Автор Тема: Проблем с NAT под OpenBSD 5.7  (Прочетена 19019 пъти)

agogo

  • Напреднали
  • *****
  • Публикации: 41
    • Профил
Проблем с NAT под OpenBSD 5.7
« -: Sep 03, 2015, 17:01 »
Здравейте!
Искам да ви помоля за помощ относно настройка на OpenBSD Router с NAT/pf!

Схемата е следната:
Internet(през вътрешен Windows 2008 Server) -> rl0 ->OpenBSD Firewall -> rl1 -> localnet(OpenBSD PC + WIN PC)
0.0.2.56 -> rl0 0.0.2.92   x     rl1 0.0.1.10 <- localnet

Не мога да осъществя достъп от localnet до Internet

Openbsd настройки:
/etc/hostname.rl0 => dhcp mtu 1340 up                           // mtu e необходимо за вътрешната Win мрежа
/etc/hostname.rl1 => inet <ip> <mask> mtu 1340 up

/etc/sysctl => net.inet.ip.fordwarding = 1

/etc/pf.conf => pass out on egress from !(egress:network) to any nat-to (egress)
                       pass quick on localnet inet
                       pass in inet proto tcp to egress port ssh

Според указания в Book.of.PF.2nd.Edition трябва да имам връзка между localnet и Internet , a нямам.
Проверявах с systat state, има връзка rl0 -> Internet и rl1 -> localnet, но няма връзка между двете мрежови карти.
Пуснах ping от localnet OpenBSD PC към google -> # ping 8.8.8.8 без успех

Ако може да ми помогнете!?
Благодаря ви, предварително!
Лека и успешна.         
Активен

daniel_vulchev

  • Напреднали
  • *****
  • Публикации: 177
  • Distribution: NetBSD, Slackware, Debian
  • Window Manager: Console/Gnome
    • Профил
    • WWW
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #1 -: Sep 03, 2015, 19:30 »
Пробвай така като си смениш интерфейсите в ext_if и int_if лан ип или виж тука нещо лесно http://www.linux-bg.org/forum/index.php?topic=44460.0 или тук в долната част има цял пример https://www.dragonflybsd.org/~aggelos/pf/example1.html
ext_if = "fxp0"
int_if = "dc0"
lan_net = "192.168.0.0/24"
# table containing all IP addresses assigned to the firewall
table <firewall> const { self }
# scrub incoming packets
scrub in all
# setup a default deny policy
block in all
block out all
# pass traffic on the loopback interface in either direction
pass quick on lo0 all
# activate spoofing protection for the internal interface.
antispoof quick for $int_if inet
# only allow ssh connections from the local network if it's from the
# trusted computer, 192.168.0.15. use "block return" so that a TCP RST is
# sent to close blocked connections right away. use "quick" so that this
# rule is not overridden by the "pass" rules below.
block return in quick on $int_if proto tcp from ! 192.168.0.15 \
 to $int_if port ssh flags S/SA
# pass all traffic to and from the local network
pass in on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net
# pass tcp, udp, and icmp out on the external (Internet) interface.
# keep state on udp and icmp and modulate state on tcp.
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
# allow ssh connections in on the external interface as long as they're
# NOT destined for the firewall (i.e., they're destined for a machine on
# the local network). log the initial packet so that we can later tell
# who is trying to connect. use the tcp syn proxy to proxy the connection.
pass in log on $ext_if proto tcp from any to ! <firewall> \
 port ssh flags S/SA synproxy state
« Последна редакция: Sep 03, 2015, 19:49 от daniel_vulchev »
Активен

daniel_vulchev

  • Напреднали
  • *****
  • Публикации: 177
  • Distribution: NetBSD, Slackware, Debian
  • Window Manager: Console/Gnome
    • Профил
    • WWW
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #2 -: Sep 03, 2015, 19:54 »
това горното в /etc/pf.conf
Активен

agogo

  • Напреднали
  • *****
  • Публикации: 41
    • Профил
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #3 -: Sep 03, 2015, 21:47 »
Благодаря!
« Последна редакция: Sep 05, 2015, 13:21 от agogo »
Активен

agogo

  • Напреднали
  • *****
  • Публикации: 41
    • Профил
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #4 -: Sep 04, 2015, 17:01 »
Здравейте!

