|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Shevchuk 2:5031/50.4 23 Oct 2001 19:37:49
To : All
Subject : Маршрутизация и файрволл
--------------------------------------------------------------------------------
Уже который день не могу решить пару проблему с сабжем... Уже и маны почитал,
и все такое... =(
В общем, есть сетка 192.168.10.0 с фревым сервером 192.168.10.1 (один сетевой
интерфейс, статическая маршрутизация). В локалке есть виндовые машины, а также
сервер другой локалки (сеть 0.0), выступающий под адресом 10.200. Hа нем стоит
Squid, который обеспечивает доступ в инет (через 0.32) только для одного адреса
из сети 10.0. Hеобходимо обеспечить инет для виндовых пользователей... Админ
сети 0.0 сказал, что дал проход для адреса 10.1 (т.е. нужно применить
маскарадинг, но об этом потом), однако все мои попытки пропинговать хоть
какой-нить инетовский IP адрес окончились неудачей. Тогда инет прописали на ещё
один адрес - на виндовую машину, которая, при прописывании шлюзом 10.200 и
выставлении proxy 0.32 в настройках IE, спокойно зашла в инет. Я уж какие только
настройки не делал на серваке... =(
В настройках rc.conf прописано следующее:
network_interfaces="ed0 lo0 "
ifconfig_ed0="inet 192.168.10.1 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="192.168.10.200"
hostname="aaa.bbb.cc"
portmap_enable="NO"
linux_enable="YES"
traceroute показывает, что пакеты доходят до того сервера, но потом не идут...
=(
Следующей задачей является установка файрволла... Почитав man ipfw и man natd,
я составил следующие конфиги:
rc.conf:
------------------------------------------------------------------
firewall_enable="YES"
firewall_type="open"
natd_enable="YES" natd_interface="ed0"
natd_flags="-redirect_address 192.168.10.19 192.168.10.1"
# 10.19 - одна из виндовых машин, которую нужно пропихнуть в инет через
# firewall
rc.firewall:
------------------------------------------------------------------
if [ -f /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
fi
elif [ -f /etc/rc.conf ]; then
. /etc/rc.conf fi
if [ "x$1" != "x" ]; then
firewall_type=$1
fi
# Set quiet mode if requested
if [ "x$firewall_quiet" = "xYES" ]; then
fwcmd="/sbin/ipfw -q"
else
fwcmd="/sbin/ipfw"
fi
$fwcmd -f flush
if [ "X${natd_enable}" = X"YES" -a "X${natd_interface}" != X"" ]; then
$fwcmd add divert natd all from any to any via ${natd_interface}
fi
$fwcmd add 100 pass all from any to any via lo0
$fwcmd add 200 deny all from any to 127.0.0.0/8
if [ "${firewall_type}" = "open" -o "${firewall_type}" = "OPEN" ]; then
$fwcmd add 50 pass all from any to any
$fwcmd add 65000 pass all from any to any
fi
Как видите, настройка - самая примитивная, все стоит по дефолту. Hо мне хотя бы
что б так заработало, а там уж и нормальные правила забабахать можно. В общем,
результатом всего этого стало вот что: если в установках сетевого окружения
поставить шлюз 10.1, а в установках IE - proxy 0.32, то в експлорере появляется
страничка от сквида (с 0.32), что, мол, у вас IP адрес - 10.19, не буду я такой
адрес форвардить. Hе работает маскарадинг! А как его настроить, я так толком и
не вычитал в манах. И, что самое интересное, даже при таких настройках, с
сервака (10.1, для которого и открыт инет от сквида) не пингуются инетовские
адреса! =(((
пс. Кстати, ведь совсем необязательно DNS ставить, правда?
ппс. А установки ядра типа IPFIREWALL нужно прописывать в POST? Или LINT?
пппс. HELP!!!!!!!!!!!!
Best regards, Alex.
--- GoldED+/386 1.1.4.3
* Origin: Тот, кто храпит, всегда засыпает первым. (2:5031/50.4)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
