ng_nat

Обсуждаем OS FreeBSD и сервисы на ней.

Re: ng_nat

Сообщение Paltish » 05 ноя 2009, 16:37

lehisnoe писал(а):В правиле:
ipfw add 311 netgraph 60 ip from 10.10.11.0/24 to any via rl0 out


В конфиге статик-ната:
Paltish писал(а):Args: { total_count=1 redirects=[ { id=1 local_addr=10.0.0.2 alias_addr=88.81.238.36 proto=259 description="redir_addr" } ] }


Отсюда и неработоспособность static NAT, т.к. ipfw адрес 10.0.0.2 не завернет в netgraph.


Прошу прощения я просто взял тест пк, пересобрал все и там сеть 10.0.0.0/24
Но стат нат так и не работает, если ищем ошибке в моем конфе, то я думаю что ето бесполезно мы в четвером уже не раз перебрали весь конф.
Paltish
новичок
 
Сообщения: 14
Зарегистрирован: 13 окт 2009, 00:12

Re: ng_nat

Сообщение Paltish » 05 ноя 2009, 16:41

И исходя из етого всего обсуждения я зделал вывод что все время господа питаютсо найти у мну ошибки в конфах, я думаю что не дело не в ошибках, а в незнании :oops: ибо привиденые вопросы выше не указывают на имения опыта с рабочим конфом такой конфигурации, посему наверно здесь ету тему стоит тоже закрыть.
Paltish
новичок
 
Сообщения: 14
Зарегистрирован: 13 окт 2009, 00:12

Re: ng_nat

Сообщение Paltish » 05 ноя 2009, 16:42

Благодарю всех кто пытался помочь)).
Paltish
новичок
 
Сообщения: 14
Зарегистрирован: 13 окт 2009, 00:12

Re: ng_nat

Сообщение lehisnoe » 05 ноя 2009, 21:13

Paltish писал(а):И исходя из етого всего обсуждения я зделал вывод что все время господа питаютсо найти у мну ошибки в конфах

Именно так, т.к. свой пост на тему конфигурации ng_nat я запостил только после его испытания на стенде (стенд был, правда, с одним интерфейсом, но это не меняет сути). Дабы не быть голословным только что воспроизвел стенд еще раз (но уже с разными интерфейсами):
Шлюзовая машина (FreeBSD 7.2-STABLE) имеет адрес 192.168.56.1 на внутреннем интерфейсе vlan200, и два адреса на внешнем интерфейсе msk0 - реальник для static NAT ХХ.ХХ.16.107 в 192.168.56.2 и 172.16.10.37 для PAT. Конфигурирование:
Код: Выделить всё
[root@work ~]# kldload ng_ipfw
[root@work ~]# /usr/sbin/ngctl mkpeer ipfw: nat 60 out
[root@work ~]# /usr/sbin/ngctl name ipfw:60 natA
[root@work ~]# /usr/sbin/ngctl connect ipfw: natA: 61 in
[root@work ~]# /usr/sbin/ngctl msg natA: redirectaddr '{ local_addr=192.168.56.2 alias_addr=XX.XX.16.107 description="static_NAT_for_192.168.56.2" }'
[root@work ~]# /usr/sbin/ngctl msg natA: setaliasaddr 172.16.10.37
[root@work ~]# ipfw add 100 netgraph 61 log logamount 100 ip from any to ХХ.ХХ.16.107 via msk0 in
[root@work ~]# ipfw add 110 netgraph 61 log logamount 100 ip from any to 172.16.10.37 via msk0 in
[root@work ~]# ipfw add 300 netgraph 60 log logamount 100 ip from 192.168.56.0/24 to not 192.168.56.0/24 via vlan200 in
[root@work ~]# ipfw add 1000 allow log logamount 100 ip from any to any


После чего трасса от обычной машины (192.168.56.3) до www.ru:
Код: Выделить всё
[root@PAT:~]# traceroute www.ru
traceroute to www.ru (194.87.0.50), 64 hops max, 40 byte packets
 1  192.168.56.1 (192.168.56.1)  0.282 ms  0.337 ms  0.235 ms
 2  office (172.16.10.14)  0.726 ms  0.689 ms  0.612 ms
 3  10.255.255.1 (10.255.255.1)  1.729 ms  1.721 ms  1.736 ms
 4  host65-16-YY-YY.net.ru (YY.YY.16.65)  2.230 ms  2.115 ms  2.209 ms
 5  10.0.255.1 (10.0.255.1)  3.856 ms  2.846 ms  4.108 ms
 6  v11-jun.msk.mmts-9.net.ru (ZZ.ZZ.16.249)  1.857 ms  1.979 ms  2.101 ms
 7  m9-ix-1g.demos.net (193.232.244.35)  2.101 ms  2.591 ms  2.486 ms
 8  iki-c1-vl10.demos.net (194.87.0.111)  2.980 ms  3.219 ms  5.609 ms
 9  www.ru (194.87.0.50)  2.355 ms  2.219 ms  2.485 ms


