Hozzászólások
Sziasztok !
Én is NAT problémával küzdök szeretném megvalósítani a linux alatt jól ismert SNAT/MASQUERADE megoldást FreeBSD-én, a probléma a következő:
van 3 ether kártya a gépben ebből kettő össze van bridgelve , hogy miért az most mellékes, tehát
fxp0 -----> NAT -------> bridge ( fxp1,fxp2 ) ezt hogyan lehet megcsinálni???
konkrétan amit akarok az így néz ki linuxon, ezt csak azért írom ide, hátha van aki mindkét rendszerhez ért:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o bridge0 -j SNAT --to-source x.x.x.x
meg lehet ezt csinálni FreeBSD alatt vagy ne is probálkozzak ?????
- A hozzászóláshoz be kell jelentkezni
[quote:32ede74630="Anonymous"][quote:32ede74630="newbie"]Huh. Teljesen kezdő vagyok. Lenne valakinek türelme válaszolni néhány kérdésre?
- A gyári FreeBSD kernelben van csomagszűrő támogatás?
- Ha nincs, mit kell belefordítani a kernelbe mondjuk NAT-hoz?
Nincs benne. Bele kell forditani. Ha tudsz angolul akkor a Handbook jó szolgálatot tesz majd. :)
Van.
/etc/rc.conf:
firewall_enable="YES" # csomagszuro
ipfilter_enable="YES" # masik csomagszuro
ipnat_enable="YES" # nat
Default kernelhez modulkent csomagoljak, es a fenti 3 sorral az rc scriptek szepen betoltik Neked.
A handbook-ot viszont valoban erdemes lenne atnyalaznod.
- A hozzászóláshoz be kell jelentkezni
[quote:b9566be658="Anonymous"]Sziasztok !
Én is NAT problémával küzdök szeretném megvalósítani a linux alatt jól ismert SNAT/MASQUERADE megoldást FreeBSD-én, a probléma a következő:
van 3 ether kártya a gépben ebből kettő össze van bridgelve , hogy miért az most mellékes, tehát
fxp0 -----> NAT -------> bridge ( fxp1,fxp2 ) ezt hogyan lehet megcsinálni???
konkrétan amit akarok az így néz ki linuxon, ezt csak azért írom ide, hátha van aki mindkét rendszerhez ért:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o bridge0 -j SNAT --to-source x.x.x.x
meg lehet ezt csinálni FreeBSD alatt vagy ne is probálkozzak ?????
meg tudod csinalni.
de egy kerdes - ha ez megy linuxon jol(persze amenyire barmi is mehet jol linuxon;)) akkor miert akarod megvaltoztatni?
- A hozzászóláshoz be kell jelentkezni
Az osszeszamolassal az a baj hogy nem biztos hogy ugyanannyi az athaladt csomag mint az az osszeg - ez igy hulyen hangzik de sajnos van par furcsasag az ipfw-ben. ellenben van egy count nevu action ipfw-ben a szabalyaid legelejere szurd be hogy.
ipfw add 1 count all from any to any
- A hozzászóláshoz be kell jelentkezni
csak azért szeretném megcsinálni fbsd-én, mert van egy nic ami alá csak bsd-és driver létezik eddig, sajnos....egyébbként a linux brctl ( bridge ), kevesebb anomáliát okoz nic-bridge esetén mint a fbsd sysctl-es bridge.enabled/bridge.config/stb., persze ez csak az én szubjektív tapasztalatom, viszont a fbsd dummynet+ipfw sokkal megnyerőbb a linuxos iptables+tc párosnál, na mindegy semmi sem tökéletes......:)))
u.i.:
minden benne van az alaptelepítésben, csak kldload ipdivert, bridge, dummynet, sound_core, stb.....( 5.2.1 )
- A hozzászóláshoz be kell jelentkezni
Üdv Mindenkinek!
Most telepítettem először FreeBSD 5.2-t, eddig Linux-ot használtam, sikerült elindítanom a tűzfalat és a natolást is.
Annyi kérdésem lenne, hogy az ipfw-hez valamiféle szabálygenerátor van-e?
A rendszer tulajdonképpen egyenlőre csak egy klasszikus két hálókártyáa router lenne, egy webszerverrel.
kliensek <----->NAT/FIREWALL\webserver<------>INTERNET
Célok(szabályok)
INPUT, OUTPUT, default DENY
Kliens ---> szerver ACCEPT összes port
Kliens ---> Internet ACCEPT összes port
szerver ----> internet ACCEPT összes port
szerver ----> kliens ACCEPT összes port
Internet ---> szerver ACCEPT 80-as port
köszönettel:
___
saty
- A hozzászóláshoz be kell jelentkezni
[quote:50d75216b1="saty"]Üdv Mindenkinek!
Most telepítettem először FreeBSD 5.2-t, eddig Linux-ot használtam, sikerült elindítanom a tűzfalat és a natolást is.
Annyi kérdésem lenne, hogy az ipfw-hez valamiféle szabálygenerátor van-e?
