nat - jak je to správne

Jaroslav Votruba jaroslav.votruba at keytec.cz
Mon Aug 11 09:40:37 CEST 2008




Dan Lukes napsal(a):
> Jaroslav Votruba napsal/wrote, On 07/18/08 14:30:
>   
>> jak je to spravne? v handbooku se pise , ze pri pouziti natu je treba 
>> mit v rc.conf uvedene i interface pres ktere se bude routovat
>>
>> natd_interface="rl0"
>> nicmene na mnoha strojich to neni a take to funguje, staci, ze je 
>> divertovaci pravidlo v IPFW. Prinasi to neco, kdyz se to uvede do rcconfu?
>>     
> - doporuceni v handbooku jsou 
> staveny na miru standardnim scriptum instalovanym se systemem. Pokud mas 
> vlastni, musis si udelat konfiguraci tak aby sedela k tomu jak to mas 
> udelano ty.
>
> Divertovaci pravidlo je jen polovina problemu - jeste musi bezet NAT 
> daemon a ten musi vedet na jakou adresu ma prekladat. Coz se muze 
> (napriklad) dozvedet tak, ze mu reknes interface - on si ji z nej 
> precte. Standardne se to dela prave tak - a tu informaci cerpa prave z 
> tehle polozky. Takze je otazka, jak ji zjistuje u tebe. Zpusobu jak tu 
> informaci scriptu, ktery startuje NATD je hned nekolik - a to pocitam, 
> ze daemona startujes standarsnim systemovym scriptem. Pokud ani to 
> neplati a i toho si startujes nejak jinak, je tech moznosti jeste daleko 
> vic.
>
> 						Dan
>
> o výkendu mi bylo trochu hur po vysedavani v hospode a tak jsem se pustil do hrani si serverem. Vlozil jsem tedy do rc.confu natd_interface="rl0" a restartnul nat.(zadny opicarny nemam, je to standartni nastaveni). Vysledek byl, ze nat nenabeh, ale vyskocila hlaska "both allias address and interfaces are not allowed". Jen pripomenu, ze v configu natu mam jen prikaz "u" a "a", a nat je po startu natahovan pres kldload v  /boot/loader.conf (stejne jako firewall).Googlil jsem, ale nic jsem neobjevil.

dal jsem zkousel si taky hrat s firewallem (IPFW) ale bud jsem blbej ja 
, nebo firewall, ale uz jsem z toho divokej. Pravidla se ctou od zhora 
dolu, pokud pravidlo vyhovi, tak dále nepokracuje a je zpracovane. 
Nicmene to funguje asi nejak jinak. Uvedu priklad . Otevrel jsem port 53 
obema smery,udp i IP  pres vsechny rozhrani a za nej dal pravidlo 
blokujici zbytek komunikace obema smery  pres venkovni rozhrani.Tak 
nejak jsem predpokladal, ze by pakety meli prochazet, ale neprochazi. 
Mohl by se nekdo obetovat a pomoct mi s tim a hlavne vysvetlit , kde 
delam chybu? Veskere konfigy bych vam poslal, pripadne povolil pristup 
na server.


More information about the Users-l mailing list