forum.opennet.ru - "извне через ipfw внутрь.." (35)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"извне через ipfw внутрь.."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"извне через ipfw внутрь.."
Сообщение от cad2206 on 14-Апр-06, 12:40
Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое предположение: при помощи fwd, но как именно?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

извне через ipfw внутрь.., edwin, 12:42 , 14-Апр-06, (1)

извне через ipfw внутрь.., cad2206, 12:55 , 14-Апр-06, (2)

извне через ipfw внутрь.., edwin, 13:01 , 14-Апр-06, (3)

извне через ipfw внутрь.., cad2206, 13:06 , 14-Апр-06, (4)

извне через ipfw внутрь.., edwin, 13:11 , 14-Апр-06, (5)

извне через ipfw внутрь.., cad2206, 13:32 , 14-Апр-06, (6)

извне через ipfw внутрь.., cad2206, 09:37 , 17-Апр-06, (7)

извне через ipfw внутрь.., edwin, 09:48 , 17-Апр-06, (8)

извне через ipfw внутрь.., cad2206, 10:12 , 17-Апр-06, (9)

извне через ipfw внутрь.., cad2206, 10:20 , 17-Апр-06, (10)

извне через ipfw внутрь.., cad2206, 11:05 , 17-Апр-06, (11)

извне через ipfw внутрь.., cad2206, 11:07 , 17-Апр-06, (12)
извне через ipfw внутрь.., cad2206, 13:18 , 17-Апр-06, (13)

извне через ipfw внутрь.., alchie, 13:31 , 17-Апр-06, (14)

извне через ipfw внутрь.., cad2206, 15:05 , 17-Апр-06, (15)

извне через ipfw внутрь.., edwin, 15:13 , 17-Апр-06, (16)

извне через ipfw внутрь.., cad2206, 15:19 , 17-Апр-06, (17)

извне через ipfw внутрь.., edwin, 15:27 , 17-Апр-06, (18)

извне через ipfw внутрь.., edwin, 15:30 , 17-Апр-06, (19)
извне через ipfw внутрь.., cad2206, 15:43 , 17-Апр-06, (20)

извне через ipfw внутрь.., alchie, 16:08 , 17-Апр-06, (21)

извне через ipfw внутрь.., cad2206, 16:37 , 17-Апр-06, (22)

извне через ipfw внутрь.., alchie, 17:22 , 17-Апр-06, (23)

извне через ipfw внутрь.., cad2206, 09:29 , 18-Апр-06, (24)

извне через ipfw внутрь.., edwin, 09:34 , 18-Апр-06, (25)

извне через ipfw внутрь.., cad2206, 09:38 , 18-Апр-06, (26)
извне через ipfw внутрь.., edwin, 09:48 , 18-Апр-06, (27)
извне через ipfw внутрь.., cad2206, 10:10 , 18-Апр-06, (28)
извне через ipfw внутрь.., cad2206, 10:23 , 18-Апр-06, (29)
извне через ipfw внутрь.., edwin, 10:36 , 18-Апр-06, (30)
извне через ipfw внутрь.., cad2206, 10:40 , 18-Апр-06, (31)
извне через ipfw внутрь.., edwin, 15:14 , 18-Апр-06, (32)

извне через ipfw внутрь.., vizard, 17:01 , 19-Апр-06, (33)

извне через ipfw внутрь.., alchie, 17:19 , 19-Апр-06, (34)
извне через ipfw внутрь.., cad2206, 12:32 , 20-Апр-06, (35)

Сообщения по теме [Сортировка по времени, UBB]

1. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 14-Апр-06, 12:42

>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине
>внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое
>предположение: при помощи fwd, но как именно?
Это делается с помощью опции redirect_port демона natd
подробнее - читайте ниже
http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/network-natd.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "извне через ipfw внутрь.."

Сообщение от cad2206 on 14-Апр-06, 12:55

edwin: я правильно понял:
в rc.ipfw я просто окрываю порт
а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт
?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 14-Апр-06, 13:01

>edwin: я правильно понял:
>
>в rc.ipfw я просто окрываю порт
Разумеется в firewall'e надо разрешить прохождение пакетов.

