NAT в NetBSD
Здравствуйте!
У меня проблема, не могу настроить NAT.
Ядро скомпилировал с options GATEWAY
Далее по инструкциям http://www.netbsd.org/docs/guide/en/chap-net-practice.html#chap-net-practice-ipnat-configuring-gateway
Но ничего не выходит.
Имею vr0 192.168.1.5 -- Интернет (ADSL)
rtk0 192.168.1.2 -- ЛВС
Интернет локально работает, ПРОВЕРЯЛ (На шлюзе NetBSD)
Его нужно пустить в ЛВС по определённым портам.
Для начало решил попробывать пустить весь!
Мои действия :
1)sysctl net.inet.ip.forwarding
Получил ответ net.inet.ip.forwarding = 1
2)Создал /etc/ipnat.conf
В него вписал "map vr0 192.168.1.2/24 -> 192.168.1.5"
Пробовал "map vr0 192.168.1.2/24 -> 192.168.1.5 portmap tcp/udp"
3) /etc/rc.d/ipnat start
Но ничего не выходит!
Интернет не работает, в ЛВС. Локально Имеется.
Помогите, пожалуйса!
Зарание СПАСИБО!
.
- Войдите или зарегистрируйтесь, чтобы получить возможность отправлять комментарии
- 4600 просмотра
Так-же заметил,
Так-же заметил, на команлу
ipnat
выдаёт
#ipnat - ioctl(SIOCGNATS): Input/output error
Из источников узнал следующие
ioctl(SIOCGNATS): Input/output error Ensure that the necessary kernel
functionality is present and ipf enabled with ipf -E.
#ipf -E
Но не помогает...
С ядром по умолчанию команда проходит, но там выключен NAT.
Ядро компилировал на основе GENERIC
Poroysya po perevedennim
Poroysya po perevedennim manualam na obsd.ru - tam bili ochen horoshie rukovodstva po PF s primerami. PF vezde odin i tot je. Sam NAT imenno v PF ne nastraival no eto kak-to ochen prosto delaetsya.
Esli ne hochesh gemoroya to
Esli ne hochesh gemoroya to luchshe beri PF a ne ipf.
PF можно
PF можно расшифровать!
Я понял.
>vr0 192.168.1.5 -- Интернет (ADSL)
>rtk0 192.168.1.2 -- ЛВС
ЛВС вывел в 10.10.9.1
Жду помощи....
PF - что это? (название программы!)
На комаду #modload
На комаду #modload /usr/lkm/pf.o
Пишет ошибку:
modload: error initializing module: Program version wrong
Как я понял ругается что программная версия не та.
Я как понял можно зделать не загрузкой модуля, а встроить в ядро
---
But if you prefer to use PF in the kernel, then you need least the following option enabled:
options PFIL_HOOKS # pfil(9) packet filter hooks
This option should be enabled in the GENERIC kernel by default. To enable PF in the kernel, the following pseudo-devices should be added to the kernel configuration:
pseudo-device pf # PF packet filter
pseudo-device pflog # PF log interface
----
Поставил ядро на компиляцию... Будем пробовать.
После
После компиляции ядра на команду
#ipnatd пишет
ipnat - ioctl(SIOCGNATS): Invalid argument
На ipf -E
Ничего не пишет
На ipf -V
пишет версию, статус Активен
На комаду #modload /usr/lkm/pf.o
Стал выдавать кучу сообщений.
Есть ли способ проверить, работает ли он?
# modload
У меня так, так как модуль есть и подгружен.
Может быть, вы при инсталляции не указали поставить модули для ядра? Ибо странен такой вывод.
И насколько я
И насколько я помню я не перекомпилировал ядро ради PF, модуля достаточно.
После
После компиляци такое больше не пишет
# modload /usr/lkm/pf.o
modload: error initializing module: File exists
На комаду #modload /usr/lkm/pf.o
Стал выдавать кучу сообщений.
Есть ли способ проверить, работает ли он?
Вобщим дело
Вобщим дело обстоит ТАК:
С GENERIC ядром модуль подгружается
А с моим НЕТ!
