FreeBSD (netgraph)

Технические вопросы по UTM 5.0
weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

После упрощения задачи - до использования ТОЛЬКО ната Я понял что НАТ и не работает :)
В общем man ng_nat - этот простой пример у Меня не работает (с поправкой на мою сеть)

Instruktor
Сообщения: 131
Зарегистрирован: Ср авг 10, 2005 21:32
Откуда: Москва

Сообщение Instruktor »

Нормально работает. (FreeBSD 6.2)
Сначала делал по ману, потом усложнённые производные (от примеров мана) скрипты.

mikkey finn
Сообщения: 1612
Зарегистрирован: Пт ноя 10, 2006 15:23

Сообщение mikkey finn »

надо делать немножко иначе.
Нетграф - система компонент, которую можно представить в виде графа.
Берем листик, берем пример, начинаем разрисовывать связи, которые формирует пример. Потом со знанием дела начинаем уже преобразовывать пример под себя.

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

mikkey finn писал(а):надо делать немножко иначе.
Нетграф - система компонент, которую можно представить в виде графа.
Берем листик, берем пример, начинаем разрисовывать связи, которые формирует пример. Потом со знанием дела начинаем уже преобразовывать пример под себя.
А если ТОЛЬКО НАТ и по ману...

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

mikkey finn писал(а):надо делать немножко иначе.
Берем листик, берем пример, начинаем разрисовывать связи, которые формирует пример. Потом со знанием дела начинаем уже преобразовывать пример под себя.
Дык пишу сюда - так как не получается, а не "прикола ради"...

mikkey finn
Сообщения: 1612
Зарегистрирован: Пт ноя 10, 2006 15:23

Сообщение mikkey finn »

http://wiki.bsdportal.ru/doc:netgraph_ng_nat
Это как рабочий пример(у самого работает прекрасно)
По делу - пока не будет вывода ifconfig, ipfw list, ngctl list
а лучше - если конфиги/скрипты, которые готовят это при запуске системы к использованию - то на разводах пива никто гащдать не будет, что именно не работает и почему.

Пример. Допустим, у рутера два интерфейса:
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 10.11.2.1 netmask 0xffffff00 broadcast 10.11.2.255
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.100.99 netmask 0xffffff00 broadcast 192.168.100.255
инет - rl1, считаем, что шлюз по умолчанию - 192.168.100.1
Натим сеть 10.11.2.0/24
Конфиг ната передираем полностью из man ng_nat:

Код: Выделить всё

           ngctl mkpeer ipfw&#58; nat 60 out
           ngctl name ipfw&#58;60 nat
           ngctl connect ipfw&#58; nat&#58; 61 in
           ngctl msg nat&#58; setaliasaddr x.y.35.8
Политика фаервола тупая в доску - никому ничо нельзя.
ipfw_one_pass ставим в ноль, если действительно нужна обработка пакета после прохождения через нат(только нафига?, ставим нат последними правилами и никаких гвоздей)

Код: Выделить всё

         
ipfw add 300 netgraph 61 all from any to me in via rl1
ipfw add 400 netgraph 60 all from 10.11.2.0/24 to not me out via rl1
ipfw add 500 fwd 192.168.100.1 all from me to any
Если я правильно помню/понимаю - пакет после того, как проходит nat по правилу fwd улетит на рутер инета, а тот уже разберется, что с ним делать. Пакет, прилетевший с инета пройдет деалиасинг и дальше уже зависит от того, как составлены правила фаервола. deny ip from any to any естественно даст непингуемую машину. Если сделать allow ip from me to 10.11.2.0/24, то теоретически должно помочь.[/code]

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

Стоит:
192.168.100.1(шлюз в инет) ---192.168.100.99 (ТУТ нат хочу сделать)| 10.11.2.1(интерфейс в локалку) --- 10.11.2.3 (машина с WinXP)
На 192,168,100,1 запускаю пинг на 192,168,100,99
На 10,11,2,3 запускаю пинг на 10,11,2,1 и 192,168,128,2 и 192,168,100,1

