Помогите с РОУТЕРОМ FreeBSD
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Помогите с РОУТЕРОМ FreeBSD - 2007-05-30 01:25:04.250000
|
|
|
dolphik
Сообщений: 12
Оценки: 0
Присоединился: 2005-08-26 23:10:33
|
Доброго времени суток всем!
Имееться машина с двумя интерфейсами rl0 (ip=10.3.252.2) , rl1(ip=10.11.1.2).
требуеться создать роутер который позволяет юзерам с сети 10.11.0.0/16 видеть компы с сети 10.3.252.0/24.
+ ко всему этому из сети 10.3.252.0/24 запрещаеться видеть компики с сети 10.11.0.0/16.
собственно всю трансляцию адресов виполняет natd, который включаю через конф/etc/rc.conf:
natd_enable="YES"
natd_interface="rl0"
И имееться собственно конфиг фаервола, вот его текст
add allow ip from any to any via lo0 -разрешаю всё по локал интерфесу
add check-state -врубаю динамич правила
add allow icmp from any to any - разрешаю исмп пакеты
add allow ip from me to any keep-state -разрешаю все пакети от моего компа(динамич правило)
add allow tcp from any to me 22 via rl1 (разрешаю ссш)
add allow tcp from me 22 to any via rl1
add allow tcp from any to me 21 via rl1 (разрешаю фтп)
add allow tcp from any to me 20 via rl1
add allow tcp from me 21 to any via rl1 (тоже фтп)
add allow tcp from me 20 to any via rl1
add divert natd all from 10.11.0.0/16 to 10.3.252.0/24 (направляю на натд пакети с одной сети в другую)
add divert natd all from 10.3.252.0/24 to me in recv rl0
add allow ip from 10.3.252.0/24 to 10.11.0.0/16
При попытке любого компа обратиться через етот роутер, он гврит что немогу найти таких компов…
Но был раньше такой конф фаервола:
add allow all from any to any via lo0
divert natd all from any to any via rl0
add allow all from any to any via rl0
add allow all from any to any via rl1
и всё работало какбы через "свитч" с подменой мака и ип.
Поправте пожалуйста мой конф
|
|
|
|
|
RE: Помогите с РОУТЕРОМ FreeBSD - 2007-05-31 23:39:06.493333
|
|
|
BigIron
Сообщений: 898
Оценки: 0
Присоединился: 2007-05-13 18:53:43.593333
|
А через rl1 у тебя что можно ходить только 20 и 21 портам? (я давно файрволлы под бсдю не писал, не помню как там с дефолт полиси, извиняйте). Пусти и другие(если полиси - друп), ато если я понял , у тебя можно только с одной стороны айпям ходить(allow), а с другой нет. И вообще - почаще пользуйся tcpdump-ом, будет понятнее, заодно разберешься подробнее с фильтрами.
Да, и еще маленькое упущение, имхо, - ты не написал с какой стороны пакеты проходят а с какой нет.
|
|
|
|
|
|