В ядре есть
pseudo-device pf # PF packet filter
pseudo-device pflog # PF log interface
А так-же lkm. Мне кажется что чего-то не хватает.
Подскажите, что надо включить в конфиге ядра?
Тема по
Тема по прежнему АКТУАЛЬНА!
Первое! Читаем
Первое! Читаем (много раз) до просветления:
http://dreamcatcher.ru/index.php?option=com_content&task=view&id=69&Itemid=5
Читаем оччень вдумчиво man pptp.
И только потом начинаем задавать вопросы.
АДСЛ адрес статический или динамический?
ЗЫ на подобные вопросы самый лучший ответчик ... google.com.ru :)
Адрес
Адрес статический, дело в том, что pf или ipnat не запускаются с пересобраным ядром, со стандартным всё ОК.
Вопрос в том, что надо в ядре включить для того что-бы всё работало!!!
А настоить, это дело техники.
PS Ядро собрано на основе GENERIC и всё вроме включил по инструкции....
Ошибки описаны в постах выше.
Решил
Решил проверить работает-ли pf
Я же его в ядро впихнул....
Вписал rc.conf и в sysctl.conf всё что требуется, => reboot
И что-бы вы думали? команда ipfstat показывает что циферки идут
А на /etc/rc.d/pf start показывает что firewall уже запущен!!!!
Скажите, всё это значит, что чудо свершилось, и всё заработало?
ВСЁ
ВСЁ РАБОТАЕТ!!!!!
Только-что проверил, ВСЁ ОК.
ВСЕМ СПАСИБО.
PS PF включён в ядро. НЕ МОДУЛЕМ.
А altq в pf
А altq в pf работает?
Должно
Должно работать, Сначало ругался, мол нету.
Я его то-же в ядро включил, и всё стало ОК.
Всё, шлюз полностью готов, завтра здаю заказчику, тему можно закрывать.
PS: Первый опыт общения с NetBSD.
Очень понравилось! Впечатления положительные.
В том то и дело,
В том то и дело, что у меня в версиях от 2.0 до 3.Х altq в pf НЕ РАБОТАЛО! Причем не только у меня. Гуглил на предмет ошибки и выдавало кучу подобный вопросов. Сгибнев Михаил обещал баг оформить. Я дожидаться не стал. Пришлось перейти на OpenBSD. Там ессно все побежало: и шейпер и виллинг (встренный). Кстати - поищи cnupm. Он должен собираться и под NetBSD. У меня работает полтора года. Легко ставится. Прост - как тапочки )). Вообще-то нетка - рулёз! Ее пакеты портируются в стрекозу - DragonFly.
Раньше, до
Раньше, до последней пересборки писал, что altq выключен, но pf работает, после пересборки с включение
в ядро по оф.инструкции ошибок нету, пишет что всё включено NetBSD 4RC3 ядро последнее (4.9 и что-то там дальше)
И что самле смешное, в последний момент, когда я всё запустил и проверил что всё работает (простой сценарий скидал)
звонит шефф и говорит, мол давай быстрее, без NAT'а, там пользователи только браузером пользуются, шлюз за маршрутизатором с firewall'ом и тд... Так что без NAT'a.
Дык а какая
Дык а какая рвзница??!!! Есть НАТ или нет?! Шеф даже и знать то не будет! Единственное "НО" - попасть на машины за НАТом нельзя. Хотя, если почесать репу, то ... можно ). Пинговаться будут не машины а НАТовский шоюз ).
Да я хотел по
Да я хотел по другому сделать, Создать псевдо-интерфейс статистики,с прокси, и прочие соединения на него заруливают, там общитываются. Далее в инет.
> Единственное "НО" - попасть на машины за НАТом нельзя.
Думаю можно пробросить. Хотя там фирма 7 ПК. Виндовс ХР.+adsl+nat провайдера с серым IP.
PS шеф даже не знает что такое NetBSD, думает что это Linux, периодически называя его FreeBSD.
Задачу поставил так: Зделай такой, нормальный шлюз. Вот тебе для этого 433 mb cel с 64 mb ОЗУ.