>а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт
Стоп.
Зачем захламлять rc.conf
есть же /etc/natd.conf

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "извне через ipfw внутрь.."

Сообщение от cad2206 on 14-Апр-06, 13:06

ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 14-Апр-06, 13:11

>ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать?
Угу.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "извне через ipfw внутрь.."

Сообщение от cad2206 on 14-Апр-06, 13:32

спасибо тебе edwin, не первый раз меня выручаешь...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 09:37

edwin: выручай....
неполучается пробросить...
в rc.conf касательно NAT:
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"
в rc.ipfw:
add allow log tcp from any to xxx.xxx.xxx.xxx out via tun*
add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun*
где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь.
    port - порт, на котором слушет сервис внутри сети.
в natd.conf:
log yes
log_denied yes
use_sockets yes
unregistered_only yes
dynamic tes
redirect_port tcp yyy.yyy.yyy.yyy:port port
где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и слушает порт port.
при попытке, в логе security есть запись:
Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0
НО не коннектится!!! На что еще нужно обратить внимание???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 17-Апр-06, 09:48

>edwin: выручай....
>неполучается пробросить...
>
>в rc.conf касательно NAT:
>
>natd_enable="YES"
>natd_interface="rl1"
>natd_flags="-f /etc/natd.conf"
>
>в rc.ipfw:
>
>add allow log tcp from any to xxx.xxx.xxx.xxx out via tun*
>add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun*
>
>
>где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь.
>    port - порт, на котором слушет сервис внутри
>сети.
>
>в natd.conf:
>
>log yes
>log_denied yes
>use_sockets yes
>unregistered_only yes
>dynamic tes
>redirect_port tcp yyy.yyy.yyy.yyy:port port
>
>где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и
>слушает порт port.
>
>при попытке, в логе security есть запись:
>Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0
>
>НО не коннектится!!! На что еще нужно обратить внимание???
для начала разреши прохождение всех пакетов через firewall
И глянь все ли работает.
Затем последовательно запрщай ... до потимума.
Также тебе поможет tcpdump
и на всякий случай - мое мыло - edwin_|_alkar.net

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 10:12

вот что есть из tcpdump -i tun0:
10:03:18.267174 xxx.xxx.xxx.xxx.port1 > мой_внешний_ип.port: S 285965535:285965535(0) win 65535 <mss 1452,nop,nop,sackOK> (DF)
10:03:18.267257 мой_внешний_ип.port > xxx.xxx.xxx.xxx.port1: R 0:0(0) ack 285965536 win 0
но о чем это говорит, я к сожалению незнаю, буду читать....
щас попробую с открытым фаером

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 10:20

пробовал с открытым фаером (firewall_type="OPEN"), бесполезно...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 11:05

еще один ньюанс:
в файле rc.ipfw есть правило:
add divert natd all from any to any via ${natd_interface}
т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в файле natd.conf указан как rl1.
может в качестве интерфейса нужно указывать мой тунель tun0?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 11:07

>еще один ньюанс:
>в файле rc.ipfw есть правило:
>
>add divert natd all from any to any via ${natd_interface}
>
>т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в
>файле natd.conf указан как rl1.
>
>может в качестве интерфейса нужно указывать мой тунель tun0?
обшибся: не в natd.conf, а в rc.conf....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 13:18

Ребяты, ну подскажите, куда копать? Как отследить прохождение пакета, где он стопорится?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "извне через ipfw внутрь.."