# pfctl -d
pfctl: pf not enabled


Делаю следующий скрипт:
# cat /usr/local/etc/rc.d/new_ng_nat.sh

Код: Выделить всё

#!/bin/sh
ngctl="/usr/sbin/ngctl "
ipfw="/sbin/ipfw " 
ifconfig="/sbin/ifconfig "
tcpdumt="/usr/sbin/tcpdump"

nat_ip="192.168.100.99"

$ngctl mkpeer ipfw&#58; nat 60 out
$ngctl name ipfw&#58;60 nat
$ngctl connect ipfw&#58; nat&#58; 61 in
$ngctl msg nat&#58; setaliasaddr $nat_ip
   
$ipfw add 10 skipto 65400 ip from 192.168.100.1 to me
$ipfw add 300 netgraph 61 all from any to me in via rl1
$ipfw add 400 netgraph 60 all from 10.11.2.0/24 to not me out via rl1
$ipfw add 500 fwd 192.168.100.1 all from me to any 
$ipfw delete 10
$tcpdump -c 1000 >/ng_nat/tcpdump &

sleep 60
$ngctl list >/ng_nat/ngctllist
$ipfw show>/ng_nat/ipfwshow
$ipfw list>/ng_nat/ipfwlist
$ifconfig >/ng_nat/ifconfig
$ipfw -f flush
#cat {ngctl list >}/ng_nat/ngctllist

Код: Выделить всё

There are 5 total nodes&#58;
  Name&#58; ngctl1095       Type&#58; socket          ID&#58; 00000009   Num hooks&#58; 0
  Name&#58; nat             Type&#58; nat             ID&#58; 00000005   Num hooks&#58; 2
  Name&#58; ipfw            Type&#58; ipfw            ID&#58; 00000003   Num hooks&#58; 2
  Name&#58; rl1             Type&#58; ether           ID&#58; 00000002   Num hooks&#58; 0
  Name&#58; rl0             Type&#58; ether           ID&#58; 00000001   Num hooks&#58; 0
#cat {ipfw show>}/ng_nat/ipfwshow

Код: Выделить всё

00300 202 12523 netgraph 61 ip from any to me in via rl1
00400 161  8057 netgraph 60 ip from 10.11.2.0/24 to not me out via rl1
00500 174  8963 fwd 192.168.100.1 ip from me to any
65400 504 26548 allow ip from any to any
65535   2    56 allow ip from any to any
#cat {ipfw list>}/ng_nat/ipfwlist

Код: Выделить всё

00300 netgraph 61 ip from any to me in via rl1
00400 netgraph 60 ip from 10.11.2.0/24 to not me out via rl1
00500 fwd 192.168.100.1 ip from me to any
65400 allow ip from any to any
65535 allow ip from any to any
#cat {ifconfig >}/ng_nat/ifconfig

Код: Выделить всё

rl0&#58; flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 10.11.2.1 netmask 0xffffff00 broadcast 10.11.2.255
        ether 00&#58;a1&#58;b0&#58;01&#58;05&#58;71
        media&#58; Ethernet autoselect &#40;100baseTX <full-duplex>&#41;
        status&#58; active
rl1&#58; flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.100.99 netmask 0xffffff00 broadcast 192.168.100.255
        ether 00&#58;01&#58;29&#58;76&#58;0f&#58;cd
        media&#58; Ethernet autoselect &#40;100baseTX <full-duplex>&#41;
        status&#58; active
plip0&#58; flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
pfsync0&#58; flags=0<> mtu 2020
        syncpeer&#58; 224.0.0.240 maxupd&#58; 128
pflog0&#58; flags=0<> mtu 33208
lo0&#58; flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80&#58;&#58;1%lo0 prefixlen 64 scopeid 0x6 
        inet6 &#58;&#58;1 prefixlen 128 
        inet 127.0.0.1 netmask 0xff000000 
#cat {tcpdump -c 1000 >}/ng_nat/tcpdump