НИЧЕГО НЕ НУЖНО
НИЧЕГО НЕ НУЖНО СОЗДАВАТЬ! Ставь cnupm - погугли, найдешь. И все! У меня стоит С400, 64 рам, мб - VIA (понятия не имеет про копермайны), 70 машин гребут инет. ТОП - до 7%. Думаю вообще 1-й пень поставить ). Все проще, чем кажется ;). У меня стоит контролер домена на стрекозе. Через отдельный интерфейс на опенок с инетом. Не захотелось мне ставить АДСЛ на контролер. Глюки инета, обрывы, потери адреса ... не хочу лишний раз контролер дергать. На нем и днс, и вэб, и фтп, и нтп, и принт, самба ... уже и не помню что еще ;). Да, поставь mrtg - будешь статистику видеть ).
ЗЫ контролер и иже с ним на одной железке, а инет на via - нат, пф, альткю и все.
Уже позно,
Уже позно, отвёз шлюз.
Там sarg раз в месяц статистику снимает со squid'a, на ftp её ложит, старая архивируется в архив, а в новый года архив очищается! Апач слишком жирно для статистики и ресурсы сильно жрёт.
Трафф дорогой а squid кэшировать умеет и баннеры резать.
За советы СПАСИБО!
PS контроллер на базе samba server сделан? Или как?
Кинь ссылку на стаью если не сложно. или инструкции по созданию домена (можно на rapid'у)
sarg ... ftp ... squid -
sarg ... ftp ... squid - много всего (. Чем проще - тем лучше. cnupm быстр, надежен. И апач ему не нужен. Правда банеры резать не умеет.
Да по моемому на старом сайте runetbsd было описание. Да и в инете полно инфы. Набери PDC и читай! ... давно ставил, уже и подзабыл (. Хотя может позже и придется вспоминать - скачал NetBSD-4.0_RC4 - буду пробовать. Ежели altq в pf заработает, может и переберусь на нетку ).
Если получится
Если получится запустить altq напиши
---
С уважение.
Ок. Только не
Ок. Только не ранее чем в воскресенье.
всем привет, у
всем привет, у меня возникла следующая проблема на нетбсд 4.0
сделла все по хауту http://www.netbsd.org/docs/network/pppoe/ казалось бы все просто и должно сразу заработать, но вот возникла проблемка с выдачей ИП, более того в pppoectl -d pppoe0 се по нулям. После ребуда у меня появляется этот интерфейс ne0 заменил на tun0 ибо ne0 нет в системе. или это критично, какая ему разница как интерфейс называтся? Включил dhclient, но на пппое как было 0.0.0.0 0.0.0.1 таки осталось в пппоецта тоже нули, как-будто нет запросов- нет ответов. В чем может быть затык? Ядро не собирал юзаю то что было в релизе 4.0.
все сетевые
все сетевые определились. у меня fxp0 и fxp1. сейчас доступа нет к тому компу, но там точно есть 2 физичиских фейса fxp и один виртуальный pppoe0
Да, все
Да, все завелось, только вот может кто-нибуть еще кроме меня юзает pf в такой связке? to any -> $external_ip
В прочем у меня юзается нат в PF, не ipnat!
Но у меня внешний динамический адрес, а мне нужно вот так вот прописывать нат на внешний адрес...
nat on $ext_if from
При этом если я укажу не свой ИП, а всю сеть 10.10.10.10/8, то у меня не рабоатет нат. Есть какие-ниубть идеии что-бы подставлять адрес в трочку наат и менять правила ната или еще какие способы? В принципе свой внешний Ип можно найти в логе, но моэет есть еще какие более простые решения?
Цитата:В
Обычно dhcp-сервер настраивают так, что на один и тот же мак он выдаёт всегда один и тот же ip и проблемы нет. Если же повлиять никак, прийдётся либо из логов выцеплять, либо ещё каким-то образом. Динамически обновлять правила можно через якори, типа
# echo "pf rule" | pfctl -a anchorname -f -Если в самом конфиге pf есть строчка типа
anchor anchorname