© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme schrieb:
> Michael Gusek <michael.gusek(at)web.de> wrote:
> > Oliver Fromme schrieb:
> > > Michael Gusek wrote:
> > > > Ich habe hier ein 192.168.0/24-Netz,
> > > > bestehend aus dem FreeBSD-Router (mit ipfw), einigen Clients (Laptop,
> > > > PC, Netzwerkdrucker) und eine Handvoll jails auf dem Router. Der Router
> > > > hat zwei Netzwerkkarten, eine ins Internet (192.168.178.2) und eine ins
> > > > lokale LAN (192.168.0.1). Ziel der Operation soll sein, dass alle
> > > > Clients Zugriff auf das Internet haben, weiterhin sollen einige Ports
> > > > aus dem Internet erreichbar sein, diese werden dann auf dem Router oder
> > > > aber in einem der jails auf dem Router verwendet. Im Moment sehen meine
> > > > Regeln so aus:
> > > >
> > > > 1 divert 8668 ip from any to any via em1
> > > > 2 allow ip from any to any via lo0
> > > > 3 deny ip from any to 127.0.0.0/8
> > > > 4 deny ip from 127.0.0.0/8 to any
> > > > 5 check-state
> > > > 6 allow tcp from any to me dst-port 22 keep-state
> > > > 7 allow ip from me to any keep-state
> > > > 8 fwd 192.168.0.12,22 tcp from any to 192.168.178.2 dst-port 2222 keep-state
> > > > 9 allow ip from 192.168.0.0/24 to any keep-state
> > > > 10 deny ip from any to any
> > > >
> > > > Mit diesen Regeln komme ich mit dem Laptop ins Internet, dafür sorgt ja
> > > > Regel 9 und 1, weiterhin funktioniert der ssh-forward auf das jail mit
> > > > der IP 192.168.0.12. Was nicht geht, ist das ich Verbindungen aus dem
> > > > Jail ins Internet aufbauen kann, obwohl es im gleichem IP-Bereich wie
> > > > der Laptop liegt und somit Regel 9 anschlagen müsste.
> > > [...]
> > Nein, em1 ist das externe Interface. em0 ist das interne, hier sind auch
> > die Ip-Adressen der jails konfiguriert, z.b. 192.168.0.12.
>
> Aha, die Info hat gefehlt. Da konnte man ja nur raten.
>
> Wie startest Du denn den natd, welche Optionen? Und wie
> sieht der Internetzugang aus? ppp? Ist da noch ein
> weiterer NAT-Router? Du schreibst, die externe IP-Adresse
> sei 192.168.178.2, aber das ist ja auch eine RFC1918-
> Adresse, also ist das entweder ein Tippfehler, oder da
> muss noch ein weiteres NAT im Spiel sein.
>
In der /etc/natd.conf steht lediglich die Zeile "interface em1". Der
Internetzugang wird letztendlich über eine FritzBox realisiert. Diese
hat intern die IP 192.168.178.1 und der FreeBSD-Router hängt via em1 dran.
> Ausgabe von "ifconfig" könnte auch nicht schaden.
>
Das sieht dann so aus:
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:16:17:62:82:16
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.10 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.11 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.12 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.13 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.14 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:16:17:62:82:17
inet 192.168.178.2 netmask 0xffffff00 broadcast 192.168.178.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
>
> Hast Du mal mit tcpdump geguckt, ob Pakete rausgehen bzw.
> Antwortpakete reinkommen, und ob die Quell- und Ziel-
> Adressen in den Paketen korrekt sind?
>
>
Nein das habe ich noch nicht. Da aber die Funktionalität mit der Regel
"ipfw allow ip from any to any" hergestellt wird, wenn diese die letzte
ist, nehm ich an, das in meinem Regelwerk etwas fehlt oder falsch ist.
> Gruß
> Olli
>
>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 07 Jan 2009 - 07:21:50 CET