Може би не обясних каква точно е постановката, затова ще се опитам да бъда максимално точен сега:

[internet vivacom] <--> [ wifi router tplink ] <--> em0 [ OpenBSD 5.7 на VM ] em1 <--> [localnet OpenBSD 5.7 VM]

wifi router раздава Internet на още 2 PC:
OpenBSD са на виртуални машини [Virtual box] , като се използва вътрешна мрежа BSD[Firewall] em1 <-> em0 BSD localnet.
И двата BSD са с чисти инсталации и нищо не е променено освен долните настройки:

При настройки на Firewall BSD:
---------------------------------------
hostname.em0 - dhcp
hostname.em1 - 192.168.1.3 255.255.255.0
default gateway 192.168.0.1
sysctl.conf - net.inet.ip.fordwarding =1
pf.conf:
    ext_if="em0"
    int_if="em1"
    lan=$int_if:network
    match oun on $ext_if from $lan nat-to ($ext_if)
    block all
    pass from { $lo0,$lan }
    pass inet proto udp from any to $ext_if port domain
    pass inet proto tcp from any to $ext_if port ssh
 
OpenBSD PC localnet
--------------------------------------------------------
hostname.em0 - 192.168.1.5 255.255.255.0
няма resolv.conf и default gateway


Тестове:
-------------------------------
от localnet BSD PC: # ssh 192.168.1.3              // имам сесия на Firewall BSD em1
от друг PC свързано към Wifi Vivacom router чрез Putty имам връзка с Firewall BSD на IP 192.168.0.102 на em0
от localnet BSD PC: # ping 8.8.8.8                   // no route to host

Въпрос:
------------------------------
Как да осъществя връзка от localnet BSD em0 през em1 към em0 на Firewall BSD и да имам връзка от localnet BSD до Internet ?
Може ли това да стане само чрез PF или трябва да се използват и някои от рутиращите протоколи(bgpd, ospfd)?

И може ли, ако е възможно да посочете точните настройки, моля!


Благодаря ви, предварително!
Поздрави!
« Последна редакция: Sep 05, 2015, 13:26 от agogo »
Активен

koue

  • Напреднали
  • *****
  • Публикации: 74
  • Distribution: FreeBSD
  • Window Manager: fluxbox
    • Профил
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #5 -: Sep 05, 2015, 14:08 »
Добави на localnet OpenBSD 5.7 VM default gateway 192.168.1.3
Активен

Спрете да им прощавате, че не знаят какво правят!

agogo

  • Напреднали
  • *****
  • Публикации: 41
    • Профил
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #6 -: Sep 05, 2015, 17:58 »
РАБОТИ! Много ви благодаря!

Това, сигурно са основни правила в мрежовите настройки(gateway), но аз започнах грешно директно с PF от книгата Book.of.PF.2nd.Edition и няколко урока в Интернет. Може би съм пропуснал настройките извън PF.CONF, но прегледах няколко примера, където също не бяха посочени gataway настройките. Това сигурно са фундаментални закони, но за мрежови лаици като мен може би е добре да се посочат :)

Бихте ли препоръчали някоя хубава книга за мрежови настройки!

Още веднъж благодаря!
Поздрави!
Активен

koue

  • Напреднали
  • *****
  • Публикации: 74
  • Distribution: FreeBSD
  • Window Manager: fluxbox
    • Профил
Re: Проблем с NAT под OpenBSD 5.7
« Отговор #7 -: Sep 05, 2015, 20:42 »
https://www.nostarch.com/obenbsd2e

Ако потърсиш в google можеш да я намериш в pdf, chm формат.
Активен

Спрете да им прощавате, че не знаят какво правят!

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
OpenBSD i Socks5
Общ форум
kennedy 2 4623 Последна публикация Apr 12, 2002, 20:27
от kennedy
PATH pod OpenBSD 2.9
Хардуерни и софтуерни проблеми
FreeJak 2 5023 Последна публикация May 28, 2002, 08:48
от
Irssi под OpenBSD help!
Настройки на софтуер
Agent_SMITH 4 3924 Последна публикация Apr 11, 2005, 11:32
от n3c
Как да сменя MAC ADDRESS в OpenBSD
Настройки на хардуер
ncg 9 6289 Последна публикация Sep 23, 2005, 13:28
от
Openbsd & shlight
Настройки на софтуер
ktodorov 1 3502 Последна публикация Mar 20, 2007, 10:56
от neonic