The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD 8.2 + IPFW + NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от Gaidamak email(??) on 21-Апр-11, 15:56 
Проапгрейдился с 8.1 до 8.2. Из rc.firewall перестали грузиться правила, завязанные на nat. Остальные правила грузятся. Прооверял на дефолтном rc.firewall - та же песня. Изматерился, исплевался, пока не нашел удивительный выход, на месте /etc/rc.firewall оставил заглушку, а настоящий rc.firewall грузится отдельным скриптом из /usr/local/etc/rc.d
Понимаю, что это до безобразия криво, но это работает.  Нет вообще никаких мыслей на тему где ковырять.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от Сергей (??) on 21-Апр-11, 16:27 
rc.conf в студию

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от Gaidamak email(??) on 22-Апр-11, 10:10 
> rc.conf в студию

firewall_enable="YES"
firewall_type="simple"
firewall_quiet="NO"
firewall_logging="YES"

natd_enable="YES"
natd_flags=""
natd_interface="em1"

firewall_simple_oif="em1"
firewall_simple_onet="217.25.xxx.xxx/29"

firewall_simple_iif="em0"
firewall_simple_inet="192.168.10.0/24"


все абсолютно стандартно.

но весь прикол в том, что вот эти правила из rc.firewall

case ${natd_enable} in
        [Yy][Ee][Ss])
         if [ -n "${natd_interface}" ]; then
            ${fwcmd} add divert natd all from 192.168.10.128/25 to any via ${natd_interface}
            ${fwcmd} add divert natd all from any to ${onet} recv ${natd_interface}
                fi
                ;;
esac

не добавляются в процессе загрузки и, наоборот, добавляются, если скрипт выполнить вручную после загрузки.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от gpl77 (ok) on 22-Апр-11, 10:25 
> но весь прикол в том, что вот эти правила из rc.firewall

..
> не добавляются в процессе загрузки и, наоборот, добавляются, если скрипт выполнить вручную
> после загрузки.

похоже на изменение порядка обработки rc.d скриптов.
может покрутить rcorder

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от vityuk email on 15-Дек-11, 13:19 
>[оверквотинг удален]
> ${fwcmd} add divert natd all from 192.168.10.128/25 to any via ${natd_interface}
>            
> ${fwcmd} add divert natd all from any to ${onet} recv ${natd_interface}
>            
>     fi
>            
>     ;;
> esac
> не добавляются в процессе загрузки и, наоборот, добавляются, если скрипт выполнить вручную
> после загрузки.

У меня похожая ситуация. НО у меня при згрузке стандартного /etc/rc.firewall запускается скрипт, который сбрасывает стандартные правила и добавляет те что мне нужно.
При этом ТОЛЬКО правила divert не добавляет. Перезапускаю скрипт руками - все чудесно добавляется.
Есть варианты?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от uasash2 on 21-Апр-11, 23:57 
> Проапгрейдился с 8.1 до 8.2. Из rc.firewall перестали грузиться правила, завязанные на
> nat. Остальные правила грузятся. Прооверял на дефолтном rc.firewall - та же
> песня. Изматерился, исплевался, пока не нашел удивительный выход, на месте /etc/rc.firewall
> оставил заглушку, а настоящий rc.firewall грузится отдельным скриптом из /usr/local/etc/rc.d
> Понимаю, что это до безобразия криво, но это работает.  Нет вообще
> никаких мыслей на тему где ковырять.

в 8.2 начало нормально работать one_pass=1
посмотри sysctl |grep one_pass а так же прочитай про прохождение пакетов в ipfw


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "FreeBSD 8.2 + IPFW + NAT"  +/
Сообщение от vityuk email on 19-Дек-11, 18:59 
> Проапгрейдился с 8.1 до 8.2. Из rc.firewall перестали грузиться правила, завязанные на
> nat. Остальные правила грузятся. Прооверял на дефолтном rc.firewall - та же
> песня. Изматерился, исплевался, пока не нашел удивительный выход, на месте /etc/rc.firewall
> оставил заглушку, а настоящий rc.firewall грузится отдельным скриптом из /usr/local/etc/rc.d
> Понимаю, что это до безобразия криво, но это работает.  Нет вообще
> никаких мыслей на тему где ковырять.

Добавь в ядро опцию:
options         IPDIVERT
И пересобери его.
Правила применяются до того как загружаются модули.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру