BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: Аспекты настройки PF под FreeBSD 6.2
СообщениеДобавлено: Пн 12 янв, 2009 12:05 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
В сети есть и статические динамические ip адреса, нужно что-бы он НАТил динамику, а статику пропускал без Трансляции.
Пока есть только тестовая сеть.
Клиентская машина (192.168.1.x) -> Маршрутизатор с выходом в нет (172.16.1.16 внешний и 192.168.1.1 внутрений интерфейс) для примера с натом(эта схема работает).
Клиентская машина (62.117.110.94) -> Маршрутизатор с выходом в нет (62.117.110.91 внешний и 62.117.110.1 внутрений интерфейс) вот тут собственно и загвоздка, натить не нужно, бинатить не получается за счёт того что на внешний интерфейс нельзя создавать псевдо интерфейс с ip как у клиента, ну и не очень правильно ибо создать 1-2 таких интерфейса куда ни шло, а 300-400 уже другое дело. =) Помогите чем сможете..


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 12:57 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
я не очень понял, в чем загвоздка?
Что мешает подменять адреса у серых IP'ов по подсети 192.168.1.0/24 (из твоего примера) и оставлять нетронутыми остальные (белые)?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 1:05 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 13 май, 2008 12:47 pm
Сообщения: 1440
Откуда: subnets.ru
Dimonuch писал(а):
я не очень понял, в чем загвоздка?

+1
напиши нормально правила в фаире и все.

_________________
Как НЕ нужно писать: "Спасибо, решил проблему" и все.
Как НУЖНО писать: "спасибо" и объяснять КАК в итоге проблема была решена.
Золотое правило: Помогли тебе - помоги другим.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:05 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Точно правила не могу дать, выходные, но приблизительно покажу что хочу сделать.

int_if="rl0" # Внешний канал с IP 62.117.110.1
din_if="rl0" # Внутренняя сеть с IP 192.168.1.*
stat_if="rl0" # Внутрення сеть с IP 62.117.110.2

Натим din_if на int_if

Всё остальное открыто.

Собственно и вопрос каким образом сделать так что-бы IP с интерфейса stat_if выходили в интернет без Натирования, т.е. с тем IP который забит на клиентской машине т.е. 62.117.110.* .
Насколько я помню в ipfw это делалось с помощью флага -u .


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:38 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
сразу непонятки:
почему у тебя все интерфейсы называются одинаково rl0? Это твоя опечатка или на самом деле тут какая-то "хитрость"?
у тебя внутренних интерфейса два или один с 2 ИПами?

ты говорил, что у тебя NAT уже работает для чего-то?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:44 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Dimonuch писал(а):
сразу непонятки:
почему у тебя все интерфейсы называются одинаково rl0? Это твоя опечатка или на самом деле тут какая-то "хитрость"?
у тебя внутренних интерфейса два или один с 2 ИПами?

ты говорил, что у тебя NAT уже работает для чего-то?

Да действительно опечатка =) Всего три интерфейса , натируется только тот на котором 192.168.1.* , второй же внутрений интерфейс должен выходить в интернет через эту же машину, только без правил Натации. Именно это я и не смог найти, как организовать выход одного интерфейса в мир через внешний интерфейс без задействования Ната =)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 4:44 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
2 dedsy

ну во-первых, NAT вешается на "исходящем" интерфейсе, то есть во вне который смотрит. Далее, в условиях правила NAT запиши привязку к серой подсети. Тогда правило трансляции будет срабатывать только для пакетов с адресом отправителя из этой серой подсетки, которую и надо оттранслировать.

чисто навскидку примерно так:

Код:
nat on $int_if from $din_if:network to any -> $int_if

могу ошибаться, т.к. "сто лет" не занимался этим и опыта мало.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 4:48 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Dimonuch писал(а):
2 dedsy

ну во-первых, NAT вешается на "исходящем" интерфейсе, то есть во вне который смотрит. Далее, в условиях правила NAT запиши привязку к серой подсети. Тогда правило трансляции будет срабатывать только для пакетов с адресом отправителя из этой серой подсетки, которую и надо оттранслировать.

чисто навскидку примерно так:

Код:
nat on $int_if from $din_if:network to any -> $int_if

могу ошибаться, т.к. "сто лет" не занимался этим и опыта мало.

Да тут всё правильно, но вот клиенты со второго интерфейса с IP 62.117.110.* в интернет как не выходили так и не выходят. =) Мне интересно именно это... как их то выпускать в интернет не трогая их адресса(без трансляции)?
p.s. т.е. для этого интерфейса мне нужно сделать что-то типо свича, но с использованием фаервола =) Белеберда конечно, но по другому объяснить не получается. Но приеэтом не нужно делать из PF полностью Bridging Firewall =) т.е. правила для второго интерфейса мне тоже нужны...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 5:16 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 13 май, 2008 12:47 pm
Сообщения: 1440
Откуда: subnets.ru
dedsy писал(а):
Всё остальное открыто.

Код:
pass all

в конец добавь, что бы он все остальное разрешал, реальники в том числе

_________________
Как НЕ нужно писать: "Спасибо, решил проблему" и все.
Как НУЖНО писать: "спасибо" и объяснять КАК в итоге проблема была решена.
Золотое правило: Помогли тебе - помоги другим.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 5:42 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Вот сделал минимальный набор правил.


set block-policy drop

set skip on lo0

lan_if="rl0"
int_if="fxp0"

scrub in all

pass all


Вот только не пойму как PF будет понимать что весь трафик надо заворачивать на внешний интерфейс int_if ?


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика