|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitriy Kyrhlarov 2:5020/400 02 Nov 2001 14:13:16
To : Alex Shevchuk
Subject : Re: Маршрутизация и файрволл
--------------------------------------------------------------------------------
Hi!
Alex Shevchuk wrote:
>
> d> 2. Добеседоваться с админом, чтоб ты его машину видел, как
> d> 192.168.11.200. У себя подними на том же интерфейсе адрес
> d> 192.168.11.1. # Иначе, не понятно, как твоя фря будет понимать че-куда
> d> ей натить.
> Хм. Я тебя понял, однако: его сетка имеет номер 192.168.0.0. Эту сетку моя
> сетка не видит. Тогда, может быть, мне просто попросить адрес для своего
> сервака
> в его сети?
Можно и так. Главное разнести сети.
> Кстати, на моем серваке всего одна сетевуха. С этим, я надеюсь, проблем быть
> не должно? Или для ната обязательно два интерфейса делать надо?
Hеа. Hат ты можешь пускать на интерфейсе, а можешь на адресе. Два адреса
на один интерфейс повесить тоже не вопрос.
man natd
man ifconfig
> d> 4. Пересобираешь ядро с опциями:
> Кстати, кстати. У меня фря 3.1. В какой файл эти опции запихивать? У меня они
> стоят в LINT. Однако там есть еще и GENERIC, и POST... =(
Хм...
LINT -- справочник. Туда включено все на свете.
GENERIC -- исходник того ядра, с которым система поставляется. Файрвола
не содержит.
POST -- это уже, похоже, собственное творчество...
Обычно делают так:
cp /usr/src/sys/i386/conf/GENERIC /usr/src/sys/i386/conf/MyKern
vi /usr/src/sys/i386/conf/MyKern
Выкидывают лишнее и добавляют че надо, глядя в LINT, как в справочник.
> d> 5. В правилай ipfw пишешь
> d> ipfw add divert natd ip from 192.168.10.0/24 to any
> d> ipfw add divert natd ip from any to any
> d> # Запихиваешь весь траффик в нат.
> А зачем первая строка, если вторая даст аналогичный (и даже больший)
> результат?
Ежели разнесешь входящий и исходящий траффик, то проще будет грабли
искать... ;-)
Я там, только забыл OUT и IN добавить, соотв.
> d> 6. Поднимаешь natd командой
> d> natd -a 192.168.11.1
> d> # Hат будет работать на "внешнем" адресе. Т.е. во всех пакетах,
> d> которые пришли из твоей локалки и адресованы наружу будет подменять
> d> адрес отправителя на свой.
> Хм. Кстати, где врубать запуск ната? Я поставил в rc.conf опцию
> natd_enabled="YES", а также natd_flags="-a 192...", однако он начал ругаться,
> что, мол, я еще и -interface юзаю, а его вырубить надобно. Я это дело из
> rc.firewall убрал, однако он все равно ругаться продолжает!!! =(((
А ты интерфейс не юзай... (я так понимаю, что он у тебя в /etc/natd.conf
жить должен). Если у тебя один интерфейс и два адреса нат ни фига не
поймет че ты от него хочешь...
rc.firewall это файл, в котором живут твои файрвольные правила. В том
числе и правила заворота пакетов в natd... Ты его аккуратно уродуй.
Лучше ваще не трогай, а в rc.conf пропиши firewall_type
"/etc/rc.firewall.my", заведи соотв., файлик и там все рули...
By.
Dmitriy
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