Код: Выделить всё

1&#58;14&#58;03.332583 IP 10.11.2.3.1034 > 192.168.100.1.domain&#58;  33472+ A? login.icq.com. &#40;31&#41;
21&#58;14&#58;03.332629 IP 10.11.2.3.1034 > rt1.saltov.home.domain&#58;  33472+ A? login.icq.com. &#40;31&#41;
21&#58;14&#58;03.744789 IP 10.11.2.3 > 10.11.2.1&#58; ICMP echo request, id 512, seq 56585, length 40
21&#58;14&#58;03.744846 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 56585, length 40
21&#58;14&#58;04.745015 IP 10.11.2.3 > 10.11.2.1&#58; ICMP echo request, id 512, seq 56841, length 40
21&#58;14&#58;04.745077 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 56841, length 40
21&#58;14&#58;05.739388 IP 10.11.2.3 > 192.168.100.1&#58; ICMP echo request, id 512, seq 57097, length 40
21&#58;14&#58;05.745200 IP 10.11.2.3 > 10.11.2.1&#58; ICMP echo request, id 512, seq 57353, length 40
21&#58;14&#58;05.745241 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 57353, length 40

Во время выполнения скрипта и с WInXP(10.11.2.3) пуска ping 192.168.100.1 и ping 192.168.128.2
Запуск на 192,168,100,1
# tcpdump -i eth1 -f

