Linux за българи: Форуми

imam edno freeBSD server-4e s dva lan-a na koeto sym pusnal NATD i iskam da si pusna prez nego net na dve Win ma6inki.
problema e 4e dostav4ika mi vry6ta vsi4ki paketi s ttl=0
i natd-a mai ne gi redirect-va na vytre, a vry6ta "time limit exceed" obra6tno kym dst-address-a

pusnata e option IPSTEALTH v kernel-a

ina4e BSD-to si raboti, natd-a vsi4ko e ok
na dr dostav4ik sym go polzval i si ba4ka vsi4ko normalno.
no v nas ... ne6to :-/
nqkoi nqkakva ideq da ima ili nqkoi da go e pravil tova ?

Правилата на форума? Кирилица? Айде да се ориентираш...  

сефте пиша във форума, не съм ги чел правилата ...
не се смятам много за напреднал следователно ми е простено    надявам се
както и да е аз се оправих и без помощ от никои тук
дано следващият път поне някой пише еи така от кумова срама два три реда

Би ли описал решението? Аз нямам такъв проблем, но ми стана интересно.

как да си настроим прозрачен router под freeBSD 5.4-RELEASE

значи компилирате в ядрото следните опции:

options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE
options         IPDIVERT
options         IPSTEALTH
options         TCP_DROP_SYNFIN



добавяте в /etc/sysctl.conf

net.inet.ip.stealth=1
net.inet.ip.random_id=1
net.inet.tcp.drop_synfin=1

във firewall-a добавяме

       # NAT divert
       ${fwcmd} add 10000 divert natd ip from any to any via ${out_interface}
       ${fwcmd} add 20102 allow ip from any to any

ако искате да ограничите само отделни IP-та

       # NAT divert
       ${fwcmd} add 10000 divert natd ip from any to any in recv ${out_interface}
       ${fwcmd} add 10002 divert natd ip from 10.0.0.2 to any via ${out_interface}

       ${fwcmd} add 20102 allow ip from 10.0.0.2 to any in via ${internal_interface}
       ${fwcmd} add 30102 allow ip from any to 10.0.0.2 out via ${internal_interface}




без ipstealth

D:\>ping abv.bg

Pinging abv.bg [194.153.145.86] with 32 bytes of data:

Reply from 194.153.145.86: bytes=32 time<10ms TTL=56
Reply from 194.153.145.86: bytes=32 time=15ms TTL=56


с ipstealth

D:\>ping abv.bg

Pinging abv.bg [194.153.145.86] with 32 bytes of data:

Reply from 194.153.145.86: bytes=32 time<10ms TTL=57
Reply from 194.153.145.86: bytes=32 time=15ms TTL=57


това върши прекрасна работа ако доставчика ви ви е ограничил по ttl

router# ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=0 time=1.951 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=0 time=0.977 ms

без iptealth-a става следното
TCPDUMP на външния интерфейс

09:03:32.245676 IP 192.168.0.2 > 194.153.145.80: icmp 40: echo request seq 40704
09:03:32.249269 IP 194.153.145.80 > 192.168.0.2: icmp 40: echo reply seq 40704
09:03:32.249676 IP 192.168.0.2 > 194.153.145.80: icmp 36: time exceeded in-transit

09:03:33.745794 IP 192.168.0.2 > 194.153.145.80: icmp 40: echo request seq 40960
09:03:33.749020 IP 194.153.145.80 > 192.168.0.2: icmp 40: echo reply seq 40960
09:03:33.749419 IP 192.168.0.2 > 194.153.145.80: icmp 36: time exceeded in-transit

проблема беше че не бях пуснал stealth-a v sysctl-a :-)