Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
Значит, так: 20.11.02 04:10 Число просмотров: 1134
Автор: Zef <Alloo Zef> Статус: Elderman
|
запретил
ipfilter_enable="NO"
firewall_enable="NO"
natd_enable="NO"
теперь, поскольку из 192.168.2.0 внешний интерфейс (192.168.1.151) пингуется, а из 192.168.1.0 внутренний (192.168.2.1) - нет, я делаю вывод, что из 192.168.2.0 в 192.168.1.0 пинки роутятся, а ответы обратно - нет. Значит роутер, хоть на половину, но работает. Так?
Дальше: поскольку, конечная цель - файрвол, и вся подсетка 192.168.2.0 должна сидеть на одном IP 192.168.1.151, то что мне с ним надо:
BRIDGE?
routed?
natd?
|
<networking>
|
FreeBSD bridge не грабли - вилы!!! 19.11.02 10:50
Автор: Zef <Alloo Zef> Статус: Elderman
|
Короче 2 Ethernet карты, две подсетки: 192.168.1.0 (внешняя) 192.168.2.0 (внутренняя)
внешний интерфейс dc0 192.168.1.151 def. gateway 192.168.1.1 (в интернет)
внутренний: dc1 192.168.2.1, подсетки 255.255.255.0
относящийся к рутеру кусок rc.conf ваглядит так:
router="routed"
gateway_enable="YES"
router_enable="YES"
static_routes="YES"
forward_sourceroute="YES"
router_flags="-q"
ipv6_enable="NO"
интерфейсы пингуются и пингуют, на серваке Инет работает. Роутинга - нет, хоть тресни, хотя netstat -r дает:
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGSc 1 10 dc0
localhost localhost UH 0 0 lo0
subnet1 link#1 UC 1 0 dc0
192.168.1.1 00:a0:cc:5b:90:4d UHLW 1 0 dc0 760
subnet2 link#2 UC 1 0 dc1
192.168.2.2 00:a0:cc:53:bc:66 UHLW 0 0 dc1 779
(192.168.2.2 - машина во внутренней подсетке)
чего еще надо сделать?
|
|
FreeBSD bridge не грабли - вилы!!! 25.11.02 11:27
Автор: windup Статус: Незарегистрированный пользователь
|
> Короче 2 Ethernet карты, две подсетки: 192.168.1.0 > (внешняя) 192.168.2.0 (внутренняя) > внешний интерфейс dc0 192.168.1.151 def. gateway > 192.168.1.1 (в интернет) > внутренний: dc1 192.168.2.1, подсетки 255.255.255.0 > > чего еще надо сделать?
По моему NAT не хватает
natd_enable="YES"
natd_interface="write_your_interface"
natd_flags="-dynamic -u"
regards!
|
|
Отбой! Дело было не в бобине: 20.11.02 05:25
Автор: Zef <Alloo Zef> Статус: Elderman
|
в подсетке 192.168.2.0 дефолт гейтом стоял 192.168.2.1, а в 192.168.1.0, естессно 192.168.1.1. Пинг, отправленный из подсетки 192.168.1.0 в 192.168.2.0 через него улетал "в никуда", и ответы на пинги из подсетки 192.168.2.0 уходили туда же...
Как только я на таче 192.168.1.100 прописал дефолт гейт 192.168.1.151 - все пошло.
|
|
не пойму тока при чем тут бридж? 19.11.02 12:07
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
бридж используется для объединения в двух сегментов (при этом сеть в этих сегментах одинаковая)
в данном случе нужно просто настроить роутинг
а что с правилами ФВ? с настройками вроде все ок
с внутренней сети внешний фейс пингуется?
> Короче 2 Ethernet карты, две подсетки: 192.168.1.0 > (внешняя) 192.168.2.0 (внутренняя) > внешний интерфейс dc0 192.168.1.151 def. gateway > 192.168.1.1 (в интернет) > внутренний: dc1 192.168.2.1, подсетки 255.255.255.0 > > относящийся к рутеру кусок rc.conf ваглядит так: > > router="routed" <-- это не нужно > gateway_enable="YES" > router_enable="YES" <-- это тоже > static_routes="YES" > forward_sourceroute="YES" > router_flags="-q" <-- это тоже > ipv6_enable="NO" > > интерфейсы пингуются и пингуют, на серваке Инет работает.
|
| |
192.168.2.2 192.168.1.151 пингует, снаружи 192.168.2.1 - нет 19.11.02 12:56
Автор: Zef <Alloo Zef> Статус: Elderman
|
файрвол я пока запретил, хотя, конечная цель - он, родимый.
|
| | |
Пардон, можно немного подробнее как ты его запретил? Какие опции в ядре по этому поводу? И зачем тебе routd, если маршрутизация статическая? 19.11.02 16:27
Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member Отредактировано 19.11.02 16:43 Количество правок: 1
|
|
| | | |
Значит, так: 20.11.02 04:10
Автор: Zef <Alloo Zef> Статус: Elderman
|
запретил
ipfilter_enable="NO"
firewall_enable="NO"
natd_enable="NO"
теперь, поскольку из 192.168.2.0 внешний интерфейс (192.168.1.151) пингуется, а из 192.168.1.0 внутренний (192.168.2.1) - нет, я делаю вывод, что из 192.168.2.0 в 192.168.1.0 пинки роутятся, а ответы обратно - нет. Значит роутер, хоть на половину, но работает. Так?
Дальше: поскольку, конечная цель - файрвол, и вся подсетка 192.168.2.0 должна сидеть на одном IP 192.168.1.151, то что мне с ним надо:
BRIDGE?
routed?
natd?
|
| | | | |
Значит, так: 20.11.02 10:58
Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member
|
> запретил > ipfilter_enable="NO" > firewall_enable="NO" > natd_enable="NO"
Этого не достаточно, если ipfw или ipfilter скомпилирован и правила по умолчанию deny all from any to any. Сам на это наступил при первой инсталляции БСДи.
> теперь, поскольку из 192.168.2.0 внешний интерфейс > (192.168.1.151) пингуется, а из 192.168.1.0 внутренний > (192.168.2.1) - нет, я делаю вывод, что из 192.168.2.0 в > 192.168.1.0 пинки роутятся, а ответы обратно - нет. Значит > роутер, хоть на половину, но работает. Так? > Дальше: поскольку, конечная цель - файрвол, и вся подсетка > 192.168.2.0 должна сидеть на одном IP 192.168.1.151, то что > мне с ним надо: > BRIDGE? > routed? > natd?
natd - дополнительная защита в любом случае, даже если используются реальные адреса. Ты хочешь, что бы снаружи был виден только один адрес. Соответственно без natd тебе не обойтись. Поскольку у тебя только 2 интерфейса, то динамический роутинг тебе не нужен, значит без routd можно обойтись. Бриджинг тоже не нужен. Посмотри в /etc/rc.firewall секцию SIMPLE, можешь взять ее за основу своего firewall'а. Получится связка ipfw + natd.
|
| | |
и все таки 19.11.02 13:39
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
какие правила ФВ существуют? (выложи вывод ipfw sh )
кажется что проблема именно в них
делаешь так - запускаешь с машины из подсети 192.168.2.0
ping 192.168.1.1
дальше а на серваке запускаешь tcpdump -i dc1 proto ICMP
1 убеждаешься что пакеты приходят
дальше tcpdump -i dc0 proto ICMP
2 убеждаешься что пакеты уходят и возращаются
дальше tcpdump -i dc1 proto ICMP
3 убеждаешься что идут ответы
на каком этапе не работает?
|
|
|