problém s NATem

Zbyněk Burget zburget at burgnet.cz
Sat Jul 21 19:42:23 CEST 2012


Dne 21.7.2012 19:10, jaroslav.votruba na email.cz napsal(a):
> tak jsem vymenil kablik , kterej haproval a zjistil jsem nasleduji.
> kdyz nactu pravidla
>
> ipfw -f flush
> ipfw add 6 allow all from any to any
> ipfw add 200 divert natd all from any to any via xl0
>
> tak to chodi ze serveru na obe sitovky, ale nepreklada

jasne - protoze pravidlo 6 propusti packet a ten uz se do firewallu 
nevrati - takze na pravidlo 200 se nikdy nedostane


>
> kdyz je nactu takhle
>
> ipfw -f flush
> Â ipfw add 666 allow all from any to any
> ipfw add 200 divert natd all from any to any via xl0
>
> tak to mozna preklada, ale ja to nezjistim, protoze FW blokuje
> provoz na obe sitovky

No firewall urcite tady nic neblokuje - pravidlo 200 posle provoz do 
natu, pravidlo 666 veskery provoz propusti.

Ono to pravidlo 65535 je nastaveno podle konfigurace kernelu - defaultne 
je IPFIREWALL_DEFAULT_TO_DENY
pokud si do sveho konfiguraku kernelu napises
options IPFIREWALL_DEFAULT_TO_ACCEPT
bude posledni pravidlo vsechno propoustet.


Jestli ale cely tvuj problem neni nekde uplne jinde.
Je potreba si uvedomit, ze kazdy packet, ktery prochazi skrz router, jde 
do firewallu DVAKRAT. Jednou na vstupni sitove karte, podruhe na vystupni.
Potrebujes vedet, kde se ti ten packet ztrati. Takze pridej si pred, za 
a mezi tvoje pravidla jeste count pravidla, ktera budou slouzit jen k 
tomu, aby pocitaly packety, ktere tudy projdou. Pak si vynuluj citace 
pomoci ipfw zero a vypis si firewall pomoci ipfw show
...a hned uvidis, kudy jeste packet prochazi a kudy uz ne.

-- 
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674


More information about the Users-l mailing list