Сообщение от alchie (ok) on 17-Апр-06, 13:31

>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине
>внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое
>предположение: при помощи fwd, но как именно?

https://www.opennet.ru/tips/info/467.shtml
читать вместе с комментами

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 15:05

alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и все..... тки пальцем, что нетак?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 17-Апр-06, 15:13

>alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и
>все..... тки пальцем, что нетак?
Я вернулся.
Чудес не бывает ....
А что выдает команда ?
sysctl net.inet.ip.forwarding
Если 0, то надо сделать:
sysctl -w net.inet.ip.forwarding="1"
И добавить в rc.conf gateway_enable="YES"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 15:19

команда выдает значение 1
gateway_enable="YES" - прописано

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 17-Апр-06, 15:27

>команда выдает значение 1
>gateway_enable="YES" - прописано
Ладно.
Будем танцевать "от печки".
В студию:
1) текущий rc.conf
2) текущий конфиг firewall
3) текущий конфиг nat

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 17-Апр-06, 15:30

>>команда выдает значение 1
>>gateway_enable="YES" - прописано
>
>Ладно.
>Будем танцевать "от печки".
>В студию:
>1) текущий rc.conf
>2) текущий конфиг firewall
>3) текущий конфиг nat
Кстати, а может стоит Вам рассмотреть возможность использования pf ?
ИМХО, он проще для понимания.
А вот и линк на статью:
http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=104&theme=PF%20OpenBSD%20firewall#top6

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 15:43

rc.conf:
defaultrouter="мой_внешний_ИП"
gateway_enable="YES"
hostname="SHLUZ.ChanceOFFICE"
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="papchap"
firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
firewall_loggining="YES"
firewall_quiet="YES"
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"
mta_start_script=""
sendmail_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
sendmail_submit_enable="NO"
squid_enable="YES"
sshd_enable="YES"
static_routes="net1"
route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2"
keymap="ru.koi8-r"
keychange="61 [[K"
scrnmap="koi8-r2cp866"
в rc.ipfw
# Stop spoofing
${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via rl1
${fwcmd} add deny all from any to 172.16.0.0/12 via rl1
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via rl1
${fwcmd} add deny all from any to 169.254.0.0/16 via rl1
${fwcmd} add deny all from any to 224.0.0.0/4 via rl1
${fwcmd} add deny all from any to 240.0.0.0/4 via rl1
#squid
${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via rl1
${fwcmd} add deny all from 172.16.0.0/12 to any via rl1
${fwcmd} add deny all from 192.168.0.0/16 to any via rl1
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from 0.0.0.0/8 to any via rl1
${fwcmd} add deny all from 169.254.0.0/16 to any via rl1
${fwcmd} add deny all from 192.168.0.0/24 to any via rl1
..........
#RAdmin on 192.168.0.2
${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun*
${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via tun*
..........

в natd.conf
log yes
log_denied yes
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes
interface rl1
redirect_port tcp 192.168.0.2:4899 4899

1Help   2Save   3Mark   4Replac 5Copy   6Move   7Search 8Delete 9PullDn 10Quit

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

21. "извне через ipfw внутрь.."

Сообщение от alchie (ok) on 17-Апр-06, 16:08

>rc.conf:
>
>defaultrouter="мой_внешний_ИП"
>gateway_enable="YES"
>hostname="SHLUZ.ChanceOFFICE"
>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
>
>ppp_enable="YES"
>ppp_mode="ddial"
>ppp_profile="papchap"
>
>firewall_enable="YES"
>firewall_script="/etc/rc.ipfw"
>firewall_loggining="YES"
>firewall_quiet="YES"
>
>natd_enable="YES"
>natd_interface="rl1"
>natd_flags="-f /etc/natd.conf"
>
>mta_start_script=""
>sendmail_enable="NO"
>sendmail_outbound_enable="NO"
>sendmail_msp_queue_enable="NO"
>sendmail_submit_enable="NO"
>
>squid_enable="YES"
>
>sshd_enable="YES"
>
>static_routes="net1"
>route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2"
>
>keymap="ru.koi8-r"
>keychange="61 [[K"
>scrnmap="koi8-r2cp866"
>
>в rc.ipfw
>
># Stop spoofing
>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
>
># Stop RFC1918 nets on the outside interface
>${fwcmd} add deny all from any to 10.0.0.0/8 via rl1
>${fwcmd} add deny all from any to 172.16.0.0/12 via rl1
>
># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
># on the outside interface
>${fwcmd} add deny all from any to 0.0.0.0/8 via rl1
>${fwcmd} add deny all from any to 169.254.0.0/16 via rl1
>${fwcmd} add deny all from any to 224.0.0.0/4 via rl1
>${fwcmd} add deny all from any to 240.0.0.0/4 via rl1
>
>#squid
>
>${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
>
>${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0
>
>${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0
>
>
>case ${natd_enable} in
>[Yy][Ee][Ss])
>if [ -n "${natd_interface}" ]; then
>${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
>
>fi
>;;
>esac
>
># Stop RFC1918 nets on the outside interface
>${fwcmd} add deny all from 10.0.0.0/8 to any via rl1
>${fwcmd} add deny all from 172.16.0.0/12 to any via rl1
>${fwcmd} add deny all from 192.168.0.0/16 to any via rl1
>
># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
># on the outside interface
>${fwcmd} add deny all from 0.0.0.0/8 to any via rl1
>${fwcmd} add deny all from 169.254.0.0/16 to any via rl1
>${fwcmd} add deny all from 192.168.0.0/24 to any via rl1
>
>..........
>
>#RAdmin on 192.168.0.2
>${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun*
>
>${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via
>tun*
>
>..........
>
>
>в natd.conf
>
>log yes
>log_denied yes
>use_sockets yes
>same_ports yes
>unregistered_only yes
>dynamic yes
>interface rl1
>redirect_port tcp 192.168.0.2:4899 4899
>
>

