|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vladimir Kravchenko 2:5020/400 12 Aug 2003 22:41:54
To : All
Subject : NAT и файрвол
--------------------------------------------------------------------------------
Собственно простейшая ситуация - надо повесить NAT на трафик из/в
определенного интерфеса, ну например
natd -m -s -p 6000 -a 195.195.195.2
ipfw add 1 divert 6000 ip from 192.168.1.0/24 to any recv vlan1
ipfw add 2 divert 6000 ip from any to 195.195.195.2
Вообщем то все замечательно и все работает, но ничерта не понятно как это
работает ! :)
1) Как порезать трафик на сеть 192.168.1.0/24 ? если тупо вставить deny, то
на это deny напорется все что получается после трансляции
195.195.195.2 -> 192.168.1.x
Поясню, мне надо что то вроде такого:
ipfw add 3 deny ip from any to 192.168.1.0/24 out xmit vlan1
но срабатывать оно должно только тогда когда трафик идет мимо natd
2) меняем в первом правиле "recv vlan1" на "in recv vlan1" -- не работает,
судя по ipfw -a list на правило что то матчится, но tcpdump четко
показывает что трансляции не произошло, наружу лезут пакеты с адресов
192.168.1.x. Почему? я вроде man читал правильно, сверху вниз и справа
налево :)
3) добавляем во второе правило "out xmit vlan1" - не работает, опять же
спрашивается почему?
конфигурация интерфеса vlan1:
вариант 1:
ifconfig vlan1 inet 192.168.1.1/24 up
ifconfig vlan1 inet 195.195.195.1/24 alias
вариант 2:
ifconfig vlan1 inet 192.168.1.1/24 up
ifconfig vlan1 inet 195.195.195.2/32 alias
--
Vladimir Kravchenko / PK Mostcom JSC / system engineer
Tel: +7 095 2312255 / UIN: 132038843 / Email: jimson@mostcom.ru
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
NAT и файрвол |
Vladimir Kravchenko |
12 Aug 2003 22:41:54 |
|
|
