gateway aga ei sa neti :S sain lani tööle kuid lani ei sa neti
NET - GATEWAY - LAN -PC1 PC2 jne
kuid gateway ei anna neti edasi rc.confi panind enable_gateway="YES" Ja siis ip fowarding oli 1 kuid enam ei oska 
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
   |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| Kas natd daemon ka töötab ?
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
 |
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
| Ma arvan et mite. Aga kui teil on aega siis teheke kiir õpetus sest mina ei saanud freebsd handbookist aru.
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Sa ei saa privaat aadressidega netis kolada sellepärast natd daemon muudab need aadressid välise interface ruuditava aadressi omaks.
Natd peab ka arvet väljaminevate ühenduste kohta ja muudab vastused neile ühendustele tagasi privaat aadressi omaks.
natd_enable="YES"
natd_interface="sinuvälineinterface"
natd_flags="-f /etc/natd.conf"
Natd konfis on siis andmed portide ümbersuunamise kohta, kui sul näiteks on ftp server lanis sees siis porti 21 saab ümber suunata sinna.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
| Aga mull pole natd.conf failigi. Ei oska arvatagi mis selle sisu peaks olema
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
| Oke proovisin ei funka ip gateway ei anna manuaalselt ka ip panek ei aita ei funka nohh natd töötab :S
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
hadara
Uus kasutaja
Vanus: 42
Liitunud: 24.03.2007
Postitused: 6
Distributsioon: FreeBSD
|
|
Põhimõtteliselt on FreeBSD igal võimalikul tulemüüril oma mehhanism NATi tegemiseks ehk siis hetkel laias laastus 3 tk (ipfw, pf, ipf).
NATd on kasutuses IPFW kasutamise puhul. Diagonaalis manuali lugedes tundub mulle et sealt
on tõesti jäetud välja täiesti fundamentaalne asi mida IPFW poolelt tuleb nati toimimasaamiseks teha. Nimelt on NATd tavaline userland programm ja, et ta saaks midagi kuskilt kuhugi forwardida / rewriteida peab miski talle kernelist kõigepealt neid pakkette saatma.
Selleks miskiks on IPFW divert rule. Tekita näiteks fail /etc/ipfw.rules sisuga:
| Kood: | |
#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via <sinu ISP poolse võrkari interface, ntx. fxp0>
/sbin/ipfw add pass all from any to any
|
ja anna käsk chmod +x /etc/ipfw.rules
ja lisa /etc/rc.conf sisse juurde read:
| Kood: | |
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
|
Peale restarti peakski kõik toimima. Võid ka lihtsalt /etc/ipfw.rules käsu anda ja peaks toimima hakkama restarditagi.
Teine täiesti erinev meetod NATi tegemiseks on kasutada PF tulemüüri. Sellisel juhul pole sul vajalik ei IPFW kasutamine ega NATd.
/etc/rc.conf sisse läheks sellisel juhul:
| Kood: | |
pf_enable="YES"
gateway_enable="YES"
|
Ja siis tuleks redigeerida /etc/pf.conf faili, oluline on alguses ext_if, int_if jms. muutujatele õiged väärtused lisada ja sisse kommenteerida, sisse kommenteerida tuleks ka järgnevad read:
| Kood: | |
pass in all
pass out all
nat on $ext_if from $internal_net to any -> ($ext_if)
|
näiteks võik tulemus olla selline:
| Kood: | |
ext_if="rl0"
int_if="fxp0"
internal_net="192.168.1.1/24"
pass in all
pass out all
nat on $ext_if from $internal_net to any -> ($ext_if)
|
Peale restarti võikski kõik toimida, ilma restardita peaks käima ajama käsud (root kasutajana):
| Kood: | |
kldload pf
pfctl -f /etc/pf.conf
pfctl -e
|
Lähemalt räägib PFi NATi võimalustest:
http://www.openbsd.org/faq/pf/nat.html
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
pf ei funka enam FreeBSD7.2 peal
tegin endale lihtsa config
nat on re0 from sk0 to any -> re0
pass in all
pass out all
pf kernelisse lastud
ja kernelisse lasin varasemalt ka ipfw
options IPFIREWALL
option IPDIVER
kuvitav kas neet mõjutavad pf tegevust ja ning ruuter masinast ei sa ka välja ühendust enam kui pf lubatud
Tänan lugemast
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
vatson
Pingviini kasutaja
Liitunud: 01.03.2009
Postitused: 36
Distributsioon: openSUSE
|
|
| itvendpowered kirjutas: | | pf ei funka enam FreeBSD7.2 peal
|
Mul küll funkab, kusjuures rohkem kui ühes masinas...