Код: Выделить всё

tcpdump&#58; verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB &#40;Ethernet&#41;, capture size 96 bytes
22&#58;30&#58;22.430329 arp who-has 192.168.100.1 tell 192.168.100.99
22&#58;30&#58;22.438397 arp reply 192.168.100.1 is-at 00&#58;30&#58;4f&#58;25&#58;7a&#58;b1 &#40;oui Unknown&#41;
22&#58;30&#58;22.430367 IP 10.11.2.3 > 192.168.100.1&#58; ICMP echo request, id 512, seq 44033, length 40
22&#58;30&#58;22.931140 IP 10.11.2.3 > 192.168.128.2&#58; ICMP echo request, id 512, seq 44289, length 40
22&#58;30&#58;23.381425 IP 192.168.100.99.59543 > 10.11.25.1.domain&#58; 54371 notify &#91;b2&3=0x2400&#93; &#91;1a&#93; SOA? 25.11.10.in-addr.arpa. &#40;95&#41;
22&#58;30&#58;23.438366 IP 10.11.25.1.domain > 192.168.100.99.59543&#58; 54371 notify* 0/0/0 &#40;39&#41;
22&#58;30&#58;23.881984 IP 192.168.100.99.59543 > 10.11.25.1.domain&#58; 38578 notify &#91;b2&3=0x2400&#93; &#91;1a&#93; SOA? skyhome. &#40;74&#41;
22&#58;30&#58;24.181110 IP 10.11.25.1.domain > 192.168.100.99.59543&#58; 38578 notify* 0/0/0 &#40;25&#41;
22&#58;30&#58;27.930042 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 45825, length 40
22&#58;30&#58;27.930128 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 45825, length 40
22&#58;30&#58;28.430049 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 46337, length 40
22&#58;30&#58;28.430123 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 46081, length 40
22&#58;30&#58;28.430921 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 46081, length 40
22&#58;30&#58;28.436810 arp who-has 192.168.100.99 tell 192.168.100.1
22&#58;30&#58;28.436913 arp reply 192.168.100.99 is-at 00&#58;01&#58;29&#58;76&#58;0f&#58;cd &#40;oui Unknown&#41;
22&#58;30&#58;33.429858 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 46593, length 40
22&#58;30&#58;33.429945 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 46593, length 40
22&#58;30&#58;33.929773 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 46849, length 40
22&#58;30&#58;33.929850 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 47105, length 40
22&#58;30&#58;33.930216 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 47105, length 40
22&#58;30&#58;38.929631 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 47361, length 40
22&#58;30&#58;38.929698 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 47361, length 40
22&#58;30&#58;39.429559 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 47617, length 40
22&#58;30&#58;39.429672 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 47873, length 40
22&#58;30&#58;44.429404 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 48129, length 40
22&#58;30&#58;44.429475 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 48129, length 40
22&#58;30&#58;44.929344 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 48385, length 40
22&#58;30&#58;44.929468 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 48641, length 40
22&#58;30&#58;44.929880 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 48641, length 40
22&#58;30&#58;49.929176 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 48897, length 40
22&#58;30&#58;49.929246 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 48897, length 40
22&#58;30&#58;50.429144 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 49153, length 40
22&#58;30&#58;50.429266 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 49409, length 40
22&#58;30&#58;50.494074 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 49409, length 40
22&#58;30&#58;55.428970 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 49665, length 40
22&#58;30&#58;55.429060 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 49665, length 40
22&#58;30&#58;55.928922 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 49921, length 40
22&#58;30&#58;55.928996 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 50177, length 40
22&#58;30&#58;55.929427 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 50177, length 40
22&#58;31&#58;00.427013 arp who-has 192.168.100.99 tell 192.168.100.1
22&#58;31&#58;00.427151 arp reply 192.168.100.99 is-at 00&#58;01&#58;29&#58;76&#58;0f&#58;cd &#40;oui Unknown&#41;
22&#58;31&#58;00.928744 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 50433, length 40
22&#58;31&#58;00.928814 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 50433, length 40
22&#58;31&#58;01.428737 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 50689, length 40
22&#58;31&#58;01.428853 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 50945, length 40
22&#58;31&#58;01.429186 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 50945, length 40
22&#58;31&#58;04.731353 IP 192.168.100.99.1036 > 192.168.100.1.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;04.731427 IP 192.168.100.1 > 192.168.100.99&#58; ICMP 192.168.100.1 udp port domain unreachable, length 67
22&#58;31&#58;05.731305 IP 192.168.100.99.1036 > 192.168.128.2.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;05.732547 IP 192.168.128.2.domain > 192.168.100.99.1036&#58; 64927 2/4/0 CNAME&#91;|domain&#93;
22&#58;31&#58;06.428548 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 51201, length 40
22&#58;31&#58;06.428621 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 51201, length 40
22&#58;31&#58;06.731233 IP 192.168.100.99.1036 > 192.168.100.1.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;06.731316 IP 192.168.100.1 > 192.168.100.99&#58; ICMP 192.168.100.1 udp port domain unreachable, length 67
22&#58;31&#58;06.928525 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 51457, length 40
22&#58;31&#58;06.928640 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 51713, length 40
22&#58;31&#58;06.929187 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 51713, length 40
22&#58;31&#58;08.731195 IP 192.168.100.99.1036 > 192.168.100.1.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;08.731259 IP 192.168.100.1 > 192.168.100.99&#58; ICMP 192.168.100.1 udp port domain unreachable, length 67
22&#58;31&#58;08.731276 IP 192.168.100.99.1036 > 192.168.128.2.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;08.732343 IP 192.168.128.2.domain > 192.168.100.99.1036&#58; 64927 2/4/0 CNAME&#91;|domain&#93;
22&#58;31&#58;11.928333 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 51969, length 40
22&#58;31&#58;11.928420 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 51969, length 40
22&#58;31&#58;12.428298 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 52225, length 40
22&#58;31&#58;12.428371 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 52481, length 40
22&#58;31&#58;12.428696 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 52481, length 40
22&#58;31&#58;12.731006 IP 192.168.100.99.1036 > 192.168.100.1.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;12.731068 IP 192.168.100.1 > 192.168.100.99&#58; ICMP 192.168.100.1 udp port domain unreachable, length 67
22&#58;31&#58;12.731086 IP 192.168.100.99.1036 > 192.168.128.2.domain&#58; 64927+ A? login.icq.com. &#40;31&#41;
22&#58;31&#58;12.731903 IP 192.168.128.2.domain > 192.168.100.99.1036&#58; 64927 2/4/0 CNAME&#91;|domain&#93;
22&#58;31&#58;17.428112 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 52737, length 40
22&#58;31&#58;17.428182 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 52737, length 40
22&#58;31&#58;17.928064 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 52993, length 40
22&#58;31&#58;17.928203 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 53249, length 40
22&#58;31&#58;17.928804 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 53249, length 40
22&#58;31&#58;22.927909 IP 192.168.100.99 > 192.168.100.1&#58; ICMP echo request, id 512, seq 53505, length 40
22&#58;31&#58;22.927980 IP 192.168.100.1 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 53505, length 40
22&#58;31&#58;23.427881 IP 10.11.2.1 > 10.11.2.3&#58; ICMP echo reply, id 512, seq 53761, length 40
22&#58;31&#58;23.428004 IP 192.168.100.99 > 192.168.128.2&#58; ICMP echo request, id 512, seq 54017, length 40
22&#58;31&#58;23.428295 IP 192.168.128.2 > 192.168.100.99&#58; ICMP echo reply, id 512, seq 54017, length 40
22&#58;31&#58;28.427666 IP 10.11.2.3 > 192.168.100.1&#58; ICMP echo request, id 512, seq 54273, length 40
22&#58;31&#58;28.927667 IP 10.11.2.3 > 192.168.128.2&#58; ICMP echo request, id 512, seq 54785, length 40