Трасса от машины (192.168.56.2) с адресом для static NAT до www.ru:
Код: Выделить всё
[root@Static_nat:~] traceroute www.ru
traceroute to www.ru (194.87.0.50), 64 hops max, 40 byte packets
 1  192.168.56.1 (192.168.56.1)  0.383 ms  0.368 ms  0.373 ms
 2  host105-16-XX-XX.net.ru (XX.XX.16.105)  0.697 ms  0.691 ms  0.666 ms
 3  10.255.255.1 (10.255.255.1)  1.400 ms  1.435 ms  1.431 ms
 4  host65-16-YY-YY.net.ru (YY.YY.16.65)  1.977 ms  2.918 ms  2.094 ms
 5  10.0.255.1 (10.0.255.1)  79.723 ms  3.321 ms  2.259 ms
 6  v11-jun.msk.mmts-9.net.ru (ZZ.ZZ.16.249)  1.799 ms  1.719 ms  1.635 ms
 7  m9-ix-1g.demos.net (193.232.244.35)  2.240 ms  2.190 ms  2.398 ms
 8  iki-c1-vl10.demos.net (194.87.0.111)  5.832 ms  21.683 ms  6.127 ms
 9  www.ru (194.87.0.50)  2.552 ms  2.324 ms  2.536 ms


Входящее подключение на ХХ.ХХ.16.107, ретранслируемое на 192.168.56.2:
Код: Выделить всё
[root@work ~]# tail -f /var/log/security
Nov  5 20:41:20 work kernel: ipfw: 100 Netgraph 61 TCP aa.aa.80.243:63874 XX.XX.16.107:22 in via msk0
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP aa.aa.80.243:63874 192.168.56.2:22 out via vlan200
Nov  5 20:41:20 work kernel: ipfw: 300 Netgraph 60 TCP 192.168.56.2:22 aa.aa.80.243:63874 in via vlan200
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP XX.XX.16.107:22 aa.aa.80.243:63874 out via msk0
Nov  5 20:41:20 work kernel: ipfw: 100 Netgraph 61 TCP aa.aa.80.243:63874 XX.XX.16.107:22 in via msk0
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP aa.aa.80.243:63874 192.168.56.2:22 out via vlan200
Nov  5 20:41:20 work kernel: ipfw: 300 Netgraph 60 TCP 192.168.56.2:22 aa.aa.80.243:63874 in via vlan200
Nov  5 20:41:20 work kernel: ipfw: 1000 Accept TCP XX.XX.16.107:22 aa.aa.80.243:63874 out via msk0


Paltish писал(а):я думаю что не дело не в ошибках, а в незнании :oops: ибо привиденые вопросы выше не указывают на имения опыта с рабочим конфом такой конфигурации

Каждый имеет право на свое мнение, но у меня складывается впечатление на основе игнорирования части моих вопросов, что это мне надо, чтобы у вас что-то заработало.
Paltish писал(а):посему наверно здесь ету тему стоит тоже закрыть.


Пусть повисит пока открытой :)

Paltish писал(а):Благодарю всех кто пытался помочь)).


Пожалуйста.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: ng_nat

Сообщение armadex » 24 ноя 2009, 18:39

при
Код: Выделить всё
net.link.ether.ipfw=1


NAT перестает работать, подскажите куда копать!
armadex
проходил мимо
 
Сообщения: 2
Зарегистрирован: 24 ноя 2009, 18:36

Re: ng_nat

Сообщение root » 25 ноя 2009, 13:33

копать правила, которые ты написал в фаирволе, покажи что у тя там
Код: Выделить всё
ipfw show


делать логирование и смотреть в логи

ну и поясни свою задачу. для чего ты это включаешь ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: ng_nat

Сообщение armadex » 25 ноя 2009, 15:30

ipfw show
Код: Выделить всё
00010     28      3531 netgraph 61 ip from any to 200.200.201.34 via em0 in
00011     44      4122 netgraph 60 ip from 172.24.33.0/24 to any via em0 out
65535     667125 340121828 allow ip from any to any

а фильтрация нужна что бы отсеивать "нежелательных" пользователей. А вообще хочется что то вроде:

Код: Выделить всё
ipfw nat 100 config if em0
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to IP_В_ИНЕТ
ipfw add allow ip from any to any mac any РАЗРЕШЕННЫЙ_МАС in
ipfw table 1 add 172.24.33.225/32(Разрешенный IP)
ipfw add deny all from 172.24.33.0/24 to any
armadex
проходил мимо
 
Сообщения: 2
Зарегистрирован: 24 ноя 2009, 18:36

Re: ng_nat

Сообщение root » 26 ноя 2009, 11:23

armadex писал(а):а фильтрация нужна что бы отсеивать "нежелательных" пользователей.

ну а что мешает добавить ДО правил ната простые deny правила для "нежелательных" пользовательких ипов ?

сейчас НЕ может подделать МАС-адрес только ленивый, посему добавлять привала по макам в ipfw я бы не стал
хочешь заморочиться с маками ? да нивопрос., можешь воспользоваться старым добрым arp:
arp -S hostname ether_addr [temp] [blackhole | reject] [pub [only]]

The blackhole keyword is similar in that traffic is discarded but the sender is not notified.
These can be used to block external traffic to a host without using a firewall.

;)

З.Ы. а маки нуна вязать на порту коммутатора в сторону юзера. Валидный IP+MAC, а все остальное рубить беспощадно иил вязать просто IP.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30