| itvendpowered kirjutas: | |
tegin endale lihtsa config
nat on re0 from sk0 to any -> re0
|
Kui eesmärgiks on NATida sk0 taga olevat sisevõrku, siis peaks vist olema:
nat on re0 from sk0:network to any -> re0
| itvendpowered kirjutas: | |
pass in all
pass out all
|
See peaks olema samaväärne sellega kui reegleid üldse ei ole...
| itvendpowered kirjutas: | |
pf kernelisse lastud
ja kernelisse lasin varasemalt ka ipfw
options IPFIREWALL
option IPDIVER
kuvitav kas neet mõjutavad pf tegevust ja ning ruuter masinast ei sa ka välja ühendust enam kui pf lubatud
|
Ise ma pole sellist asja proovinud et kernelis on korraga pf ja ipfw, aga ma oletan et see *peaks* töötama.
Õpetlik oleks ilmselt vaadata, mida pflog räägib...
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
| pfiga selline asi et log on tyhi ja ma olen proovinud 3 erinevat õpetust ja confi ja proovinud oma confi mite kui midagi näiteks dhcp ütleb cant send packet premission denied kui Pf lubatud. njha eks ma uurin ise 80% kindel et ma leian ise lahenduse
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
vatson
Pingviini kasutaja
Liitunud: 01.03.2009
Postitused: 36
Distributsioon: openSUSE
|
|
| itvendpowered kirjutas: | | pfiga selline asi et log on tyhi ja ma olen proovinud 3 erinevat õpetust ja confi ja proovinud oma confi mite kui midagi näiteks dhcp ütleb cant send packet premission denied kui Pf lubatud. njha eks ma uurin ise 80% kindel et ma leian ise lahenduse |
Oled sa ikka kindel et reeglid laetakse sellest failist mida sa muudad? (kas 'pfctl -s rules' näitab õigeid reegleid?)
|
|
|
|
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
jah kui viskan nt pfctl -s nat
1) see vale
nat on re0 inet from 192.168.0.1 to any -> välineip
2) See peaks õige nat reegel olema eks
nat on re0 inet from 192.168.0.0/24 to any -> välineip
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
vatson
Pingviini kasutaja
Liitunud: 01.03.2009
Postitused: 36
Distributsioon: openSUSE
|
|
Vaata minu üle-eelmist postitust, seal on õige reegel kirjas
Aga see vigane reegel ei tohiks siiski liiklust blokeerida nii nagu sa kirjeldad.
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ipfw vaikimisi reegel keelab kõik liikluse.
Siit ei ole saanud selgust kas oled ikka ipfw kaudu lubanud liikluse ?
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
itvendpowered
Pingviini aktivist
Vanus: 35
Liitunud: 30.08.2006
Postitused: 342
Asukoht: Tallinn
Distributsioon: RHEL / Debian
|
|
kas äki see lõeb
#firewall_enable="YES või peab nii panema firewall_enable="NO"
|
|
|
|
_________________
Maailmas võiks ikka rahu olla aga ahnus on suurem kui soov rahule.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| itvendpowered kirjutas: | | kas äki see lõeb
#firewall_enable="YES või peab nii panema firewall_enable="NO" |
Noh kui sul see kernelisse sisse on keevitatud pead laadima lubava reegli.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
|
|