82 packets captured
82 packets received by filter
0 packets dropped by kernel

Последний раз редактировалось weldpua2008 Ср сен 26, 2007 22:47, всего редактировалось 1 раз.

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

На 192.168.100.1 # ping 10.11.2.3
PING 10.11.2.3 (10.11.2.3) 56(84) bytes of data.

--- 10.11.2.3 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 3998ms

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

Судя по:
22:30:28.430123 IP 192.168.100.99 > 192.168.128.2: ICMP echo request, id 512, seq 46081, length 40
22:30:28.430921 IP 192.168.128.2 > 192.168.100.99: ICMP echo reply, id 512, seq 46081, length 40
Все же НАТ запускается, но чего-то не так с правилами - I need help

Аватара пользователя
Chris
Сообщения: 2323
Зарегистрирован: Чт июн 02, 2005 14:08
Откуда: 33 76 77 71 86 37 98

Сообщение Chris »

sysctl -a | grep one_pass

что там?

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

Chris писал(а):sysctl -a | grep one_pass

что там?
# sysctl -a | grep one_pass
net.inet.ip.fw.one_pass: 0

Аватара пользователя
Chris
Сообщения: 2323
Зарегистрирован: Чт июн 02, 2005 14:08
Откуда: 33 76 77 71 86 37 98

Сообщение Chris »

блин... не подтвердилось....

ps awx | grep natd

ipfw -a list

давай всё в студию :)

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

Chris писал(а):блин... не подтвердилось....

ps awx | grep natd
# ps awx | grep natd
1172 p0 R+ 0:00.00 grep natd
ipfw -a list

давай всё в студию :)
А чем не подошло ipfw show? - выше есть точно

Аватара пользователя
Chris
Сообщения: 2323
Зарегистрирован: Чт июн 02, 2005 14:08
Откуда: 33 76 77 71 86 37 98

Сообщение Chris »

natd не запущен... как запускаешь?

weldpua2008
Сообщения: 19
Зарегистрирован: Пн сен 24, 2007 13:02

Сообщение weldpua2008 »

Chris писал(а):natd не запущен... как запускаешь?
Угу - вот оно...
Что надо natd запускать???
Я же ng_nat запускаю что бы nat получить в ядре...
Ладно:
#man ng_nat
An ng_nat node performs network address translation (NAT) of packets
passing through it. A nat node uses libalias(3) engine for packet alias-
ing. At this moment it supports only the basic functionality of the
library.

В общем там нигде не написано о использовании natd, ps вот Я его и не использую - или это намек на то что бы из ядра убрать?
ЗЫ: Я так НАТ могу и с помощью pf организовать...
ЗЫ:
Может стоит почистить ядро от ненужных модулей ?

