Re: Source Routing / ipfw

From: Richard Hirner <richard(at)hirner.at>
Date: Sat, 27 Nov 2004 14:01:04 +0100

Am Donnerstag, den 25.11.2004, 12:43 +0100 schrieb Thomas Beer:
> Du wirst auch dies NATten müssen. Desweiteren kann es sein,
> dass du (z.B. bei ipfilter) nicht von innen den Apache von aussen
> sehen kannst (klar?). Ich versuchs klarer. Apache an eine
> statische/dynamische IP hinter z.B. ipfilter gebunden &
> genattet. Versuch vom internen Netzwerk die dynamische/statische
> IP aus dem Netz aufzurufen -> fehlanzeige. Geht nur von aussen.
Klar, das kann ich aber immer noch per FW regeln. Wenn mal von außen
alles geht...

So und jetzt die Lösung: man braucht nichts natten, nichts natden,
braucht keine divert-Sockets, um das Routing zu umgehen und man braucht
auch keine ipfw-Regel und keine dreifach instantiierten natds. Es sind
*ZWEI ZEILEN*, die mich allerdings etliche Stunden (Stunden, die ich mit
ipfw verschwendet habe!!) gekostet haben:

# cat /etc/ipf.rules
pass out quick on xl0 to ed0:83.64.231.1 from 83.64.231.2 to any
# cat /etc/ipnat.rules
map xl0 192.168.0.0/24 -> 212.186.57.126/32

ipfilter und ipnat starten, fertig. Funktioniert. Ich habe dazu auf
http://www.buha.info/board/showthread.php?t=47150
einen längeren Beitrag geschrieben. Es würde mich interessieren, was ihr
davon haltet. Falls sich jemand die Mühe macht, das zu lesen, wäre ich
an Kommentaren und Korrekturen (bin nicht ganz sicher, ob alles stimmt -
aber zumindest funktionierts) interessiert.

Ein Danke geht jedenfalls an dich und Oliver.

MfG
Richard Hirner

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 27 Nov 2004 - 14:01:05 CET

search this site