gateway with pppd

[Cromeshnic]

Вопрос возник: для того чтобы FreeBSD сделать шлюзом для локалки, достаточно указать gateway_enable="YES" или нужно еще ядро пересобирать с какими-то опциями? Вроде в статьях ничего такого нет, но у меня не работает.
Конкретнее: на шлюзе (FreeBSD 5.4, ядро Generic) устанавливаю соединение к инету через GPRS, запуская pppd вручную. С самой машины инет работает. В настройках pppd указано defaultroute - здесь все верно:

Код: Выделить всё

Imp# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.253.0.1         UGS         0        1   ppp0
10.253.0.1         10.253.247.45      UH          1        0   ppp0
127.0.0.1          127.0.0.1          UH          0       67    lo0
192.168.55         link#1             UC          0        0    rl0
192.168.55.3       00:04:61:53:4e:b4  UHLW        0     2591    rl0   1169
192.168.55.255     ff:ff:ff:ff:ff:ff  UHLWb       0      128    rl0

...

IP компа с фрёй: в локалке - 192.168.55.10, на ppp0 - динамический (в коде выше - 10.253.247.45).
Но из локалки трассировка дальше чем мой недошлюз не идет

[DarkLelik]

Ядро надо пересобрать с
options IPFILTER
options IPFILTER_LOG
В /etc/rc.conf нужно добавить строчку gateway_enable="yes" или в /etc/sysctl.conf добавить строчку net.inet.ip.forwarding=1.
А дальше настраивать NAT

[Cromeshnic]

2 DarkLelik
Спасибо за ответ, но я не понимаю причем тут ipfilter и NAT - шлюз и без них вроде ведь должен работать или я ошибаюсь? Нет, я конечно собирался настраивать это хозяйство, но все по порядку...
Попробовал прописать и gateway_enable="yes" (уже было) и net.inet.ip.forwarding=1, перегрузил комп - ничего не изменилось :
В винде указал в кач-ве шлюза 192.168.55.10, прописал DNS, трассировка из винды в локалке:

Код: Выделить всё

>tracert 81.18.113.2

Трассировка маршрута к 81.18.113.2 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.55.10
  2     *        *        *     Превышен интервал ожидания для запроса.
...

Где 81.18.113.2 - DNS прова

Файрволл пока стоит просто OPEN:

Код: Выделить всё

Imp# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any

Так в чем же может быть дело?

ps. Кстати если уж говорить про NAT, то вы забыли упомянуть про
options IPDIVERT

[DarkLelik]

Вот кстати IPDIVERT видимо и не обезателен а вот без вышеописанных модификаций не работает, по моему опыту этого достаточно, на этой неделе именно таким образом поднимал шлюз в локалке. Может и есть способы еще , я просто ответил на Ваш вопрос по минимуму.
Да кстати можете почитать здесь делал по этой статье когда то.

[Cromeshnic]

Ок, уже собираю ядро... (впервые в жизни бтв )

[DarkLelik]

Все когда то делается впервые Напишешь о результатах.

[Cromeshnic]

Неа, с новым ядром (где прописано options IPFILTER и options IPFILTER_LOG) все равно не работает
Странно...

[DarkLelik]

А что у тебя в ipnat.conf и ipf.conf ?
Вот мои например

ipnat.conf

Код: Выделить всё

map tun0 from any to any -> 0.0.0.0/32

ipf.conf

Код: Выделить всё

pass in all
pass out all

и еще в rc.conf

Код: Выделить всё

ipfilter_enable="YES"

[Cromeshnic]

Все, понял, мне стыдно... Конечно оно без NAT'а не будет работать - я привык все по порядку делать, поэтому сразу когда включил gateway_enable="YES" решил проверить... В-общем спасибо за помощь, все работает, я через ipfw сделал. Кстати, чем принципиально (по функциональности) различаются фаеры? На opennet почитал про сравнение ipfw, ipfilter и pf, но там описание возможностей, а они примерно одинаковые у всех... Дело вкуса?

[Meg@DED]

Че-то вы куда-то в дебри полезли, для самой простой реализации задуманного достаточно в /etc/rc.conf

Код: Выделить всё

ppp_enable="YES"
ppp_flags="-ddial pppoe
ppp_nat="YES"

И соответсвенно добавить в /etc/ppp/ppp.conf описание для соединения pppoe. И будет нат через ppp, и никаких правил для фаервола не придется писать.
Или я не прав?

[Cromeshnic]

2 Meg@DED
Прав, только мы не ищем простых решений =) Я изначально это делал чтобы разобраться с pppd, файрволом и натом. Побаловаца кароче...

[Meg@DED]

А, умный в гору не пойдет, а полезет