https://www.opennet.ru/openforum/vsluhforumID1/92846.html Добрый день!<br> Есть FreeBSD 8.2, сетевуха rl0 смотрит в локалку 192.168.1.0/24, ADSL модем - смотрит в интернет, висит модем на том же rl0, IP модема 192.168.1.252.<br> Задача - поднять mpd5 -&gt; pppoe -&gt; ADSL интернет и раздать на 192.168.1.0/24.<br>Интернет раздается через IPFW + Kernel NAT<br><br>С поднятием интернета все гуд. Проблема состоит в следующем. После поднятия соединения в интернет с помощью mpd:<br><br>-если ручками в консоли прописать <br><br>ipfw nat 1 config ip x.x.x.x log same_ports unreg_only<br>ipfw add nat 1 all from 192.168.1.0/24 to any<br>ipfw add nat 1 all from any to x.x.x.x<br><br>все работает на УРА.<br><br>-если попытаться автоматизировать процесс и сделать это все в скрипте mpd-ip-up<br>/usr/local/etc/mpd5/mpd-ip-up:<br>1. #!/bin/sh<br>2. ipfw -q flush<br>3. ipfw nat 1 config ip $3 log same_ports unreg_only<br>4. ipfw add nat 1 all from 192.168.1.0/24 to any<br>5. ipfw add nat 1 all from any to $3<br><br>то возникает следующая ситуация: все строки отрабатываются, кроме 3-й. Соответсвенно ни о каком интернете ре https://www.opennet.ru/openforum/vsluhforumID1/92846.html#15 Sun, 08 Jan 2012 17:39:30 GMT &gt;[оверквотинг удален]<br>&gt; к моменту обработки скрипта либо интерфейс не успевает получить ip-адрес, либо <br>&gt; mpd оперирует данными из кэша ;) Ради интереса можно было-бы втиснуть <br>&gt; в скрипт "эху" - поглядеть что там на самом деле в <br>&gt; этот момент за значения, ну и естественно попробовать именно в таком <br>&gt; синтаксисе вбить их с консоли ;) <br>&gt; А вообще - ИМХО - в связке mpd & ipwf - возьмите <br>&gt; за правило - если у Вас интерфейс "динамика" - пусть даже <br>&gt; с приколоченным гвоздями адресом - везде, где только возможно - опирайтесь <br>&gt; на имя интерфейса, а не его адрес... IPFW штука умная, в <br>&gt; большинстве случаев - сама замечательно "разбирает" :) <br><br>echo $3 &gt; file - выдает адрес х.х.х.х/32. Если вбить онное из консоли, т.е <br>ipfw nat 1 config ip x.x.x.x/32 - пишет bad ip adress, если же вбивать <br>ipfw nat 1 config ip x.x.x.x - съедает без проблем. Я в скрипте отбросил /32 и все заработало. Скрип не может стартануть до получения IP адреса, он то в доках обычно и фиурирует как ip-up, и стартует когда готов https://www.opennet.ru/openforum/vsluhforumID1/92846.html#14 Sat, 07 Jan 2012 20:43:52 GMT &gt; ... Для того что б его можно было скармливать данным способом, <br>&gt; нужно отбросить 3 последних символа, т.е. /32 <br><br>Странно, у меня при статическом адресе - ничего не отбрасывается - и kernel nat спокойно работает ... Есть подозрение, что у Вас просто к моменту обработки скрипта либо интерфейс не успевает получить ip-адрес, либо mpd оперирует данными из кэша ;) Ради интереса можно было-бы втиснуть в скрипт "эху" - поглядеть что там на самом деле в этот момент за значения, ну и естественно попробовать именно в таком синтаксисе вбить их с консоли ;)<br>А вообще - ИМХО - в связке mpd & ipwf - возьмите за правило - если у Вас интерфейс "динамика" - пусть даже с приколоченным гвоздями адресом - везде, где только возможно - опирайтесь на имя интерфейса, а не его адрес... IPFW штука умная, в большинстве случаев - сама замечательно "разбирает" :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92846.html#13 Sat, 07 Jan 2012 19:46:59 GMT &gt;[оверквотинг удален]<br>&gt; получаемый "в динамике" адрес... "не гут", совсем "не гут"... даже если <br>&gt; это адрес, прибитый для Вас у провайдера гвоздями... Правильнее было-бы в <br>&gt; данном случае - опереться в конфигурации на имя интерфейса - параметр <br>&gt; $1 ... и получить конфигу типа: <br>&gt; /sbin/ipfw -q nat 2 config if $1 reset unreg_only same_ports redirect_port tcp <br>&gt; 192.168.0.7:3389 3389 ....