forum.opennet.ru - "ipfw, nat, no nat" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw, nat, no nat"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw, nat, no nat"	+/–
Сообщение от Том Сойер on 16-Дек-11, 13:28
Добрый день. Система FreeBSD 8.2. Айпишники клиентов занесены в таблицу 1, которая натится на bce2. К интерфейсу bce0 подключен сервер 11.22.9.2. Так вот все клиенты к нему ходят через нат. Вопрос: как сделать чтобы при подключении к серверу 11.22.9.2 из подсетей 192.168... они не натились, а просто маршрутизоровались? у клиентов default gateway 192.168...1. server# ifconfig bce0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 inet 11.22.9.1 netmask 0xffffff00 broadcast 11.22.9.255 bce1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 bce2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 inet 11.22.8.2 netmask 0xffffff00 broadcast 11.22.8.255 bce3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 inet 192.168.11.1 netmask 0xffffff00 broadcast 192.168.11.255 inet 10.90.90.91 netmask 0xfffff000 broadcast 10.90.95.255 inet 192.168.12.1 netmask 0xffffff00 broadcast 192.168.12.255 inet 192.168.10.1 netmask 0xffffff00 broadcast 192.168.10.255 server# ipfw list 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00500 check-state 00501 allow tcp from me to any setup keep-state 00502 allow icmp from me to any keep-state 00503 allow udp from me to any keep-state 00900 pipe 5 ip from any to table(5) out via bce3 00900 pipe 5 ip from table(5) to any in via bce3 01000 pipe 10 ip from any to table(10) out via bce3 01001 pipe 10 ip from table(10) to any in via bce3 02000 pipe 20 ip from any to table(20) out via bce3 02001 pipe 20 ip from table(20) to any in via bce3 03000 pipe 30 ip from any to table(30) out via bce3 03001 pipe 30 ip from table(30) to any in via bce3 03300 pipe 33 ip from any to table(33) out via bce3 03300 pipe 33 ip from table(33) to any in via bce3 04000 pipe 40 ip from any to table(40) out via bce3 04001 pipe 40 ip from table(40) to any in via bce3 05000 pipe 50 ip from any to table(50) out via bce3 05001 pipe 50 ip from table(50) to any in via bce3 06000 pipe 60 ip from any to table(60) out via bce3 06001 pipe 60 ip from table(60) to any in via bce3 07000 pipe 70 ip from any to table(70) out via bce3 07001 pipe 70 ip from table(70) to any in via bce3 08000 pipe 80 ip from any to table(80) out via bce3 08001 pipe 80 ip from table(80) to any in via bce3 09000 pipe 90 ip from any to table(90) out via bce3 09001 pipe 90 ip from table(90) to any in via bce3 10000 pipe 100 ip from any to table(100) out via bce3 10001 pipe 100 ip from table(100) to any in via bce3 11000 pipe 110 ip from any to table(110) out via bce3 11001 pipe 110 ip from table(110) to any in via bce3 40000 nat 100 ip from table(1) to any 40002 nat 100 ip from any to 11.22.8.2 in via bce2 65000 allow ip from any to any 65535 deny ip from any to any server# netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 11.22.8.1 UGS 13477450 129359122 bce2 server# sysctl net.inet.ip.fw.one_pass net.inet.ip.fw.one_pass: 1
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw, nat, no nat, GD, 17:34 , 16-Дек-11, (1)

ipfw, nat, no nat, Том Сойер, 18:01 , 16-Дек-11, (3)

ipfw, nat, no nat, _sirius_, 17:48 , 16-Дек-11, (2)

ipfw, nat, no nat, Том Сойер, 18:03 , 16-Дек-11, (4)
ipfw, nat, no nat, Том Сойер, 18:29 , 16-Дек-11, (5)

ipfw, nat, no nat, Anonym, 19:02 , 16-Дек-11, (6)

ipfw, nat, no nat, Том_Сойер, 19:57 , 20-Дек-11, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw, nat, no nat" +/–

Сообщение от GD on 16-Дек-11, 17:34

> Добрый день.
> Система FreeBSD 8.2.
> Айпишники клиентов занесены в таблицу 1, которая натится на bce2.
> К интерфейсу bce0 подключен сервер 11.22.9.2. Так вот все клиенты к нему
> ходят через нат.
> Вопрос: как сделать чтобы при подключении к серверу 11.22.9.2 из подсетей 192.168...
> они не натились, а просто маршрутизоровались? у клиентов default gateway 192.168...1.
подумать над правилом 40000

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ipfw, nat, no nat" +/–

Сообщение от Том Сойер on 16-Дек-11, 18:01

> подумать над правилом 40000
Здесь я все понимаю, что они натяться. Вот я и спрашивал как принудительно заставить не натиться. Решил следующим образом
ipfw add 30000 fwd 11.22.9.2 ip from table\(1\) to 11.22.9.2
но по-моему это какое-то масло масляное. Да и потом все сеть 11.22.9.0/24 так не пихнешь, или же надо на каждый адрес делать правило, что не по джедайски.
Спасибо.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "ipfw, nat, no nat" +/–

Сообщение от _sirius_ (ok) on 16-Дек-11, 17:48

до 40000 правила сделать
allow ip from 192.168.0.0/24 to 11.22.9.2
allow ip from 11.22.9.2 to 192.168.0.0/24