Код: Выделить всё

# cat SERVER 
machine         i386
cpu             I686_CPU
ident           SERVER

options         SCHED_ULE
options         PREEMPTION              # Enable kernel thread preemption
options         INET                    # InterNETworking
options         INET6                   # IPv6 communications protocols
options         FFS                     # Berkeley Fast Filesystem
options         SOFTUPDATES             # Enable FFS soft updates support
options         UFS_ACL                 # Support for access control lists
options         UFS_DIRHASH             # Improve performance on big directories
options         MD_ROOT                 # MD is a potential root device
options         NFSCLIENT               # Network Filesystem Client
options         NFSSERVER               # Network Filesystem Server
options         NFS_ROOT                # NFS usable as /, requires NFSCLIENT
options         MSDOSFS                 # MSDOS Filesystem
options         CD9660                  # ISO 9660 Filesystem
options         PROCFS                  # Process filesystem &#40;requires PSEUDOFS&#41;
options         PSEUDOFS                # Pseudo-filesystem framework
options         GEOM_GPT                # GUID Partition Tables.
options         COMPAT_43               # Compatible with BSD 4.3 &#91;KEEP THIS!&#93;
options         COMPAT_FREEBSD4         # Compatible with FreeBSD4
options         COMPAT_FREEBSD5         # Compatible with FreeBSD5
options         SCSI_DELAY=5000         # Delay &#40;in ms&#41; before probing SCSI
options         KTRACE                  # ktrace&#40;1&#41; support
options         SYSVSHM                 # SYSV-style shared memory
options         SYSVMSG                 # SYSV-style message queues
options         SYSVSEM                 # SYSV-style semaphores
options         _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options         KBD_INSTALL_CDEV        # install a CDEV entry in /dev
options         ADAPTIVE_GIANT          # Giant mutex is adaptive.
options IPSEC 
options IPSEC_ESP
options LIBALIAS
options NETGRAPH
options NETGRAPH_ASYNC 
options NETGRAPH_BPF 
options NETGRAPH_BRIDGE 
options NETGRAPH_CISCO 
options NETGRAPH_DEVICE 
options NETGRAPH_ECHO 
options NETGRAPH_EIFACE 
options NETGRAPH_ETHER 
options NETGRAPH_GIF 
options NETGRAPH_GIF_DEMUX 
options NETGRAPH_TAG 
options NETGRAPH_TCPMSS 
options NETGRAPH_FEC 
options NETGRAPH_HOLE 
options NETGRAPH_IFACE 
options NETGRAPH_IP_INPUT 
options NETGRAPH_KSOCKET 
options NETGRAPH_L2TP 
options NETGRAPH_LMI 
options NETGRAPH_NETFLOW 
options NETGRAPH_ONE2MANY 
options NETGRAPH_PPP 
options         NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPPOE 
options NETGRAPH_PPTPGRE 
options NETGRAPH_RFC1490 
options NETGRAPH_SOCKET 
options NETGRAPH_SPLIT 
options NETGRAPH_TEE 
options NETGRAPH_TTY 
options NETGRAPH_UI 
options NETGRAPH_VJC
################
options         NETGRAPH
options         NETGRAPH_IPFW
options         LIBALIAS
options         NETGRAPH_NAT
options         NETGRAPH_NETFLOW
options         NETGRAPH_SPLIT
options         NETGRAPH_KSOCKET
options         NETGRAPH_SOCKET
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
################
options KVA_PAGES=512
##############__IPFW___#############
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
#options IPFIREWALL_FORWARD_EXTENDED
#options         IPFIREWALL_FORWARD_EXTENDED
options   IPFIREWALL_DEFAULT_TO_ACCEPT 
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options DUMMYNET
options TCP_DROP_SYNFIN
#options  BRIDGE
###########PF################
options DEVICE_POLLING
######## PF  ###########
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ # Class Bases Queuing &#40;CBQ&#41;
options ALTQ_RED # Random Early Detection &#40;RED&#41;
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler &#40;HFSC&#41;
options ALTQ_PRIQ # Priority Queuing &#40;PRIQ&#41;
#options ALTQ_NOPCC # Required for SMP build
options ALTQ_CDNR
######################
options HZ=1000
options TCP_DROP_SYNFIN
device    ccd
device  carp
device          apic                    # I/O APIC
device vlan 
device gre
device pf 
device pflog 
device pfsync 
device carp 
#device ppp 
#device gif 
device tun 
device tap 
options PPP_BSDCOMP 
options PPP_DEFLATE 
options PPP_FILTER 
#options IPSTEALTH 
options DEVICE_POLLING 
options CLK_CALIBRATION_LOOP 
options VFS_AIO 
device ehci 

device crypto 
device cryptodev 
device rndtest
# Bus support.
........................

Ответить