форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfiter и NAT."

Сообщение от Jekas (ok) on 14-Ноя-07, 17:34

Проблема, не могу настроить NAT в ip не интерфейса. По логам все как бы работает, но коннекта в инет нету. Смотрю на cisco arp таблицу, по идеи я должен увидеть соответствие ip в который начусь и mac интерфейса через который начусь...Но вижу вот это: Cisco#show arp | include 100.100.100.2 Internet  100.100.100.2          0   Incomplete      ARPA   Если натится в интерфейс, то все нормально: Cisco#show arp | include 100.100.100.1 Internet  100.100.100.1          0   0011.965d.375c  ARPA   FastEthernet0/0 тоесть с FreeBsd до нашего роутера я получается добегаю, с правильным реальным адресом..но почему то не отрабатывает arp запрос. Если в cisco в ручную добавить соотвествующую arp запись, то все работает. Ни кто не натыкался на такие грабли? Похоже где-то все таки чего-то не хватает раз FreeBsd не отвечает на arp запрос по IP, который отличный от ip установленного на интерфейсе

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ipfiter и NAT."

Сообщение от Andrew (??) on 14-Ноя-07, 18:24

>Похоже где-то все таки чего-то не хватает >раз FreeBsd не отвечает на arp запрос по IP, который отличный >от ip установленного на интерфейсе Действительно чудеса: ip не принадлежит интерфэйсу и бсд не отвечает в сеть, что ip, не принадлежащий ей, принадлежит ей. Скорее всего -- это баг при кодировании ядра бсд: кодировщик, наверное зарплату не получил и потому решил логику работу ядра сделать, как это описано в стандарте, а не как было бы проще при подходе "не понимаю, не знаю, зато курсы закончил, а потому поставил и забыл". Либо навесте алиас на этот же интерфэйс или пропишите на циске арп руками, фсд не будет вещать в сеть того, чего нет. PS такой я злой человек.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ipfiter и NAT."
	Сообщение от Jekas (ok) on 14-Ноя-07, 18:45
	>[оверквотинг удален] >что ip, не принадлежащий ей, принадлежит ей. Скорее всего -- это >баг при кодировании ядра бсд: кодировщик, наверное зарплату не получил и >потому решил логику работу ядра сделать, как это описано в стандарте, >а не как было бы проще при подходе "не понимаю, не >знаю, зато курсы закончил, а потому поставил и забыл". > >Либо навесте алиас на этот же интерфэйс или пропишите на циске арп >руками, фсд не будет вещать в сеть того, чего нет. > >PS такой я злой человек. Спасибо что просвятили, а я и не знал что это так работает. Вот это открытие :) А как же быть с автором этой статьи: https://www.opennet.ru/base/net/ipnat_freebsd.txt.html, тоже в дед сад отправить? Да и в руководстве по ipf ни где не сказано, что при таком NAT нужно еще и дополнительный ip навешивать...Понятное дело что так работать будет. Если все таки это так, то жаль что ipf не располагает достаточным интелектом, и не может "обмануть" операционку... К примеру Cisco Pix фаервол, да и другие подобные железки этого не требуют...Тока не говорите что это же железные решения, заточенные только для этого. Подумал , что у ipf должно хватить интелекта отвечать на подобные arp запросы. Ни чего такого вобщем-то в том что будет висеть много алиасов наверное нет, но как то не совсем красиво... Предложенные вами решения очевидны, могли бы и не утруждать себя их написанием, достаточно было этого предложения : "фсд не будет вещать в сеть того, чего нет" P.S.: А вообще надо быть добрее :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ipfiter и NAT."
	Сообщение от Andrew (??) on 14-Ноя-07, 20:17
	О том я и говорил, что вы не совсем понимаете что такое ipf да и как работает сетевой стек в бсд, ipf не получает пакеты 2-ого уровня. Что же касается cisco, то имхо надо сначала изучать как сеть работает, а потом уже слушать на курсах о том, как по мнению маркетологов cisco работает сеть, я не говорю что там безграмотные курсы, все вполне грамотно, но акцент идёт не на понимание железа и технологий, а на заучивание команд, что бы даже самый деревянный смог сдать экзамен. Cisco делает хорошие железки, с помощью которых можно быстро развернуть определённый набор решений и это её плюс, "заточенность под сеть" тут ни при чём, даже я бы сказал, что бсд подольше циски "точилась под сеть". И ещё один плюс у циски, что если на циске что-от сделать нельзя, то этого сделать нельзя, с юниксом же такой ответ приниматься не будет, ибо если что-то нельзя сделать, то вопрос времени что бы это сделать самому -- все инструменты есть. PS можно, кстати обойтись и без алиаса. Добавить постоянную запись в арп-таблицу бсд и указать ядру, что бы он отвечал на арп-запросы, если такая запись есть в его постоянной арп-таблице, арппрокси, помоему, это называется. Но всегда думайте о том парне -- системном администраторе, что будет после вас и который не совсем понимает, что происходит, да вообще он здесь на полставки, а вы сейчас в постоянную арп-таблицу внесете ип, вот ему жизнь-то покажется веселой... лучше алиас, заодно через полгода самому не надо будет голову ломать, когда понадобится что-то поменять.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ipfiter и NAT."
	Сообщение от Jekas (ok) on 14-Ноя-07, 20:37
	>[оверквотинг удален] >это сделать самому -- все инструменты есть. > >PS можно, кстати обойтись и без алиаса. Добавить постоянную запись в арп-таблицу >бсд и указать ядру, что бы он отвечал на арп-запросы, если >такая запись есть в его постоянной арп-таблице, арппрокси, помоему, это называется. >Но всегда думайте о том парне -- системном администраторе, что будет >после вас и который не совсем понимает, что происходит, да вообще >он здесь на полставки, а вы сейчас в постоянную арп-таблицу внесете >ип, вот ему жизнь-то покажется веселой... лучше алиас, заодно через полгода >самому не надо будет голову ломать, когда понадобится что-то поменять. Спасибо, но все-таки нужно быть добрее...Скажу честно, у меня нет времени глубоко ковырять системы и приложения...В свое время такая возможность у меня была на другой работе, тогда я занимался администрированием сети и только этой задачей, поэтому прочел много статей, получил много опыта и приницпы работы знаю хорошо. Кстати на курсах по циске я не был.  FreeBsd я знаю по столько по скольку, на уровне настроить squid, postfix и прочие распространенные задачи...Вы меня просто зацепили за самолюбие, ну знаете вы что-то лучше других, но на то это и форум - дело добравольное, если вас раздражает что-то в том или ином топике, может лучше просто промолчать. Зато я уверен вы не знаете как отрегулировать ленточный тормоз на АКПП автомобиля :)... Будьте добрее и увидите люди начнут улыбаться вам...Тема закрыта.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]