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "ipfw, nat, no nat" +/–

Сообщение от Том Сойер on 16-Дек-11, 18:03

> до 40000 правила сделать
> allow ip from 192.168.0.0/24 to 11.22.9.2
> allow ip from 11.22.9.2 to 192.168.0.0/24
Ё-моё, Семен Семеныч. Как же сам то не допер. Сделал как написал выше. Сейчас попробую Ваш совет. Вроде это правильнее всего.
Спасибо.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ipfw, nat, no nat" +/–

Сообщение от Том Сойер on 16-Дек-11, 18:29

> до 40000 правила сделать
> allow ip from 192.168.0.0/24 to 11.22.9.2
> allow ip from 11.22.9.2 to 192.168.0.0/24
Попробовал, не помогло.
Да и предыдущее мое решение как-то странно работает, у некоторых работает, а у некоторых нет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "ipfw, nat, no nat" +/–

Сообщение от Anonym on 16-Дек-11, 19:02

>> до 40000 правила сделать
>> allow ip from 192.168.0.0/24 to 11.22.9.2
>> allow ip from 11.22.9.2 to 192.168.0.0/24
> Попробовал, не помогло.
> Да и предыдущее мое решение как-то странно работает, у некоторых работает, а
> у некоторых нет.
используйте skipto

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ipfw, nat, no nat" +/–

Сообщение от Том_Сойер (ok) on 20-Дек-11, 19:57

>>> до 40000 правила сделать
>>> allow ip from 192.168.0.0/24 to 11.22.9.2
>>> allow ip from 11.22.9.2 to 192.168.0.0/24
>> Попробовал, не помогло.
>> Да и предыдущее мое решение как-то странно работает, у некоторых работает, а
>> у некоторых нет.
> используйте skipto
Спасибо всем. Остановился на skipto.
ЗЫ А глючило из-за того, что алиасом был прописан 192.168.10.2, соответственно запросы принимало, а ответы пыталось пихнуть в свой же сегмент. Внимательнее надо быть.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw, nat, no nat"	+/–
Сообщение от GD on 16-Дек-11, 17:34
> Добрый день. > Система FreeBSD 8.2. > Айпишники клиентов занесены в таблицу 1, которая натится на bce2. > К интерфейсу bce0 подключен сервер 11.22.9.2. Так вот все клиенты к нему > ходят через нат. > Вопрос: как сделать чтобы при подключении к серверу 11.22.9.2 из подсетей 192.168... > они не натились, а просто маршрутизоровались? у клиентов default gateway 192.168...1. подумать над правилом 40000
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "ipfw, nat, no nat"	+/–
	Сообщение от Том Сойер on 16-Дек-11, 18:01
	> подумать над правилом 40000 Здесь я все понимаю, что они натяться. Вот я и спрашивал как принудительно заставить не натиться. Решил следующим образом ipfw add 30000 fwd 11.22.9.2 ip from table\(1\) to 11.22.9.2 но по-моему это какое-то масло масляное. Да и потом все сеть 11.22.9.0/24 так не пихнешь, или же надо на каждый адрес делать правило, что не по джедайски. Спасибо.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "ipfw, nat, no nat"	+/–
Сообщение от _sirius_ (ok) on 16-Дек-11, 17:48
до 40000 правила сделать allow ip from 192.168.0.0/24 to 11.22.9.2 allow ip from 11.22.9.2 to 192.168.0.0/24
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "ipfw, nat, no nat"	+/–
	Сообщение от Том Сойер on 16-Дек-11, 18:03
	> до 40000 правила сделать > allow ip from 192.168.0.0/24 to 11.22.9.2 > allow ip from 11.22.9.2 to 192.168.0.0/24 Ё-моё, Семен Семеныч. Как же сам то не допер. Сделал как написал выше. Сейчас попробую Ваш совет. Вроде это правильнее всего. Спасибо.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "ipfw, nat, no nat"	+/–
	Сообщение от Том Сойер on 16-Дек-11, 18:29
	> до 40000 правила сделать > allow ip from 192.168.0.0/24 to 11.22.9.2 > allow ip from 11.22.9.2 to 192.168.0.0/24 Попробовал, не помогло. Да и предыдущее мое решение как-то странно работает, у некоторых работает, а у некоторых нет.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "ipfw, nat, no nat"	+/–
	Сообщение от Anonym on 16-Дек-11, 19:02
	>> до 40000 правила сделать >> allow ip from 192.168.0.0/24 to 11.22.9.2 >> allow ip from 11.22.9.2 to 192.168.0.0/24 > Попробовал, не помогло. > Да и предыдущее мое решение как-то странно работает, у некоторых работает, а > у некоторых нет. используйте skipto
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ipfw, nat, no nat"	+/–
	Сообщение от Том_Сойер (ok) on 20-Дек-11, 19:57
	>>> до 40000 правила сделать >>> allow ip from 192.168.0.0/24 to 11.22.9.2 >>> allow ip from 11.22.9.2 to 192.168.0.0/24 >> Попробовал, не помогло. >> Да и предыдущее мое решение как-то странно работает, у некоторых работает, а >> у некоторых нет. > используйте skipto Спасибо всем. Остановился на skipto. ЗЫ А глючило из-за того, что алиасом был прописан 192.168.10.2, соответственно запросы принимало, а ответы пыталось пихнуть в свой же сегмент. Внимательнее надо быть.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору