Re: Natd/router vil ik´'

From: Morten Kjaer Nielsen (none@morten--gummiand.dk.lh.bsd-dk.dk)
Date: Thu 29 May 2003 - 02:07:17 CEST 

Date: Thu, 29 May 2003 02:07:17 +0200
From: Morten Kjaer Nielsen <none@morten--gummiand.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Natd/router vil ik´'

Hej!

Den Wed, 28 May 2003 11:01:35 +0200 skrev Robert Martin-Legène <none@robert+bsd-dk--martin-legene.dk.lh.bsd-dk.dk> :

> Jeg synes din opsætning ser generelt pæn ud.

Tak Tak :-)

>Men når du har problemer,
> bør du overveje at eliminere alle options, hvis det er muligt. Det gør
> det også nemmere for andre, at sætte sig ind i dit problem. Det er desuden
> muligt at køre natd uden en natd.conf, men så får du selvf ikke dine
> redirects med.

Det har jeg så gjort nu.. natd køre kun via interface vr0

> Rækkefølgen af dine firewallregler skal du nok overveje. Du bør nok
> overveje konsekvenserne af check-state og tcp established før du har
> lavet NAT.

ok.

> Prøv at ryd op i dit regelsæt og se om dit problem forsvinder.

det gjorde det ikke rigtigt :-(

> 300 deny ip from 172.16.0.0/16 to any via vr0 (og andet privat adresserum)

Hvorfor den, så er det jo ikke rigtig noget som når frem?

Jeg har nu (med en show)

00100 0 0 allow log logamount 100 ip from any to any via lo0
00200 0 0 deny log logamount 100 ip from 127.0.0.0/8 to any
00250 0 0 deny log logamount 100 ip from any to 127.0.0.0/8
01000 587 98654 divert 8668 log logamount 100 ip from any to any via vr0
02000 832 113273 allow log logamount 100 ip from any to any
65535 2756 255751 allow ip from any to any

loggen siger:
May 29 01:48:26 gw /kernel: ipfw: 2000 Accept ICMP:8.0 172.16.0.10 212.54.64.170 in via dc0
May 29 01:48:26 gw /kernel: ipfw: 1000 Divert 8668 ICMP:8.0 172.16.0.10 212.54.64.170 out via vr0
May 29 01:48:26 gw /kernel: ipfw: 2000 Accept ICMP:8.0 192.168.1.250 212.54.64.170 out via vr0
May 29 01:48:26 gw /kernel: ipfw: 1000 Divert 8668 ICMP:0.0 212.54.64.170 192.168.1.250 in via vr0
May 29 01:48:26 gw /kernel: ipfw: 2000 Accept ICMP:0.0 212.54.64.170 172.16.0.10 in via vr0
May 29 01:48:26 gw /kernel: ipfw: 2000 Accept ICMP:0.0 212.54.64.170 172.16.0.10 out via dc0
May 29 01:48:27 gw /kernel: ipfw: 2000 Accept ICMP:8.0 172.16.0.10 212.54.64.170 in via dc0
May 29 01:48:27 gw /kernel: ipfw: 1000 Divert 8668 ICMP:8.0 172.16.0.10 212.54.64.170 out via vr0
May 29 01:48:27 gw /kernel: ipfw: 2000 Accept ICMP:8.0 192.168.1.250 212.54.64.170 out via vr0
May 29 01:48:27 gw /kernel: ipfw: 1000 Divert 8668 ICMP:0.0 212.54.64.170 192.168.1.250 in via vr0
May 29 01:48:27 gw /kernel: ipfw: 2000 Accept ICMP:0.0 212.54.64.170 172.16.0.10 in via vr0
May 29 01:48:27 gw /kernel: ipfw: 2000 Accept ICMP:0.0 212.54.64.170 172.16.0.10 out via dc0

der er de 2 her..
 ICMP:8.0
ICMP:0.0

hvad fortæller de egentlig?

tcpdump´s ser stadig ok ud.

win(tcp)dump på windows maskinen fortæller at der er icmp ud, men der
kommer ikke noget ind på den.

jeg tjekkede min kerne igennem og manglede denne "options IPFIREWALL_FORWARD"
den kom så med og jeg recompilerede og installerede den nye kerne inden
jeg gjorde ovenstående.

>Det er ikke
>et MAC-problem? (skud i tågen).

Hvorledes kan jeg kigge efter det? 

-- 
Hygge
Morten, anden er løs... http://vWv.gummiand.dk/

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET