Free BSD mint gateway

FreeBSD-all

Free BSD mint gateway

  • 853 megtekintés

( rodnas | 2005. 10. 02., v – 18:11 )

Van egy gondom, ebben szeretném kérni a segítségeteket.
Telepítve van egy FreeBSD 5.4 (alap)
A hálózati kártyák konfigja a következő:
rl0 (ez csatlakozik a nethez): 192.168.11.200/25
rl1 (ez csatlakozik a belső hálóhoz): 192.168.11.100/25
default route: 192.168.11.254

A probléma a következő: A belső hálózatról szeretnék a net irányába menni, de úgy hogy az IP cím ne változzon meg. Pl.: a 192.168.11.104 IP című gép az rl0 kártyán haladjon át, de a címe ne változzon meg. (ne legyen NAT).

A Router: 192.168.11.254/24
FreeBSD: 192.168.11.200/25; 192.168.11.100/25
KLIENS? 192.168.11.104/25

( nc | 2005. 10. 02., v – 19:41 )

Álmos voltam, ezek privát net címek. Akkor köll neked az a NAT!
Bár még most sem értem, mit akarsz... Igaz, kutyafuttában olvasom/-tam, bocs.

( Zahy v | 2005. 10. 02., v – 21:10 )

Bocsánat, az elsőt elbambultam, így visszavonom. Ugyanis nem jól számolom :-)
1) Az szerinted jól van, hogy a belső háló és a külső háló igazából egy háló? Ha jól számolom, akkor a x.y.z.100/25 és az x.y.z.200/25 - UGYANAZ a net. Ezzel szemben különböző madzag, szóval baromira nem tudom, ez mi akar lenni.

Szóval marad a második:
2) Mi a kérdés? Miben kéred a segítségünket?

Amúgy szerintem annyi, hogy FreeBSD-n állítsd be a routing-ot: vi /etc/sysctl.conf
net.inet.ip.forwarding=1
Reboot után menni fog. Most pedig
sysctl -w net.inet.ip.forwarding=1
hogy ne kelljen újraindítani.

A klienseken pedig azt, hogy a FreeBSD a default GW. (De fenntartom, hogy nem igazán értem a kérdést.)

( hup_raven | 2005. 10. 02., v – 21:29 )

[quote:5a650af078="Zahy"]1) Az szerinted jól van, hogy a belső háló és a külső háló igazából egy háló? Ha jól számolom, akkor a x.y.z.100/25 és az x.y.z.200/25 - UGYANAZ a net. Ezzel szemben különböző madzag, szóval baromira nem tudom, ez mi akar lenni.
2) Mi a kérdés? Miben kéred a segítségünket?

Sztem számold át mégegyszer.

( trey | 2005. 10. 02., v – 21:30 )

[quote:979897f51b="hup"][quote:979897f51b="Zahy"]1) Az szerinted jól van, hogy a belső háló és a külső háló igazából egy háló? Ha jól számolom, akkor a x.y.z.100/25 és az x.y.z.200/25 - UGYANAZ a net. Ezzel szemben különböző madzag, szóval baromira nem tudom, ez mi akar lenni.
2) Mi a kérdés? Miben kéred a segítségünket?

Sztem számold át mégegyszer.

HUP! Regisztralj masik neven, mert ez a nev megteveszto. Az account le lett tiltva.

( rodnas | 2005. 10. 02., v – 21:40 )

A gond valójában nyílvános IP-kel áll fennt. (Úgy írom mintha már teljesen élne a rendszer, de a problémából látható, hogy nem teljesen)
A munkahelyemen van egy CISCO 1720 router, ez kap egy byílvános IP-t,(ez a router), ehhez csatlakozik egy szerver (FreeBSD) szintén nyívános IP-vel, illetve még néhány gép amely adminisztrációs feladatokat lát el, illetve szolgáltatást nyújt a külvilág számára. a FreeBSD másik hálókártyáján vannak kliensek, amelyek részben NAT segítségével látják a külvilágot, mások pedig csak egyszerűen routolás segítségével látnák (de nem tom megcsinálni). További feladata a szervernek bizonyos IP-k hozzáférés korlátozása, (sebesség illetve elérés, de ez nem okozott gondott). De mivel a szolgáltató ad egy nyílvános IP-tartományt (még nincs ezért próbálom szimulálni a 192.xxxxx címekkel) ez kerül a routerbe, de ezt el kell osztanom, külső illetve belső hálózatra. A belső hálózaton levő gépeknek olyanoknak kell lenniük mintha külső gépek lennének, de a kábelezés már évek óta megvan, ezen nem áll módomban változtatni.

( j_szucs | 2005. 10. 02., v – 22:52 )

A "man natd" és "man natd.conf" segíteni fognak neked; ha jól emlékszem, még mintapéldák is vannak benne a te esetedre, a /etc/natd.conf tartalmára vonatkozóan.

Most viszont nem tudom őket megnézni, úgyhogy hirtelenjében egy másik, nem olyan korrekt (vagy egyáltalán nem korrekt?), de valszeg működő megoldás jut az eszembe: nem engedni, hogy a csomagok a natd-n áthaladjanak.
A csomagokat valahol a tűzfal szabályok elején lévő redirect szabály továbbítja a natd-nek; ha az elé beteszel egy-egy "accept" tűzfalszabályt a kérdéses IP címekre (ill. azokról) nyomuló csomagokra vonatkozóan, akkor azok a natd-n nem haladnak át, azaz megmarad bennük az eredeti ip cím:
ipfw add 10 accept ip from any to 192.168.11.100/25 in via rl0
ipfw add 11 accept ip from 192.168.11.100/25 to any out via rl0

(A fenti, 10-es és 11-es sorszámú két parancs vélhetőleg a redirect parancs elé illesztődik be, ha jól emlékszem).
Ellenőrzendő még, hogy az rl1-en nincs-e véletlenül olyan tűzfalszabály, ami a külső ip címről érkező csomagokat blokkolja, és ha van, akkor azokat is meg kell kerülni.
A fenti megoldás hátulütője, hogy a "nagy könyv" szerint a natd-nek minden csomagot látnia kell (mondjuk én személy szerint nem értem, hogy amivel semmi dolga, azt miért kellene látnia), illetve, hogy ezek a csomagok nyilvánvalóan elkerülik az rl0 további tűzfal szabályait is, azaz ezekre nem lesz semmiféle szűrés az rl0-n. Ezért vagy az rl0-n kell további tűzfal szabályokat beillesztened a fentiek elé kifejezetten ezekre a csomagokra vonatkozóan, vagy az rl1-en építeni ki a tűzfalat rájuk.

Persze nem vagyok egy FreeBSD tűzfal guru (csak remélem, hogy nagyjából tisztában vagyok vele), úgyhogy nem garantált, hogy a fenti megoldás valóban működik is - mindenesetre teszt környezetben kipróbálható. (Ha netán kipróbálod, kíváncsi lennék az eredményre).

A korrekt megoldás viszont (mint az elején írtam) a natd.conf megfelelő beállítása lenne.

( dragi v | 2005. 11. 25., p – 11:57 )

Hali

Nekem is hasonlo problemam lenne. Van par publikus ipcimem, amikbol 2-t ket server kapna meg. Ele be lenne rakva egy linuxos router, aminek at kene routolnia a publikus ipket a serverek fele, de ertelem szeruen nem NAT-olva. Hogy es mivel lehet ezt megoldani? Route tablat kell irni? 2 halokartyaval megoldhato?

( rope | 2005. 11. 25., p – 12:11 )

A Router: 192.168.11.254/24
FreeBSD: 192.168.11.200/25; 192.168.11.100/25
KLIENS? 192.168.11.104/25

ezekszerint a FreeBSD-n csak bridge-elnel, s nem route-olnal?
mert ha kliensen beallitod a 192.168.11.104/25-t, akkor o soha a budos eletben nem fogja latni a 192.168.11.254-et, merthogy az nem azon az alhalon van, hacsak be nem allitasz neki egy route-t a FreeBSD-re, ami ugye a 192.168.11.200, viszont akkor mar inkabb o lesz a router, nem a 254 :)
bocs ha csak megbonyolitottam a dolgot

( borzsakb | 2005. 11. 25., p – 12:22 )

[quote:fb42bbcdd4="dragi"]Hali

Nekem is hasonlo problemam lenne. Van par publikus ipcimem, amikbol 2-t ket server kapna meg. Ele be lenne rakva egy linuxos router, aminek at kene routolnia a publikus ipket a serverek fele, de ertelem szeruen nem NAT-olva. Hogy es mivel lehet ezt megoldani? Route tablat kell irni? 2 halokartyaval megoldhato?

a nat miért gond? port forwardolással egyszerűen meg lehet csinálni.
internet 1 kátya, rajta tetszőleges publikus ip cim. 2. kartya a tuloldalon, tetszőleges privát ip tartományban, switch, szerverek. publikus ip/port forwardolva privát ip/port-ra.

bár, ha nagyon mazohista vagy, és megfelelő publikus ip-id vannak, akkor subneteled 2felé az ip-idet, és csak simán tűzfal/routing, nem kell nat.

( dragi v | 2005. 11. 25., p – 12:25 )

Nekem ez a tuzfal/routing kene, mert a belso halos port forward elso korben nem jatszik. Azzal menne is a dolog, de a sima routeloason elakadtam. Ezert kernek segitseget merre forduljak. A szolgaltato a linuxos router fele kuldene a publikus server cimeket es azokat kene eljutattnom a serverkhez a linuxon keresztul, de nem port forwardal.

( polya v | 2005. 11. 25., p – 13:36 )

sosem fogom megerteni a hupos forumozokat - vki megirja hogy nem akar nat-ot akkor a hozzaszolok fele miert irja hogy kiraly a nat meg hogy tegyen megis!

amit zahy irt az freebsd oldalon eleg, de a cisco-n javitanod kell a netmask-ot /25-re es kell csinalnod +1 route bejegyzest: a freebsd kulso laba fele kell route-olnod a freebsdmogott levo(nem natolando) tartomanyt.

a masik lehetoseged(ha a cisco-hoz nem fersz hozza) hogy a bsd-n layer2-n forwardolsz (man bridge) filter szabalyokat termeszetessen igy is meg tudsz adni: nett.link.ether.bridge.ipf[w]