ipnat -CF 问题!!!

wallace888

rl0为外部  rl1为内部
lumei# ipnat -CF -f /etc/ipnat.conf
0 entries flushed from NAT table
0 entries flushed from NAT list
1: missing ->
1: syntax error in "map"
/etc/ipnat.conf: parse error (-1), quitting

ipnat.conf  内容如下:
map rl0  192.168.1.0/24 ->; 192.168.201.199/32 proxy port ftp ftp/tcp
map rl0 192.168.1.0/24 ->; 192.168.201.199/32 portmap tcp/udp 1025:65500
map rl0 192.168.1.0/24 ->; 192.168.201.199/32

map rl1 192.168.1.0/24 ->; 192.168.201.199/32
rdr rl1 192.168.201.199/32 port 80 ->; 192.168.1.1 port 80
rdr rl0 192.168.201.199/32 port 80 ->; 192.168.1.1 port 80

剑心通明

多了 ;

wallace888

多了什么东西哈?请指教!

剑心通明

分号啊

剑心通明

map rl0 192.168.1.0/24 -> 192.168.201.199/32 proxy port ftp ftp/tcp
map rl0 192.168.1.0/24 -> 192.168.201.199/32 portmap tcp/udp 1025:65500
map rl0 192.168.1.0/24 -> 192.168.201.199/32
map rl1 192.168.1.0/24 -> 192.168.201.199/32
rdr rl1 192.168.201.199/32 port 80 -> 192.168.1.1 port 80
rdr rl0 192.168.201.199/32 port 80 -> 192.168.1.1 port 80

剑心通明

多个分号可能是论坛里面复制代码出的问题

congli

原帖由 剑心通明 于 2005-11-8 09:17 发表
多个分号可能是论坛里面复制代码出的问题

肯定有问题,因我也试过.

HonestQiao

测试
map rl0 192.168.1.0/24 -> 192.168.201.199/32 proxy port ftp ftp/tcp
map rl0 192.168.1.0/24 -> 192.168.201.199/32 portmap tcp/udp 1025:65500
map rl0 192.168.1.0/24 -> 192.168.201.199/32
map rl1 192.168.1.0/24 -> 192.168.201.199/32
rdr rl1 192.168.201.199/32 port 80 -> 192.168.1.1 port 80
rdr rl0 192.168.201.199/32 port 80 -> 192.168.1.1 port 80

HonestQiao

原帖由 HonestQiao 于 2005-11-8 09:33 发表
测试
map rl0 192.168.1.0/24 -> 192.168.201.199/32 proxy port ftp ftp/tcp
map rl0 192.168.1.0/24 -> 192.168.201.199/32 portmap tcp/udp 1025:65500
map rl0 192.168.1.0/24 -> 192.168.201.19 ...

CU没有问题，估计可能是转换过程带来的问题。


# 前言：

    * 緣起：
          o Network Address Translation
                + 本校於擴大內需方案執行之初分配到64個IP(四分之一個Class C)，目前已明顯不夠使用。
                + 另外，有網友提到他申請的ADSL只配給一個IP，那麼公司內其他的機器怎麼上網呢？
          o IP-FireWall
                + 近日主機常常受到特定IP的騷擾。
      以下的筆記是我在家裡以HiNet的ADS-L(1 IP)環境操作的。

    * private ip
          o RFC 1918中有分配一般私人的ip (private ip):
            According to RFC 1918, you can use the following IP networks for private nets which will never be connected to the Internet:

Class A                10.0.0.0    - 10.255.255.255        255.0.0.0
Class B                172.16.0.0  - 172.31.255.255        255.255.0.0
Class C                192.168.0.0 - 192.168.255.255        255.255.255.0

          o 我挑選 Clacc C 其中一段 192.168.1.0/255.255.255.0

    * 背景說明：
          o 主機：FreeBSD 4.4-RELEASE。
          o 目前只有安裝一塊網路卡(D-Link 530TX verB)：IP:211.75.215.107    NetMask:255.255.255.0    Gateway:211.75.215.254
            這塊俗稱超級機車的網路卡(相對於RedHat)，自 FreeBSD 4.2-RELEASE 起就已內建支援。
          o 為了建立NAT功能，同一塊網卡新增一虛擬IP:192.168.1.254    NetMask:255.255.255.0，詳如 /etc/rc.conf 設定。
          o 目的：讓其他的Win98能透過192.168.1.254為通訊閘來存取網路上的資源。
          o 以下的說明文件中之"vr0"，是我實際對外連上Internet的網卡代號(當您使用兩塊網卡做NAT時，要特別留意這一點。)，你的主機網卡代號可能不同，用 dmesg 或 ifconfig -l 來查一查。
          o 您也可以使用二塊網卡的方式，只要對照於本文件中的網卡代號，分清楚哪一塊是對外的、而哪一塊又是對內的。兩塊網卡千萬不要接在同一個HUB上，除非使用SWITCH-HUB，並切割VLAN。

# 設定：

    * kernel
          o 修改kernel：
            cd /usr/src/sys/i386/conf
            vi GENERIC
            options   IPFIREWALL
            options   IPFIREWALL_DEFAULT_TO_ACCEPT
            options   IPFIREWALL_VERBOSE
            options   IPFIREWALL_VERBOSE_LIMIT=10
            options   IPDIVERT
            請留意，options後面是用TAB鍵做間隔，不是用空白鍵(spacebar)。

          o 編譯kernel：
            config   GENERIC
            cd   ../../compile/GENERIC
            make   depend   all   install

    * 在 /etc/rc.conf 檔案中加入下列設定：
      # 第一片網卡固有的設定：
      ifconfig_vr0="inet   211.75.215.107   media   100baseTX   netmask   255.255.255.0"

      # 只用一片網卡時，將第一片網卡虛擬出另一個IP(如果使用兩片網卡，就不要設這一行，或者註解起來也可)。
      ifconfig_vr0_alias0="inet   192.168.1.254   media   100baseTX   netmask   255.255.255.0"

      # 如果你有第二片網卡時，將此網卡設定如下(當然啦，這一行的註解就應該取消，第二塊網卡才會有作用)。
      # ifconfig_vr1="inet   192.168.1.254   media   100baseTX   netmask   255.255.255.0"

      # 宣告本主機可做為gateway(通訊閘)
      gateway_enable="YES"

      # 宣告防火牆(IP-FIREWALL)
      firewall_enable="YES"
      firewall_type="simple"
      firewall_quiet="YES"
      tcp_extensions="YES"

      # 定義 NATD 的網路卡介面，應定義在設定 public IP 的網卡代號上。
      natd_interface="vr0"
      natd_enable="YES"
      # 將真實 IP 上 port:80 轉向至防火牆內。這樣的轉向為必要時才設定，NAT實際咦髦灰?鲜鰞尚屑纯伞

剑心通明

没注意，楼主居然是把这一段的nat出去的还是这里面的一个地址，这样应该不行的吧