BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: Аспекты настройки PF под FreeBSD 6.2
СообщениеДобавлено: Пн 12 янв, 2009 12:05 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
В сети есть и статические динамические ip адреса, нужно что-бы он НАТил динамику, а статику пропускал без Трансляции.
Пока есть только тестовая сеть.
Клиентская машина (192.168.1.x) -> Маршрутизатор с выходом в нет (172.16.1.16 внешний и 192.168.1.1 внутрений интерфейс) для примера с натом(эта схема работает).
Клиентская машина (62.117.110.94) -> Маршрутизатор с выходом в нет (62.117.110.91 внешний и 62.117.110.1 внутрений интерфейс) вот тут собственно и загвоздка, натить не нужно, бинатить не получается за счёт того что на внешний интерфейс нельзя создавать псевдо интерфейс с ip как у клиента, ну и не очень правильно ибо создать 1-2 таких интерфейса куда ни шло, а 300-400 уже другое дело. =) Помогите чем сможете..


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 12:57 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
я не очень понял, в чем загвоздка?
Что мешает подменять адреса у серых IP'ов по подсети 192.168.1.0/24 (из твоего примера) и оставлять нетронутыми остальные (белые)?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 1:05 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 13 май, 2008 12:47 pm
Сообщения: 1440
Откуда: subnets.ru
Dimonuch писал(а):
я не очень понял, в чем загвоздка?

+1
напиши нормально правила в фаире и все.

_________________
Как НЕ нужно писать: "Спасибо, решил проблему" и все.
Как НУЖНО писать: "спасибо" и объяснять КАК в итоге проблема была решена.
Золотое правило: Помогли тебе - помоги другим.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:05 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Точно правила не могу дать, выходные, но приблизительно покажу что хочу сделать.

int_if="rl0" # Внешний канал с IP 62.117.110.1
din_if="rl0" # Внутренняя сеть с IP 192.168.1.*
stat_if="rl0" # Внутрення сеть с IP 62.117.110.2

Натим din_if на int_if

Всё остальное открыто.

Собственно и вопрос каким образом сделать так что-бы IP с интерфейса stat_if выходили в интернет без Натирования, т.е. с тем IP который забит на клиентской машине т.е. 62.117.110.* .
Насколько я помню в ipfw это делалось с помощью флага -u .


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:38 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
сразу непонятки:
почему у тебя все интерфейсы называются одинаково rl0? Это твоя опечатка или на самом деле тут какая-то "хитрость"?
у тебя внутренних интерфейса два или один с 2 ИПами?

ты говорил, что у тебя NAT уже работает для чего-то?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 3:44 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Dimonuch писал(а):
сразу непонятки:
почему у тебя все интерфейсы называются одинаково rl0? Это твоя опечатка или на самом деле тут какая-то "хитрость"?
у тебя внутренних интерфейса два или один с 2 ИПами?

ты говорил, что у тебя NAT уже работает для чего-то?

Да действительно опечатка =) Всего три интерфейса , натируется только тот на котором 192.168.1.* , второй же внутрений интерфейс должен выходить в интернет через эту же машину, только без правил Натации. Именно это я и не смог найти, как организовать выход одного интерфейса в мир через внешний интерфейс без задействования Ната =)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 4:44 pm 
Не в сети

Зарегистрирован: Ср 02 апр, 2008 9:59 pm
Сообщения: 2127
Откуда: Москва
2 dedsy

ну во-первых, NAT вешается на "исходящем" интерфейсе, то есть во вне который смотрит. Далее, в условиях правила NAT запиши привязку к серой подсети. Тогда правило трансляции будет срабатывать только для пакетов с адресом отправителя из этой серой подсетки, которую и надо оттранслировать.

чисто навскидку примерно так:

Код:
nat on $int_if from $din_if:network to any -> $int_if

могу ошибаться, т.к. "сто лет" не занимался этим и опыта мало.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 4:48 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Dimonuch писал(а):
2 dedsy

ну во-первых, NAT вешается на "исходящем" интерфейсе, то есть во вне который смотрит. Далее, в условиях правила NAT запиши привязку к серой подсети. Тогда правило трансляции будет срабатывать только для пакетов с адресом отправителя из этой серой подсетки, которую и надо оттранслировать.

чисто навскидку примерно так:

Код:
nat on $int_if from $din_if:network to any -> $int_if

могу ошибаться, т.к. "сто лет" не занимался этим и опыта мало.

Да тут всё правильно, но вот клиенты со второго интерфейса с IP 62.117.110.* в интернет как не выходили так и не выходят. =) Мне интересно именно это... как их то выпускать в интернет не трогая их адресса(без трансляции)?
p.s. т.е. для этого интерфейса мне нужно сделать что-то типо свича, но с использованием фаервола =) Белеберда конечно, но по другому объяснить не получается. Но приеэтом не нужно делать из PF полностью Bridging Firewall =) т.е. правила для второго интерфейса мне тоже нужны...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 5:16 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 13 май, 2008 12:47 pm
Сообщения: 1440
Откуда: subnets.ru
dedsy писал(а):
Всё остальное открыто.

Код:
pass all

в конец добавь, что бы он все остальное разрешал, реальники в том числе

_________________
Как НЕ нужно писать: "Спасибо, решил проблему" и все.
Как НУЖНО писать: "спасибо" и объяснять КАК в итоге проблема была решена.
Золотое правило: Помогли тебе - помоги другим.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 12 янв, 2009 5:42 pm 
Не в сети

Зарегистрирован: Пн 12 янв, 2009 12:02 pm
Сообщения: 6
Вот сделал минимальный набор правил.


set block-policy drop

set skip on lo0

lan_if="rl0"
int_if="fxp0"

scrub in all

pass all


Вот только не пойму как PF будет понимать что весь трафик надо заворачивать на внешний интерфейс int_if ?


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика