простой сервер доступа с Nat

[wsih]

Здравствуйте!
Имею в наличии: ))
Eternet (три машины через свич)
на сервере соит FreeBSD 5.4 и две сетевые
одна смотрит в локальную сеть вторая через adsl на сервер провайдера
в ядре есть опции
options IPFIREWALL
options IPDIVERT

rc.conf:
firewall_enable="YES"
firewall_script="/usr/local/billing/rc.firewall"
natd_enable="YES"
natd_interface="rl0"
gateway_enable="YES"

rc.firewall
ipfw='/sbin/ipfw -q'

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0
${ipfw} add allow all from any to any

проблема:
сервер ходит в интернет пингует локальные хосты.
локальные хосты пингуют серверный интерфейс, смотряший на них,
серверный интерфейс смотряший в интернет. НЕ пингуют сервер провайдера (он же - DNS).
Видна постоянная активность локального интерфейса сервера и соответсвенно локальных хостов, без видимых (для меня) на то причин...
Я поставил FreeBSD пару дней назад по сему - полный дилетант.

[Slimy]

Для трех машин FreeBSD ? А стоит ли? Может пойти по пути меньшего сопротивления и заюзать FreeSCO все что надо это дискетка и сервер будет готов через 5 минут. Из начального конфигурирования думаю придется в setup бырать автоконфигурацию LAN и все.
Если дополнительных сервисов кроме NAT не требуется я бы глянул в сторону железнного router`a просто и не жужжит ( и электричества экономия).
И кстати я конечно не спец во Free но помоему natd это не то что нужно в данном случае.Из мануалов следует что нужен nats то есть трансляция адреса не назначения , а источника. Ну конено вможе в BSD эти опции одно и тоже врубают.

[Poor Fred]

${ipfw} -f flush
${ipfw} add divert natd all from any to any via rl0
${ipfw} add allow all from any to any

проблема:
сервер ходит в интернет пингует локальные хосты.
локальные хосты пингуют серверный интерфейс, смотряший на них,
серверный интерфейс смотряший в интернет. НЕ пингуют сервер провайдера (он же - DNS).

У меня на РРРоЕ наружу смотрит интерфейс tun0, а не сетевая. Точно не в курсе, как там в АДСЛ, но если для связи с провайдером запукается РРР, то также. Т.е. попробуй
${ipfw} add divert natd all from any to any via tun0

Да, вот еще что. Если действительно поднимается РРР, то natd вовсе не нужен. Достаточно в rc.conf указать ppp_nat="YES"
И еще рекомендую почитать handbook - там все задачи и их решения описаны очень подробно.

[Digger]

Можно сделать так:

Разрешить всем использование локального интерфейса сервера:
${ipfw} add allow all from any to any via lo0

Разрешить всем использование интерфейса смотрящего в сеть:
${ipfw} add allow all from any to any via rl1

Включить nat:
${ipfw} add divert natd all from any to any via rl0

p.s. с adsl не знаком.

[arachnid]

адсл для сервера в данном случае прозрачен, так что никаких допольнительных телодвижений не нужно.

2 Slimy - по поводу ната во фряхе - не надо его путать с натом с лялихе - у wsih все правильно

с хендбуком только одно различие - не приведена строка маршрута по умолчанию... (но не факт, что ее нет совсем)

так что если можно, то таблицы маршрутизации с сервера (netstat -rn) и клиентов (аналогично) в студию (на всяк случай)

что касаемо файрволла - то существующие правила и так все разрешают... но на всякий случай вывод команды ipfw show сюда же

[wsih]

Ребята спасибо, разобрался. Там у меня в rc.firewall ошибка была интерфейс назвал r10...
в сети машины под WinXP а сервер на FreeBSD - чистой воды эксперимент: сможет ли криворукий Win-юзер поставить и настроить FreeBSD. (не все еще потеряно )
Не совсем еще разобрался, что такое natd в принципе. Я вообще себя чувствую как на другой планете, но потихоньку начинаю входить во вкус.
Теперь думаю как трафик считать.

[Digger]

wsih
про nat

[arachnid]

Теперь думаю как трафик считать.

если совсем втупую, то напиши в скрипт фарволла несколько правил типа ipfw add count all from <ip_local1> to not 192.168.0.0/16

[killdos]

/sbin/ipfw add count all from any to any in via rl0