The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Тематический каталог: Построение шлюза с трансляцией адресов на двух интерфейсах во FreeBSD (nat ipfw freebsd)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Построение шлюза с трансляцией адресов на двух интерфейсах во FreeBSD (nat ipfw freebsd)"  +/
Сообщение от auto_topic (ok), 04-Окт-05, 23:35 
Обсуждение статьи тематического каталога: Построение шлюза с трансляцией адресов на двух интерфейсах во FreeBSD (nat ipfw freebsd)

Ссылка на текст статьи: http://www.opennet.dev/base/net/freebsd_2x_natd.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от universiteemail (ok), 04-Окт-05, 23:35   +/
Ниосилил!

Непонятно через какой интерфейс поднят VPN?
Нафига делать такие огромные стартовые скрипты?
когда можно обойтись тремя конфигами (двух натов и firewall) и запускать с rc.conf и rc.local.


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

2. Сообщение от Saenara (?), 05-Окт-05, 05:50   +/
Непонятно, зачем делать через natd+ipfw, когда теперь есть pf?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

3. Сообщение от SomeThingWrong (?), 05-Окт-05, 09:48   +/
согласен с Saenara, накой хрен юзать старые оглобли natd + ipfw, если существует pf?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Envoy (??), 05-Окт-05, 12:12   +/
Еще есть ipfilter, который не только под *BSD РАБОТАЕТ ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от _Ale_ (??), 05-Окт-05, 13:24   +/
в который раз убеждаюсь PF - весчь! А тут такое наворочено, что не дай бог!
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Taras_email (??), 06-Окт-05, 00:42   +/
pf есть, но в 6-ой ветке natd уже в ядре, а это большая перспектива.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Feb (??), 06-Окт-05, 11:55   +/
Отличная статья!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Vdim (?), 26-Окт-05, 11:55   +/
Извиняюсь за глупый вопрос, но что такое pf ?
И если можно узнать токак построить на базе этого интернет и локалку ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Stalker AKA Zver (?), 23-Дек-05, 14:59   +/
А как быть в такой ситуации?

http://www.bsdportal.ru/viewtopic.php?t=7662

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от lexx (??), 29-Дек-05, 17:55   +/
interface virtualniy. on sozdaetsya progoy pod nazvaniem mpd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от gerashemail (?), 31-Янв-06, 21:31   +/
А про IPNAT все дружно забыли?
в отличие от монстра, описанного в статье, он спокойно НАТит на два интерфейса, и не требует, в отличие от NATD, двух переключений контекста на каждый пакет. Кстати, он не требует, чтобы с ним вместе запускался ipf, и спокойно сосуществует с ipfw. А правила НАТа можно менять по ходу дела.
Т.е. вся мазута в статье свелать бы к отработке правила

map <extNIC> from <intranet> to any -> <extNIC-address>/32

и добавлению при поднятии ng0 из mpd правила
map ng0 from <intranet> to <куда там через VPN ходим> -> <ng0-address>/32

что спокойно добавляется (и убирается при падении VPN) из скрипта в /usr/local/etc/mpd/, ну, например, ng0-up и ng0-down

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от jhnemail (??), 22-Фев-06, 15:45   +/
А как быть если ext_ip inet_ip задаются dhcp сервером???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от gerashemail (?), 24-Сен-06, 12:58   +/
Скрипты ng*-up и ng*-down вызываются из mpd с параметрами - например

exec: /usr/local/etc/mpd/ng1-up ng1 inet 192.168.2.2 192.168.2.1 MyConnection
exec: /usr/local/etc/mpd/ng1-down ng1 inet MyConnection

так что наличие или отсутствие DHCP не влияет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от MetallisT (ok), 28-Сен-07, 14:37   +/
всё отлично работает )
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от daggerokemail (?), 30-Июл-09, 17:33   +/
>3. Созданиемодификация rc скриптов.
>Итак, настало время подумать о запуске второго экземпляра natd.
>Запускать его будем аналогично основному нату, поэтому делаем…
>#cp /etc/rc.d/natd /etc/rc.d/natd2
>… читаем man rc, man rc.subr, HANDBOOK и правим /etc/rc.d/natd2….

далее поскипано

зачем вы это делаете?
есть более простой способ и правильный
читаем man natd
там видим пример указанный разработчиками:

The way this works is that natd.conf builds two instances of the aliasing
engine.

In addition to these instances’ private divert(4) sockets, a third socket
called the “globalport” is created; packets sent to natd via this one
will be matched against all instances and translated if an existing entry
is found, and unchanged if no entry is found. The following lines are
placed into /etc/natd.conf:

log
deny_incoming
verbose

instance default
interface sis0
port 1000
redirect_port tcp 10.0.0.2:122 122

instance sis2
interface sis2
port 2000
redirect_port tcp 10.0.0.2:122 122

globalport 3000

и ничего копировать и править не надо

Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Pirateemail (?), 07-Июл-10, 14:30   +/
Настроил данный конфиг, перестали открываются сайты. Просто белый экран и лоадер "0%" и может висеть так до бесконечности. Может у кого была такая проблема, подскажите решение пожалуйста!
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру