OpenBSD 3.6 & NAT - проблемка

0

0

Стоит задача дать доступ из локальной сети к www и 4000 (icq) портам.
Взял стандартный пример - там строка
nat on $ext_if inet from $int_if:network to any -> ($ext_if)
NAT работает, интернет есть.

Заменил на другую строку

nat on $ext_if inet from $int_if:network to any port www -> ($ext_if)
nat on $ext_if inet from $int_if:network to any port 4000 -> ($ext_if)

Далее команда
pfctl -f /etc/pf.conf
NAT работать перестал, интернета нет, icq нет.
В чем может быть дело?
P.S. Вывод команды fctl -s nat

nat on xl0 inet from 192.168.20.0/24 to any port = www -> (xl0) round-robin
nat on xl0 inet from 192.168.20.0/24 to any port = 4000 -> (xl0) round-robin

Ссылка

←	Де поправить сырцы pppd чтоб перенести исполнение ip-up

Вкл/выкл Интернета

→

а че tcpdump говорит?

x86 ★★
(17.01.05 14:19:47 MSK)

Ответ на: комментарий от x86 17.01.05 14:19:47 MSK

Я понял в чем дело!
Я забыл открыть 53 порт, поэтому и не было интернета...

anonymous
(17.01.05 15:07:51 MSK)

Ответ на: комментарий от anonymous 17.01.05 15:07:51 MSK

гы-гы

anonymous
(17.01.05 15:56:32 MSK)

Ссылка

Вообще говоря nat и порты/протоколы это из разной оперы.

Достаточно одной строчки

nat on $ext_if from <int_net> to any -> ($ext_if)

Где <int_net> таблица ip, это дает большую гибкость при управлении

~~Sun-ch~~ ☆
(17.01.05 15:57:10 MSK)

Ответ на: комментарий от Sun-ch 17.01.05 15:57:10 MSK

Да нуууу?
Если внимательно прочитать мой первый пост, то видно что весь сыр-бор затеян из-за того, что надо было выпускать наружу только по определенным портам, а пакеты на остальные порты - дропать.
А так, я конечно согласен, что выпускать весь трафик наружу - намного проще...

anonymous
(17.01.05 16:03:43 MSK)

Ответ на: комментарий от anonymous 17.01.05 16:03:43 MSK

Еще раз повторяю, nat и блокир. портов - разные вещи

block all

pass in quick on iface from <www_group> to any port www \
flags S/SA keep state

А так рулят портами, всем ip из таблицы www_group можно ходить

в инет

~~Sun-ch~~ ☆
(17.01.05 17:46:32 MSK)