Chinaunix

标题: 关于ipfw+nat　转换的问题 [打印本页]

作者: stefanieunix 时间: 2007-12-20 21:11
提示: 作者被禁止或删除内容自动屏蔽

作者: lsstarboy 时间: 2007-12-20 21:49
我给你分析一下流程吧：
进入的一个包，比如202.102.a.b->202.106.c.d
那么它第一个接触到的是200规则，发现它allow我进入，当然就直接进入了。不用再到下面去找你那个400规则了。
或者说，进来的包被200规则“短路”了。
解决办法：把200规则号变成450就可以了。

再提醒一句：ipfw顺序比较严格，一定要分析一下有没有“短路”的情况。

作者: stefanieunix 时间: 2007-12-20 22:16
提示: 作者被禁止或删除内容自动屏蔽

作者: lsstarboy 时间: 2007-12-20 22:28
100规则当然要有了，否则内网的机器连你的内网网卡都进不去，那还谈什么再做地址转换啊？

地址转换中，要变三次形式，对应于不同的网卡（网络介面）。你可以看一下我以前写的点东西，不是很准确，也有点乱，但是大体的道理应该是对的。

http://blog.chinaunix.net/u1/38866/showart_339691.html

作者: lsstarboy 时间: 2007-12-20 22:31
我自己用的ipfw规则，谨供参考：

ipfw -q flush
ipfw add 100 allow ip from any to any via fxp0
ipfw add 500 divert natd ip from any to any in via xl0
ipfw add 600 divert natd ip from 192.168.2.0/24 to any out via xl0
ipfw add 700 allow udp from any to any 53
ipfw add 800 allow ip from any to any established
ipfw add 900 allow ip from any to any diverted

外网：xl0，内网fxp0

作者: dranshion 时间: 2007-12-21 14:55
有点对不住ｌｓ的　呵呵　　点你的帖子连接是　点到臭蛋了　　:em11:

作者: stefanieunix 时间: 2007-12-21 18:13
提示: 作者被禁止或删除内容自动屏蔽

作者: lsstarboy 时间: 2007-12-21 18:48
我也只是个业余爱好者，这个原因我也不是很清楚，我的理解是：
1、如果两个IP对应一个网卡，那么就会在一个网卡上出现两次路由。
2、如果同一下网卡上有两个同一个网段的IP，那么arp包会冲突。就是两个IP都对在同一个网络地址上面广播arp，那么两个IP都接到对方的arp信息，和自己的arp一对照，就会发现冲突。

不一定正确，还是请对协议熟悉的大侠回答吧。

作者: stefanieunix 时间: 2007-12-24 11:45
提示: 作者被禁止或删除内容自动屏蔽

作者: stefanieunix 时间: 2007-12-24 15:28
提示: 作者被禁止或删除内容自动屏蔽

作者: feillex 时间: 2007-12-24 18:56

原帖由 stefanieunix 于 2007-12-24 15:28 发表
不好意思,请问大家都是怎么配的外网IP(在有多个公网IP的情况下),是不是必须要配一个255.255.255.255才能用,多谢!!!

请仔细阅读手册。上边说的非常明白了。
http://www.freebsd.org/doc/zh_CN ... -virtual-hosts.html

作者: lsstarboy 时间: 2007-12-25 18:32
应该是同一网段的IP只能有一个是按本来的配置，其它的都要配掩码32位。
如果有两个不同网段的ip，可以不是32位的。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)