Не понимаю как ipfw Nat правило прописать без наличия статических настроек от провайдера

Почитай man rc.conf

кто нибудь пробовал загркзчик оживить?

а зачем его оживлять? если вы хотите диск перевести с mbr на gpt, то вам по любому нужен диск акцептор, на который вы можете всё слить, так как вживую такая миграция не производится

Не понимаю как ipfw Nat правило прописать без наличия статических настроек от провайдера

а какие там условия то ? туннель, ipoe ?

ну да в fstab поменять буквы, но это в синглюзер можно в принципе

Я получаю от Билайн настройки по dhcp

На фре инет есть, но нат не работает

Я получаю от Билайн настройки по dhcp

ну так nat вещается на интерфейс, а с ключем "dynamic", он "подхватывает" ip адрес

Да хоть ipoe, хоть pppoe, хоть dhcp, ipfw все едино

firewall_nat_interface=em0 или там ng0 и все

В большинстве примеров ната в правило надо внешний ip вбивать, но как если он динамический

А в самом файрволле?

Не надо читать такие глупые примеры

if nic Use ip address of NIC for aliasing, dynamically changing it if NIC's ip address changes.

Надо читать штатные доки, а в них везде указано писать просто имя интерфейса

ну да в fstab поменять буквы, но это в синглюзер можно в принципе

Зачем singleuser, сразу после restore смонтировать и поправить fstsb.

*fstab

тут можно править месаги ;) ну я к тому что можно так и эдак

А в самом файрволле?

А в самом есть слово me

to me in recv em0

можно to any in recv em0

если там маршрутов никаких нету

То есть просто add nat 1 to any in recv em0

ага

если много трафика, то лучше разбить на два правила

nat 1 ip from any to any out via em1 nat 1 ip from any to any in via em1

ну как-то так

прочитай про in, out, recv, xmit и via в "man ipfw"

Так у меня и было так

Только после Nat 1 еще log стояло

Может в этом проблема?

нет

И еще стоит нат правило предпоследним, может надо распологать в каком-то конкретном месте?

sysctl -a | grep one_pass ?

от этого зависит способ построения правил

а что кто то реально делает не онепас? :)

раньше было по дефолту вроде не онепас ?

а, глюк в 8 был в какой-то

что-то там сломано с этим онепасом было

nat предпоследним имеет смысл ставить только для исходящих пакетов

а что кто то реально делает не онепас? :)

при шейпинге только афаик

а что именно не натится?

какие-то вон пакеты до ната доходят...

Печаль, поставил нат вторым правилом и потерял доступ к серваку

выкинь весь этот ужас и делай с нуля на основе дефолтного open

Не рекомендую мешать statefull ipfw с nat, если не умеешь.

Я вот не умею и не мешаю.

И все пашет безо всяких стейтов и гораздо стабильнее, чем с ними.

Я вот не умею и не мешаю.

я вообще так и не разобрался как это работает... явно не так как я предполагаю :(

И все пашет безо всяких стейтов и гораздо стабильнее, чем с ними.

+

Потому и не надр сразу делать сложно.

Надо сначала научиться делать просто.

И только если "просто" реально мало, тогда усложнять.

Что там, кстати, в nat 1 config ?

А то мало ли

На 9.1 все прекрасно натилось natd

И проблем не знал

Приперло эти ядерным взрывать мозг

ну, тут кагбэ дело добровольное

Возможно Вадим мне плюнет в морду, но я учился вот по этой статейке: http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/

Ну я поставил 11.1 и решил раз уж bind и dhcpd нет, то и с натом ядерным попробовать, походу надо все постепенно настраивать, главное машина у меня отдельно стояла и вроде бы все натила, стоило поменять на основную и воткнуть провайдера и пошло все через ж

Возможно Вадим мне плюнет в морду, но я учился вот по этой статейке: http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/

Читал, но видимо мне с чего попроще надр начинать

Так там "Пример 1" уж самый простой случай

natd никто не отменял

Плюс ipfw nat ничем не отличается от natd в смысле правил

ERROR: S client not available

Только nat вместо divert

всё остальное в правилах абсолютно то же.

Ну там что-то типа divert natd 8668

Вобще не похоже на правило с nat

Ядерным

Но ты так и не показал как nat конфигурируешь... только ipfw show показывал... ты точно nat config сделать не забыл?

divert 8668 или nat 123

Вся разница.

Всё остальное без каких-либо изменений в правилах, а ipfw nat config делается автоматом системными скриптами.

В соответствии с настройками rc.conf

Вообще-то и правила можно самому не писать, только настройки в rc.conf и системные скрипты сами построят полностью работоспособный набор правил.

Как это и с natd было раньше.

Для одного канала в инет ничего больше и не надо для начала.

а откуда файрволл узнает что мне натить что-то надо

или ты про rc.firewall ?

Я про firewall_nat_enable=YES

В rc.conf

Вот оттуда и узнает.

И ядерные модули подгрузит, и настроит ipfw nat, и правила добавит - все автоматом.

ну это и есть "через rc.firewall" если я правильно понимаю

Не читайте хаутушки в интернете, читайте маны, начиная с man rc.conf - там множество полезного.

Это "через rc.conf"

firewall_script - это тоже через rc.conf

Но "автоматом" таким образом ничего не настроится

В rc.firewall даже заглядывать не надо с тех пор, как в семерке появилась настройка rc.conf firewall_coscripts

а править #ipfw нужно через /usr/share/examples/ipfw/change_rules.sh тогда вероятность, ой хост отвалился, будет минимальна

там перед NAT стоит проверка на established и keep-state

и они срабатывают, естественно

ну и 550-е правило срабатывает до NAT

смысл такой

"выпихивать" можно с какими-то параметрами

например, 10.10.10.10 out via em0