нат и редирект на физическом интерфейсе, а правило для туннеля. работать не будет естесна

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

22. "извне через ipfw внутрь.."

Сообщение от cad2206 on 17-Апр-06, 16:37

дык если я укажу
${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1
${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via rl1
то в логе при попытке появляются записи Deny ..... via tun0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

23. "извне через ipfw внутрь.."

Сообщение от alchie (ok) on 17-Апр-06, 17:22

>дык если я укажу
>
>${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1
>
>${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via
>rl1
>
>то в логе при попытке появляются записи Deny ..... via tun0
и правильно. значит нужно с другой стороны копнуть - натд на tun0 перевесить

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

24. "извне через ipfw внутрь.."

Сообщение от cad2206 on 18-Апр-06, 09:29

alchie: пробовал я в rc.conf прописывать:
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"
и в natd.conf:
log yes
log_denied yes
use_sockets yes
same_ports yes
unregistered_only yes
dynamic yes
interface tun0
redirect_port tcp 192.168.0.2:4899 4899
Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний адрес не пингуется, сообщений об ошибках я больше не нашел....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

25. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 18-Апр-06, 09:34

>alchie: пробовал я в rc.conf прописывать:
>
>natd_enable="YES"
>natd_interface="tun0"
>natd_flags="-f /etc/natd.conf"
>
>и в natd.conf:
>log yes
>log_denied yes
>use_sockets yes
>same_ports yes
>unregistered_only yes
>dynamic yes
>interface tun0
>redirect_port tcp 192.168.0.2:4899 4899
>
>Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний
>адрес не пингуется, сообщений об ошибках я больше не нашел....
А он не пингуется из cетки ?
Или и с сервака ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

26. "извне через ipfw внутрь.."

Сообщение от cad2206 on 18-Апр-06, 09:38

с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС тоже....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

27. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 18-Апр-06, 09:48

>с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС
>тоже....
А нельзя ли посмотреть в этот момент
netstat -rn

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

28. "извне через ipfw внутрь.."

Сообщение от cad2206 on 18-Апр-06, 10:10

все, проброс совершен. незнаю почему, может глюк или что, но когда в первый раз попытался НАТ на tun повесить, неработало (см. выше), после заметил ошибку: natdnatd: чето типа последняя строка в файле конфигурации должна быть пустой.... поставил, все заработало... буду следить/тестить. огромное спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

29. "извне через ipfw внутрь.."

Сообщение от cad2206 on 18-Апр-06, 10:23

и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса на другой?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

30. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 18-Апр-06, 10:36

>и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса
>на другой?
Ну придется подредактировать правила firewall'а

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

31. "извне через ipfw внутрь.."

