nat - jak je to správne
Jaroslav Votruba
jaroslav.votruba at keytec.cz
Mon Aug 11 09:40:37 CEST 2008
Dan Lukes napsal(a):
> Jaroslav Votruba napsal/wrote, On 07/18/08 14:30:
>
>> jak je to spravne? v handbooku se pise , ze pri pouziti natu je treba
>> mit v rc.conf uvedene i interface pres ktere se bude routovat
>>
>> natd_interface="rl0"
>> nicmene na mnoha strojich to neni a take to funguje, staci, ze je
>> divertovaci pravidlo v IPFW. Prinasi to neco, kdyz se to uvede do rcconfu?
>>
> - doporuceni v handbooku jsou
> staveny na miru standardnim scriptum instalovanym se systemem. Pokud mas
> vlastni, musis si udelat konfiguraci tak aby sedela k tomu jak to mas
> udelano ty.
>
> Divertovaci pravidlo je jen polovina problemu - jeste musi bezet NAT
> daemon a ten musi vedet na jakou adresu ma prekladat. Coz se muze
> (napriklad) dozvedet tak, ze mu reknes interface - on si ji z nej
> precte. Standardne se to dela prave tak - a tu informaci cerpa prave z
> tehle polozky. Takze je otazka, jak ji zjistuje u tebe. Zpusobu jak tu
> informaci scriptu, ktery startuje NATD je hned nekolik - a to pocitam,
> ze daemona startujes standarsnim systemovym scriptem. Pokud ani to
> neplati a i toho si startujes nejak jinak, je tech moznosti jeste daleko
> vic.
>
> Dan
>
> o výkendu mi bylo trochu hur po vysedavani v hospode a tak jsem se pustil do hrani si serverem. Vlozil jsem tedy do rc.confu natd_interface="rl0" a restartnul nat.(zadny opicarny nemam, je to standartni nastaveni). Vysledek byl, ze nat nenabeh, ale vyskocila hlaska "both allias address and interfaces are not allowed". Jen pripomenu, ze v configu natu mam jen prikaz "u" a "a", a nat je po startu natahovan pres kldload v /boot/loader.conf (stejne jako firewall).Googlil jsem, ale nic jsem neobjevil.
dal jsem zkousel si taky hrat s firewallem (IPFW) ale bud jsem blbej ja
, nebo firewall, ale uz jsem z toho divokej. Pravidla se ctou od zhora
dolu, pokud pravidlo vyhovi, tak dále nepokracuje a je zpracovane.
Nicmene to funguje asi nejak jinak. Uvedu priklad . Otevrel jsem port 53
obema smery,udp i IP pres vsechny rozhrani a za nej dal pravidlo
blokujici zbytek komunikace obema smery pres venkovni rozhrani.Tak
nejak jsem predpokladal, ze by pakety meli prochazet, ale neprochazi.
Mohl by se nekdo obetovat a pomoct mi s tim a hlavne vysvetlit , kde
delam chybu? Veskere konfigy bych vam poslal, pripadne povolil pristup
na server.
More information about the Users-l
mailing list