в подсетке 192.168.2.0 дефолт гейтом стоял 192.168.2.1, а в 192.168.1.0, естессно 192.168.1.1. Пинг, отправленный из подсетки 192.168.1.0 в 192.168.2.0 через него улетал "в никуда", и ответы на пинги из подсетки 192.168.2.0 уходили туда же...
Как только я на таче 192.168.1.100 прописал дефолт гейт 192.168.1.151 - все пошло.
не пойму тока при чем тут бридж?19.11.02 12:07 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
бридж используется для объединения в двух сегментов (при этом сеть в этих сегментах одинаковая)
в данном случе нужно просто настроить роутинг
а что с правилами ФВ? с настройками вроде все ок
с внутренней сети внешний фейс пингуется?
> Короче 2 Ethernet карты, две подсетки: 192.168.1.0 > (внешняя) 192.168.2.0 (внутренняя) > внешний интерфейс dc0 192.168.1.151 def. gateway > 192.168.1.1 (в интернет) > внутренний: dc1 192.168.2.1, подсетки 255.255.255.0 > > относящийся к рутеру кусок rc.conf ваглядит так: > > router="routed" <-- это не нужно > gateway_enable="YES" > router_enable="YES" <-- это тоже > static_routes="YES" > forward_sourceroute="YES" > router_flags="-q" <-- это тоже > ipv6_enable="NO" > > интерфейсы пингуются и пингуют, на серваке Инет работает.
файрвол я пока запретил, хотя, конечная цель - он, родимый.
Пардон, можно немного подробнее как ты его запретил? Какие опции в ядре по этому поводу? И зачем тебе routd, если маршрутизация статическая?19.11.02 16:27 Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member Отредактировано 19.11.02 16:43 Количество правок: 1
запретил
ipfilter_enable="NO"
firewall_enable="NO"
natd_enable="NO"
теперь, поскольку из 192.168.2.0 внешний интерфейс (192.168.1.151) пингуется, а из 192.168.1.0 внутренний (192.168.2.1) - нет, я делаю вывод, что из 192.168.2.0 в 192.168.1.0 пинки роутятся, а ответы обратно - нет. Значит роутер, хоть на половину, но работает. Так?
Дальше: поскольку, конечная цель - файрвол, и вся подсетка 192.168.2.0 должна сидеть на одном IP 192.168.1.151, то что мне с ним надо:
BRIDGE?
routed?
natd?
Значит, так:20.11.02 10:58 Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member
Этого не достаточно, если ipfw или ipfilter скомпилирован и правила по умолчанию deny all from any to any. Сам на это наступил при первой инсталляции БСДи.
> теперь, поскольку из 192.168.2.0 внешний интерфейс > (192.168.1.151) пингуется, а из 192.168.1.0 внутренний > (192.168.2.1) - нет, я делаю вывод, что из 192.168.2.0 в > 192.168.1.0 пинки роутятся, а ответы обратно - нет. Значит > роутер, хоть на половину, но работает. Так? > Дальше: поскольку, конечная цель - файрвол, и вся подсетка > 192.168.2.0 должна сидеть на одном IP 192.168.1.151, то что > мне с ним надо: > BRIDGE? > routed? > natd?
natd - дополнительная защита в любом случае, даже если используются реальные адреса. Ты хочешь, что бы снаружи был виден только один адрес. Соответственно без natd тебе не обойтись. Поскольку у тебя только 2 интерфейса, то динамический роутинг тебе не нужен, значит без routd можно обойтись. Бриджинг тоже не нужен. Посмотри в /etc/rc.firewall секцию SIMPLE, можешь взять ее за основу своего firewall'а. Получится связка ipfw + natd.
и все таки19.11.02 13:39 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
какие правила ФВ существуют? (выложи вывод ipfw sh )
кажется что проблема именно в них
делаешь так - запускаешь с машины из подсети 192.168.2.0
ping 192.168.1.1
дальше а на серваке запускаешь tcpdump -i dc1 proto ICMP
1 убеждаешься что пакеты приходят
дальше tcpdump -i dc0 proto ICMP
2 убеждаешься что пакеты уходят и возращаются
дальше tcpdump -i dc1 proto ICMP
3 убеждаешься что идут ответы
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