Сообщение от cad2206 on 18-Апр-06, 10:40

>Ну придется подредактировать правила firewall'а
т.е. везде поменять с rl1 на tun?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

32. "извне через ipfw внутрь.."

Сообщение от edwin (ok) on 18-Апр-06, 15:14

>>Ну придется подредактировать правила firewall'а
>
>т.е. везде поменять с rl1 на tun?

Да.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

33. "извне через ipfw внутрь.."

Сообщение от vizard (??) on 19-Апр-06, 17:01

>defaultrouter="мой_внешний_ИП"
Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как пройти в библиотеку у себя же.
(((1)))
>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"

>в rc.ipfw
># Stop spoofing
>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
Стоп, уже непонятно - см. (((1)))
Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

34. "извне через ipfw внутрь.."

Сообщение от alchie (ok) on 19-Апр-06, 17:19

>>defaultrouter="мой_внешний_ИП"
>Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как
>пройти в библиотеку у себя же.
если речь идет о p-t-p соединениях типа PPTP/PPPoE, то там именно так и делается
>
>(((1)))
>>ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
>
>
>>в rc.ipfw
>
>># Stop spoofing
>>${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1
>
>Стоп, уже непонятно - см. (((1)))
>Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?
rl1 != rl0

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

35. "извне через ipfw внутрь.."

Сообщение от cad2206 on 20-Апр-06, 12:32

vizard:
"Какой смысл назначать шлюзом по умолчанию себя? Все равно что спрашивать как пройти в библиотеку у себя же. "  - я соединяюсь через PPPoE.
"Убиваем все пакеты из локалки, к которой относится и наш внутренний интерфейс?" - через rl1 интерфейс проходят пакеты уже инкапсулированные и неимеющие отношения к внутренней сети.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "извне через ipfw внутрь.."
Сообщение от edwin (ok) on 14-Апр-06, 12:42
>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине >внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое >предположение: при помощи fwd, но как именно? Это делается с помощью опции redirect_port демона natd подробнее - читайте ниже http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/network-natd.html
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 14-Апр-06, 12:55
	edwin: я правильно понял: в rc.ipfw я просто окрываю порт а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт ?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 14-Апр-06, 13:01
	>edwin: я правильно понял: > >в rc.ipfw я просто окрываю порт Разумеется в firewall'e надо разрешить прохождение пакетов. >а в файл rc.conf добавляю строку: redirect_port tcp 192.168.0.x:порт порт Стоп. Зачем захламлять rc.conf есть же /etc/natd.conf
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 14-Апр-06, 13:06
	ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 14-Апр-06, 13:11
	>ага, т.е. строку redirect_port tcp 192.168.0.x:порт порт в natd.conf прописать? Угу.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 14-Апр-06, 13:32
	спасибо тебе edwin, не первый раз меня выручаешь...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 09:37
	edwin: выручай.... неполучается пробросить... в rc.conf касательно NAT: natd_enable="YES" natd_interface="rl1" natd_flags="-f /etc/natd.conf" в rc.ipfw: add allow log tcp from any to xxx.xxx.xxx.xxx out via tun* add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun* где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь. port - порт, на котором слушет сервис внутри сети. в natd.conf: log yes log_denied yes use_sockets yes unregistered_only yes dynamic tes redirect_port tcp yyy.yyy.yyy.yyy:port port где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и слушает порт port. при попытке, в логе security есть запись: Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0 НО не коннектится!!! На что еще нужно обратить внимание???
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 17-Апр-06, 09:48
	>edwin: выручай.... >неполучается пробросить... > >в rc.conf касательно NAT: > >natd_enable="YES" >natd_interface="rl1" >natd_flags="-f /etc/natd.conf" > >в rc.ipfw: > >add allow log tcp from any to xxx.xxx.xxx.xxx out via tun* >add allow log tcp from xxx.xxx.xxx.xxx to any port in via tun* > > >где xxx.xxx.xxx.xxx - адрес с которого нужно иметь доступ внутрь. > port - порт, на котором слушет сервис внутри >сети. > >в natd.conf: > >log yes >log_denied yes >use_sockets yes >unregistered_only yes >dynamic tes >redirect_port tcp yyy.yyy.yyy.yyy:port port > >где yyy.yyy.yyy.yyy - адрес машины в внутри сети, где сидит сервис и >слушает порт port. > >при попытке, в логе security есть запись: >Accept TCP xxx.xxx.xxx.xxx:port1 мой_внешний_ИП:port in via tun0 > >НО не коннектится!!! На что еще нужно обратить внимание??? для начала разреши прохождение всех пакетов через firewall И глянь все ли работает. Затем последовательно запрщай ... до потимума. Также тебе поможет tcpdump и на всякий случай - мое мыло - edwin_\|_alkar.net
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 10:12
	вот что есть из tcpdump -i tun0: 10:03:18.267174 xxx.xxx.xxx.xxx.port1 > мой_внешний_ип.port: S 285965535:285965535(0) win 65535 <mss 1452,nop,nop,sackOK> (DF) 10:03:18.267257 мой_внешний_ип.port > xxx.xxx.xxx.xxx.port1: R 0:0(0) ack 285965536 win 0 но о чем это говорит, я к сожалению незнаю, буду читать.... щас попробую с открытым фаером
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 10:20
	пробовал с открытым фаером (firewall_type="OPEN"), бесполезно...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 11:05
	еще один ньюанс: в файле rc.ipfw есть правило: add divert natd all from any to any via ${natd_interface} т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в файле natd.conf указан как rl1. может в качестве интерфейса нужно указывать мой тунель tun0?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 11:07
	>еще один ньюанс: >в файле rc.ipfw есть правило: > >add divert natd all from any to any via ${natd_interface} > >т.е. все пакеты направляются демону natd проходящие через интерфейс natd, который в >файле natd.conf указан как rl1. > >может в качестве интерфейса нужно указывать мой тунель tun0? обшибся: не в natd.conf, а в rc.conf....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	13. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 13:18
	Ребяты, ну подскажите, куда копать? Как отследить прохождение пакета, где он стопорится?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

14. "извне через ipfw внутрь.."
Сообщение от alchie (ok) on 17-Апр-06, 13:31
>Подскажите пожалуйста какими правилами в rc.ipfw открыть доступ извне к локальной машине >внутри с адресом 192.168.0.x по определенному порту при включеном NAT. Мое >предположение: при помощи fwd, но как именно? https://www.opennet.ru/tips/info/467.shtml читать вместе с комментами
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	15. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 15:05
	alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и все..... тки пальцем, что нетак?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	16. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 17-Апр-06, 15:13
	>alchie: все пересморел по нескольку раз, все перепробовал, ну не хотит и >все..... тки пальцем, что нетак? Я вернулся. Чудес не бывает .... А что выдает команда ? sysctl net.inet.ip.forwarding Если 0, то надо сделать: sysctl -w net.inet.ip.forwarding="1" И добавить в rc.conf gateway_enable="YES"
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	17. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 15:19
	команда выдает значение 1 gateway_enable="YES" - прописано
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	18. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 17-Апр-06, 15:27
	>команда выдает значение 1 >gateway_enable="YES" - прописано Ладно. Будем танцевать "от печки". В студию: 1) текущий rc.conf 2) текущий конфиг firewall 3) текущий конфиг nat
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	19. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 17-Апр-06, 15:30
	>>команда выдает значение 1 >>gateway_enable="YES" - прописано > >Ладно. >Будем танцевать "от печки". >В студию: >1) текущий rc.conf >2) текущий конфиг firewall >3) текущий конфиг nat Кстати, а может стоит Вам рассмотреть возможность использования pf ? ИМХО, он проще для понимания. А вот и линк на статью: http://www.unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=104&theme=PF%20OpenBSD%20firewall#top6
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	20. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 15:43
	rc.conf: defaultrouter="мой_внешний_ИП" gateway_enable="YES" hostname="SHLUZ.ChanceOFFICE" ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0" ppp_enable="YES" ppp_mode="ddial" ppp_profile="papchap" firewall_enable="YES" firewall_script="/etc/rc.ipfw" firewall_loggining="YES" firewall_quiet="YES" natd_enable="YES" natd_interface="rl1" natd_flags="-f /etc/natd.conf" mta_start_script="" sendmail_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO" sendmail_submit_enable="NO" squid_enable="YES" sshd_enable="YES" static_routes="net1" route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2" keymap="ru.koi8-r" keychange="61 [[K" scrnmap="koi8-r2cp866" в rc.ipfw # Stop spoofing ${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1 # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from any to 10.0.0.0/8 via rl1 ${fwcmd} add deny all from any to 172.16.0.0/12 via rl1 # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from any to 0.0.0.0/8 via rl1 ${fwcmd} add deny all from any to 169.254.0.0/16 via rl1 ${fwcmd} add deny all from any to 224.0.0.0/4 via rl1 ${fwcmd} add deny all from any to 240.0.0.0/4 via rl1 #squid ${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0 ${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0 ${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0 ${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0 case ${natd_enable} in [Yy][Ee][Ss]) if [ -n "${natd_interface}" ]; then ${fwcmd} add 50 divert