A rendszer tulajdonképpen egyenlőre csak egy klasszikus két hálókártyáa router lenne, egy webszerverrel.
kliensek <----->NAT/FIREWALL\webserver<------>INTERNET
Célok(szabályok)
INPUT, OUTPUT, default DENY
Kliens ---> szerver ACCEPT összes port
Kliens ---> Internet ACCEPT összes port
szerver ----> internet ACCEPT összes port
szerver ----> kliens ACCEPT összes port
Internet ---> szerver ACCEPT 80-as port
köszönettel:
___
saty
Én speciel 4.10-et hasznalok es ipfilter -t.
Ime egy leiras fele errol:
http://ezine.daemonnews.org/200407/ipfilter.html
Szabalygenerator: vi|nano|vim /etc/ipfw.rules|ipf.rules
- A hozzászóláshoz be kell jelentkezni
[quote:dbff82d904="saty"]
A kliens gépek külső dns szerver kéréseket intéznek. A szerverről simán tudok netezni, a kliensekről csak ip-vel. Ha kinyitok mindent. akkor a kliensekről is lehet netelni domainel.
Nem elég a működéshez ez a szabály?:
[code:1:dbff82d904] add allow all from any to any via rl0[/code:1:dbff82d904]
Az rl0 a belső lábam.
Egyenlőre belső, még "cache only"-t névszervert sem akarok beállítani mivel elég gyengusz a szervergép, ezért csak a legszükségesebb szolgáltatásokat futtatom rajta.
Sikerült megoldanom a problémát. Rájöttem, hogy még a lan-ról külön ki kellett engednem a portot. Eléggé rapszódikus volt hogy csak a dns porton nem ment a kommunikáció.
Egyébként találtam szabálygenerátort, de a 4-es szériához van ajánlva, nekem az 5.2-esen nem működött tökéletesen, valószínűleg mert cpp-s formátumot használ. http://ipfwgen.sourceforge.net/
___
saty
- A hozzászóláshoz be kell jelentkezni
Hi!
Hogy lehetne `ipfw show` eredmenyebol kinyerni az ossz-csomagmeretet?
Van erre valami parancs? Ossz csomag meret alatt a szabalyonkenti osszesre gondolok. Esetleg valami progi, aminek meg tudom mondani, hogy hanyadik szora(szamra) van szuksegem. Valtozova szeretnem alakitani.
00100 12944 4812888 allow ip from 192.168.2.2 to any keep-state
nekem a vastag betus reszre van szuksegem. (tudtommal az a csomagok meretet jeloli. igaz?)
Valaszokat elore is nagyon koszonom!!!
- A hozzászóláshoz be kell jelentkezni
probáld ki ezt:
for i in `ipfw show | awk '{ print $3 } '` ; do sum=$(($sum+$i)); done ; echo $sum
- A hozzászóláshoz be kell jelentkezni
Huh. Teljesen kezdő vagyok. Lenne valakinek türelme válaszolni néhány kérdésre?
- A gyári FreeBSD kernelben van csomagszűrő támogatás?
- Ha nincs, mit kell belefordítani a kernelbe mondjuk NAT-hoz?
- A hozzászóláshoz be kell jelentkezni
Igazán nem piszkálódni szeretnék, de erre a feladatra az awk-ot is, meg a shell saját matematikai részét is belekeverni fölösleges:
ipfw show | awk '{a+=$3} END {print a}'az egyik, és
i=0 ; ipfw show | while read a b c maradek ; do i=$(( $i + $c )) ; done echo $i
a másik javasolt megoldás. Persze lehet még az előzőnél is sokkal jobban megkavarni a dolgokat.
Zahy
Ui: A Te példádban sum=0 kell az elejére, hogy biztosan működjön, és tudtommal kell a sok szóköz az összeadásnál, de az nem biztos. :-)
- A hozzászóláshoz be kell jelentkezni
[quote:64102cd050="andrej_"]
Én speciel 4.10-et hasznalok es ipfilter -t.
Ime egy leiras fele errol:
http://ezine.daemonnews.org/200407/ipfilter.html
Szabalygenerator: vi|nano|vim /etc/ipfw.rules|ipf.rules
Köszi. Közben sikerült megoldanom simán szerkesztéssel is, de majd ránézek.
Szinte minden tökéletes, csak van egy kis gond.
A kliens gépek külső dns szerver kéréseket intéznek. A szerverről simán tudok netezni, a kliensekről csak ip-vel. Ha kinyitok mindent. akkor a kliensekről is lehet netelni domainel.
Nem elég a működéshez ez a szabály?:
[code:1:64102cd050] add allow all from any to any via rl0[/code:1:64102cd050]
Az rl0 a belső lábam.
Egyenlőre belső, még "cache only"-t névszervert sem akarok beállítani mivel elég gyengusz a szervergép, ezért csak a legszükségesebb szolgáltatásokat futtatom rajta.
Köszi
____
saty
- A hozzászóláshoz be kell jelentkezni
[quote:c57a52194f="newbie"]Huh. Teljesen kezdő vagyok. Lenne valakinek türelme válaszolni néhány kérdésre?
- A gyári FreeBSD kernelben van csomagszűrő támogatás?
- Ha nincs, mit kell belefordítani a kernelbe mondjuk NAT-hoz?
Nincs benne. Bele kell forditani. Ha tudsz angolul akkor a Handbook jó szolgálatot tesz majd. :)
- A hozzászóláshoz be kell jelentkezni