https://opennet.ru/openforum/vsluhforumID1/76379.html Привет Всем<br># uname -r<br>6.2-RELEASE-p7<br><br># pfctl -d<br>pfctl: pf not enabled<br><br>В ядре опции:<br>options NETGRAPH<br>options NETGRAPH_ASYNC <br>options NETGRAPH_BPF <br>options NETGRAPH_BRIDGE <br>options NETGRAPH_CISCO <br>options NETGRAPH_DEVICE <br>options NETGRAPH_ECHO <br>options NETGRAPH_EIFACE <br>options NETGRAPH_ETHER <br>options NETGRAPH_GIF <br>options NETGRAPH_GIF_DEMUX <br>options NETGRAPH_TAG <br>options NETGRAPH_TCPMSS <br>options NETGRAPH_FEC <br>options NETGRAPH_HOLE <br>options NETGRAPH_IFACE <br>options NETGRAPH_IP_INPUT <br>options NETGRAPH_KSOCKET <br>options NETGRAPH_L2TP <br>options NETGRAPH_LMI <br>options NETGRAPH_NETFLOW <br>options NETGRAPH_ONE2MANY <br>options NETGRAPH_PPP <br>options NETGRAPH_MPPC_ENCRYPTION<br>options NETGRAPH_PPPOE <br>options NETGRAPH_PPTPGRE <br>options NETGRAPH_RFC1490 <br>options NETGRAPH_SOCKET <br>options NETGRAPH_SPLIT <br>options NETGRAPH_TEE <br>options NETGRAPH_TTY <br>options NETGRAPH_UI <br>options NETGRAPH_VJC<br>options NETGRAPH<br>options NETGRAPH_IPFW<br>options LIBALIAS<br>options NETGR https://opennet.ru/openforum/vsluhforumID1/76379.html#6 Thu, 27 Sep 2007 17:17:54 GMT Вот трабла со всеми данными - ХЕЛП МИ!!!!!<br>http://www.netup.ru/phpbb/viewtopic.php?t=4010&postdays=0&postorder=asc&start=15<br> https://opennet.ru/openforum/vsluhforumID1/76379.html#5 Thu, 27 Sep 2007 04:12:46 GMT А, пардон - не увидел. С настойкой netgraph вы уже разобрались...<br>Я бы предложил такой вариант скрипта для настройки:<br><br>ngctl="/usr/sbin/ngctl"<br><br>alias="192.168.100.99 "<br><br>nfport="4444"<br><br><br>${ngctl} mkpeer ipfw: split 111 mixed<br>${ngctl} name ipfw:111 split111<br><br>${ngctl} mkpeer ipfw: nat 222 in<br>${ngctl} name ipfw:222 nat222<br><br>${ngctl} mkpeer nat222: split out mixed<br>${ngctl} name nat222:out split111<br><br>${ngctl} mkpeer split222: netflow out iface0<br>${ngctl} name split222:out flowsensor<br><br>${ngctl} connect split111: flowsensor: out iface1<br>${ngctl} connect flowsensor: split111: out0 in<br>${ngctl} connect flowsensor: split222: out1 in<br><br>${ngctl} mkpeer flowsensor: ksocket export inet/dgram/udp<br>${ngctl} name flowsensor:export flowsend<br><br>${ngctl} msg nat222: setaliasadr ${alias}<br>${ngctl} msg flowsensor: setdlt { iface=0 dlt=12 }<br>${ngctl} msg flowsensor: setdlt { iface=1 dlt=12 }<br><br>${ngctl} msg flowsensor: setifindex { iface=0 index=0 }<br>${ngctl} msg flowsensor: setifindex { iface=1 index=0 }<br><br>${ngct https://opennet.ru/openforum/vsluhforumID1/76379.html#4 Thu, 27 Sep 2007 03:56:57 GMT &gt;В общем насколько Я понял вся загвозка в том что у Меня <br>&gt;по умолчанию DENY all в ipfw <br><br>Нет. Вся загвоздка в том, что netgraph нада еще настраивать и настраивать. Сам по себе ng_nat ничем тебе не поможет.<br>Итак, начнем по порядку....<br>1. Скомпилировать ядро с поддержкой ng_nat+ng_netflow. Это сделано.<br>2. Установить flow-tools из портов. Тоже, вроде сделано.<br>3. В netgraph "Нарисовать" схему того, что, собственно требуется. (netGRAPH, как ни как... ) По этой теме есть хорошая сцылка http://www.citrin.ru/netgraph/<br>4. Заворачивать с помощью ipfw пакеты в netgraph (например так: ipfw add 1000 netgraph ХХХ ip from any to any in via ${inet_iface}; ipfw add 1100 netgraph YYY ip from any to any out via ${inet_iface}; )<br>5. Запустить flow-capture со всеми необходимыми параметрами.<br><br>Есть хинт: Поскольку flow-capture сваливает сурцы в своем, хитрожопом формате, то посмотреть их можно только с помощью утилиты flow-print. Однако, сам flow-capture имеет очень полезную опцию -R /myscript. Эта опция предписывает запу https://opennet.ru/openforum/vsluhforumID1/76379.html#3 Mon, 24 Sep 2007 00:07:41 GMT В общем насколько Я понял вся загвозка в том что у Меня по умолчанию DENY all в ipfw<br> https://opennet.ru/openforum/vsluhforumID1/76379.html#2 Sun, 23 Sep 2007 23:46:58 GMT Так-с<br>Покопался в Инете и нашел такой скрипт:<br>Напоминаю rl0 - 10.11.2.1 - за ней 10.11.2.0/24 локалка<br>Напоминаю rl1 - 192.168.100.99 - за ней инет<br><br>~# ./fw start<br>06400 allow ip from any to any<br>net.inet.ip.fw.one_pass: 0 -&gt; 0<br>ipfw: rule 110: setsockopt(IP_FW_DEL): Invalid argument<br>ipfw: rule 111: setsockopt(IP_FW_DEL): Invalid argument<br>ipfw: rule 200: setsockopt(IP_FW_DEL): Invalid argument<br>ipfw: rule 201: setsockopt(IP_FW_DEL): Invalid argument<br>00200 netgraph 71 ip from not 10.11.2.0/24 to 192.168.100.99 in via rl1<br>00201 netgraph 70 ip from 10.11.2.0/24 to not 10.11.2.0/24 out via rl1<br>net.inet.ip.fw.one_pass: 0 -&gt; 0<br>./fw: /usr/local/sbin/flow-capture: not found<br>serverb# Read from remote host 192.168.100.99: Connection reset by peer<br><br>Дальше идет риверс - типа неправильный нат, но куда Я не понял :(<br>~# ping 10.11.2.1<br>PING 10.11.2.1 (10.11.2.1) 56(84) bytes of data.<br>64 bytes from 192.168.100.99: icmp_seq=1 ttl=128 time=0.271 ms<br>64 bytes from 192.168.100.99: icmp_seq=2 ttl=128 time=0.239 ms https://opennet.ru/openforum/vsluhforumID1/76379.html#1 Sun, 23 Sep 2007 21:59:20 GMT Может у кого-нить есть готовый скрипт работающий для: <br>ng_nat + ng_netflow?<br>