natd all from any to any via ${natd_interface} fi ;; esac # Stop RFC1918 nets on the outside interface ${fwcmd} add deny all from 10.0.0.0/8 to any via rl1 ${fwcmd} add deny all from 172.16.0.0/12 to any via rl1 ${fwcmd} add deny all from 192.168.0.0/16 to any via rl1 # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) # on the outside interface ${fwcmd} add deny all from 0.0.0.0/8 to any via rl1 ${fwcmd} add deny all from 169.254.0.0/16 to any via rl1 ${fwcmd} add deny all from 192.168.0.0/24 to any via rl1 .......... #RAdmin on 192.168.0.2 ${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun* ${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via tun* .......... в natd.conf log yes log_denied yes use_sockets yes same_ports yes unregistered_only yes dynamic yes interface rl1 redirect_port tcp 192.168.0.2:4899 4899 1Help 2Save 3Mark 4Replac 5Copy 6Move 7Search 8Delete 9PullDn 10Quit
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	21. "извне через ipfw внутрь.."
	Сообщение от alchie (ok) on 17-Апр-06, 16:08
	>rc.conf: > >defaultrouter="мой_внешний_ИП" >gateway_enable="YES" >hostname="SHLUZ.ChanceOFFICE" >ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0" > >ppp_enable="YES" >ppp_mode="ddial" >ppp_profile="papchap" > >firewall_enable="YES" >firewall_script="/etc/rc.ipfw" >firewall_loggining="YES" >firewall_quiet="YES" > >natd_enable="YES" >natd_interface="rl1" >natd_flags="-f /etc/natd.conf" > >mta_start_script="" >sendmail_enable="NO" >sendmail_outbound_enable="NO" >sendmail_msp_queue_enable="NO" >sendmail_submit_enable="NO" > >squid_enable="YES" > >sshd_enable="YES" > >static_routes="net1" >route_net1="-net 192.168.1.0 -netmask 255.255.255.0 192.168.0.2" > >keymap="ru.koi8-r" >keychange="61 [[K" >scrnmap="koi8-r2cp866" > >в rc.ipfw > ># Stop spoofing >${fwcmd} add deny all from 192.168.0.0/24 to any in via rl1 > ># Stop RFC1918 nets on the outside interface >${fwcmd} add deny all from any to 10.0.0.0/8 via rl1 >${fwcmd} add deny all from any to 172.16.0.0/12 via rl1 > ># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, ># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) ># on the outside interface >${fwcmd} add deny all from any to 0.0.0.0/8 via rl1 >${fwcmd} add deny all from any to 169.254.0.0/16 via rl1 >${fwcmd} add deny all from any to 224.0.0.0/4 via rl1 >${fwcmd} add deny all from any to 240.0.0.0/4 via rl1 > >#squid > >${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.0.0/24 to мой_внешний_ИП 80,8080,443 via rl0 > >${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0 > >${fwcmd} add fwd 127.0.0.1,80 tcp from 192.168.1.0/24 to мой_внешний_ИП 80,8080,443 via rl0 > >${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0 > > >case ${natd_enable} in >[Yy][Ee][Ss]) >if [ -n "${natd_interface}" ]; then >${fwcmd} add 50 divert natd all from any to any via ${natd_interface} > >fi >;; >esac > ># Stop RFC1918 nets on the outside interface >${fwcmd} add deny all from 10.0.0.0/8 to any via rl1 >${fwcmd} add deny all from 172.16.0.0/12 to any via rl1 >${fwcmd} add deny all from 192.168.0.0/16 to any via rl1 > ># Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1, ># DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E) ># on the outside interface >${fwcmd} add deny all from 0.0.0.0/8 to any via rl1 >${fwcmd} add deny all from 169.254.0.0/16 to any via rl1 >${fwcmd} add deny all from 192.168.0.0/24 to any via rl1 > >.......... > >#RAdmin on 192.168.0.2 >${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via tun* > >${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via >tun* > >.......... > > >в natd.conf > >log yes >log_denied yes >use_sockets yes >same_ports yes >unregistered_only yes >dynamic yes >interface rl1 >redirect_port tcp 192.168.0.2:4899 4899 > > нат и редирект на физическом интерфейсе, а правило для туннеля. работать не будет естесна