<br>&gt; /sbin/ipfw -q add 30021 nat 2 all from \{ 192.168.0.0/24 or 192.168.100.0/24 <br>&gt; \} to any out xmit $1 <br>&gt; /sbin/ipfw -q add 30022 nat 2 all from any to $3 in <br>&gt; recv $1 <br><br>Про то, что мне не было известно о том, что можно опереться на интерфейс - я уже писал. В дальнейшем если прийдется еще понимать и PPPoE Server с помощью того же mpd то динамическим окажется и сам интерфейс. Но как бы там не было, я думаю, что все равно к чему привязывать: толи $1, или же $3. Единственное ято я упустил из внимания, так это формат $3 параметра. Для того что б его можно было скармливать данным способом, нужно отбросить 3 послед https://www.opennet.ru/openforum/vsluhforumID1/92846.html#12 Sat, 07 Jan 2012 19:39:59 GMT &gt; ... вот в этом самом месте нужно было "замереть" и подумать :) <br><br>Да, Вы правы на все 100! Замирал и думал. А пока думал решил написать на форум, обратиться а помощью! Думаю в этом нет ничего дурного.<br> https://www.opennet.ru/openforum/vsluhforumID1/92846.html#11 Sat, 07 Jan 2012 11:09:42 GMT &gt; 1. - До - показывает дефолтное правило, после - добавляются правила 4,5 <br>&gt; строки. Счетчики по правилу 4-й строки нулевые, если потом ручками сконфить <br>&gt; нат - все гуд.<br>&gt; 2. - в логах mpd ничего, что может навести на нужный путь, <br>&gt; в логах ipfw - почемуто все сообщения от Kernel <br><br>... вот в этом самом месте нужно было "замереть" и подумать :)<br><br>&gt; Хотя такое и допустимо (сначала правила, потом конфитг ната)<br><br>... абсолютно верно ...<br><br>&gt; Я выяснил следующее: параметром $3 в mpd является локальный IP присваеваемый провайдером.<br><br>... вот в этом месте нужно было повторить процесс "замереть и подумать" - Вы пытаетесь скормить ipfw конфигурацию для ната, с настройкой на получаемый "в динамике" адрес... "не гут", совсем "не гут"... даже если это адрес, прибитый для Вас у провайдера гвоздями... Правильнее было-бы в данном случае - опереться в конфигурации на имя интерфейса - параметр $1 ... и получить конфигу типа:<br><br>/sbin/ipfw -q nat 2 config if $1 reset unreg_only same_ports redirect_port tcp 192.168.0.7: https://www.opennet.ru/openforum/vsluhforumID1/92846.html#10 Sat, 07 Jan 2012 09:05:24 GMT man ipfw<br><br>ipfw nat 1 show config<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92846.html#9 Sat, 07 Jan 2012 08:54:20 GMT Да, вот еще, а как просмотреть конфиги ната в ipfw?<br> https://www.opennet.ru/openforum/vsluhforumID1/92846.html#8 Sat, 07 Jan 2012 08:48:40 GMT Всем огромное спасибо за участие.<br> Михалыч, можеш не извеняться. На этом форуме меня очень радует то, что людей отсюда не посылают куда-подальше, как это делается на на некоторых форумах.<br> Я Kernel NAT настраиваю впервые. Раньше я делал это через демон natd, а вот друг попросил собрать небольшой сервер, дабы раздать инет по локалке, и вот решил попробывать Kernel NAT. Я даже не предполагал. что можно настроить не через IP а через интерфейс (ну какие примеры нагуглил). Но у меня получилось и через IP. В данном случае 3-я строка выглядит следующим образом:<br>1. #!/bin/sh<br>2. ipfw -q flush<br>3. ipfw nat 1 config ip ${3%/32} log same_ports unreg_only<br>4. ipfw add nat 1 all from 192.168.1.0/24 to any<br>5. ipfw add nat 1 all from any to $3 <br><br>Еще раз: всем огромное спасибо за участие!<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92846.html#7 Sat, 07 Jan 2012 08:37:34 GMT С IP не пробовал.<br>