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	22. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 17-Апр-06, 16:37
	дык если я укажу ${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1 ${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via rl1 то в логе при попытке появляются записи Deny ..... via tun0
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	23. "извне через ipfw внутрь.."
	Сообщение от alchie (ok) on 17-Апр-06, 17:22
	>дык если я укажу > >${fwcmd} add allow log tcp from any to ИП_адрес_машины_снаружи out via rl1 > >${fwcmd} add allow log tcp from ИП_адрес_машины_снаружи to any 4899 in via >rl1 > >то в логе при попытке появляются записи Deny ..... via tun0 и правильно. значит нужно с другой стороны копнуть - натд на tun0 перевесить
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	24. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 18-Апр-06, 09:29
	alchie: пробовал я в rc.conf прописывать: natd_enable="YES" natd_interface="tun0" natd_flags="-f /etc/natd.conf" и в natd.conf: log yes log_denied yes use_sockets yes same_ports yes unregistered_only yes dynamic yes interface tun0 redirect_port tcp 192.168.0.2:4899 4899 Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний адрес не пингуется, сообщений об ошибках я больше не нашел....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	25. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 18-Апр-06, 09:34
	>alchie: пробовал я в rc.conf прописывать: > >natd_enable="YES" >natd_interface="tun0" >natd_flags="-f /etc/natd.conf" > >и в natd.conf: >log yes >log_denied yes >use_sockets yes >same_ports yes >unregistered_only yes >dynamic yes >interface tun0 >redirect_port tcp 192.168.0.2:4899 4899 > >Загрузка проходит, в логах соединения (ppp.log) соединение происходит, тунель подымается, но внешний >адрес не пингуется, сообщений об ошибках я больше не нашел.... А он не пингуется из cетки ? Или и с сервака ?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	26. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 18-Апр-06, 09:38
	с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС тоже....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	27. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 18-Апр-06, 09:48
	>с самого шлюза не пингуется (т.е. там где интерфейс стоит)и из ЛВС >тоже.... А нельзя ли посмотреть в этот момент netstat -rn
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	28. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 18-Апр-06, 10:10
	все, проброс совершен. незнаю почему, может глюк или что, но когда в первый раз попытался НАТ на tun повесить, неработало (см. выше), после заметил ошибку: natdnatd: чето типа последняя строка в файле конфигурации должна быть пустой.... поставил, все заработало... буду следить/тестить. огромное спасибо.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	29. "извне через ipfw внутрь.."
	Сообщение от cad2206 on 18-Апр-06, 10:23
	и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса на другой?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	30. "извне через ipfw внутрь.."
	Сообщение от edwin (ok) on 18-Апр-06, 10:36
	>и вот сразу встречный вопрос, чем грозит перевес НАТа с одного интерфейса >на другой? Ну придется подредактировать правила firewall'а
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх