FreeBSD NAT，可以ping通，但無(wú)法通信，不知道怎么解決。。

btw616

FreeBSD NAT的內(nèi)網(wǎng)機(jī)器上，可以ping通，但無(wú)法通信，不知道怎么解決，求解。。

首先，可以ping通指定的IP：

1. % ping 8.8.178.110
   
2. PING 8.8.178.110 (8.8.178.110): 56 data bytes
   
3. 64 bytes from 8.8.178.110: icmp_seq=0 ttl=49 time=183.362 ms
   
4. 64 bytes from 8.8.178.110: icmp_seq=1 ttl=49 time=183.576 ms
   
5. 64 bytes from 8.8.178.110: icmp_seq=2 ttl=49 time=183.973 ms
   
6. 64 bytes from 8.8.178.110: icmp_seq=3 ttl=49 time=184.955 ms
   
7. 64 bytes from 8.8.178.110: icmp_seq=4 ttl=49 time=184.588 ms
   
8. ^C
   
9. --- 8.8.178.110 ping statistics ---
   
10. 5 packets transmitted, 5 packets received, 0.0% packet loss
    
11. round-trip min/avg/max/stddev = 183.362/184.091/184.955/0.601 ms
    

復(fù)制代碼

然后，使用fetch時(shí)卻超時(shí)了：

1. % fetch http://8.8.178.110
   
2. fetch: http://8.8.178.110: Operation timed out
   

復(fù)制代碼

在網(wǎng)關(guān)機(jī)器上，這兩個(gè)命令都能正常使用。

網(wǎng)關(guān)機(jī)器上的ipfw的規(guī)則如下：

1. $ sudo ipfw list
   
2. Password:
   
3. 00100 nat 10 ip from 192.168.1.0/24 to any out via re0
   
4. 00110 nat 10 ip from any to any in via re0
   
5. 60000 allow ip from any to any
   
6. 65535 deny ip from any to any
   

復(fù)制代碼

lsstarboy

如果網(wǎng)關(guān)和路由都正確的話，不應(yīng)該出這種問(wèn)題�？梢栽趓e0上抓個(gè)包看看。

not_halt

  刪了重裝。。
。。。。 我已經(jīng)好久沒(méi)有來(lái)BSD

anthie

65535 deny ip from any to any

ljwsy

在/etc/rc.firewall中有個(gè)設(shè)置：只要natd_enable打開(kāi)，就設(shè)置一個(gè)規(guī)則“${fwcmd} add divert natd ip4 from any to any via ${natd_interface}”。

于是我的機(jī)子有下面這條ipfw規(guī)則：00049 divert 8668 ip4 from any to any via sk0

目前工作還正常，樓主試試。

這規(guī)則讓我想起另一個(gè)事：如果我不想讓from_any_to_any而是只想讓from_192.168.0.0/24_to_any，其他的不給過(guò)。我加了“0049 divert 8668 ip4 from 192.168.0.0/24 to any via sk0”但過(guò)不去，汗。沒(méi)時(shí)間做，any就any吧

ljwsy

這是我全部的規(guī)則：

1. 00001 deny ip from any to any dst-port 5801 via sk0
   
2. 00002 deny ip from any to any dst-port 5901 via sk0
   
3. 00003 deny ip from any to any dst-port 6001 via sk0
   
4. 00004 deny ip from any to any dst-port 199 via sk0
   
5. 00049 divert 8668 ip4 from any to any via sk0
   
6. 00050 divert 8668 ip4 from 172.16.100.0/24 to any via sk0
   
7. 00051 divert 8668 ip4 from 192.168.0.0/24 to any via sk0
   
8. 00100 allow ip from any to any via lo0
   
9. 00200 deny ip from any to 127.0.0.0/8
   
10. 00300 deny ip from 127.0.0.0/8 to any
    
11. 00400 deny ip from any to ::1
    
12. 00500 deny ip from ::1 to any
    
13. 00600 allow ipv6-icmp from :: to ff02::/16
    
14. 00700 allow ipv6-icmp from fe80::/10 to fe80::/10
    
15. 00800 allow ipv6-icmp from fe80::/10 to ff02::/16
    
16. 00900 allow ipv6-icmp from any to any ip6 icmp6types 1
    
17. 01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
    
18. 65000 allow ip from any to any
    
19. 65535 allow ip from any to any
    

復(fù)制代碼

1～4是關(guān)閉指定端口，50和51號(hào)本意是想只給某些段過(guò)但做不通。

lsstarboy

回復(fù) 5# ljwsy


    你把這句拆成兩句就能通了：
0049 divert 8668 ip4 from 192.168.0.0/24 to any via sk0

換為：
0049 divert 8668 ip4 from 192.168.0.0/24 to any out via sk0
0049 divert 8668 ip4 from any to any in via sk0


原理：sk0應(yīng)該是外網(wǎng)，還要考慮回來(lái)的包，ipfw規(guī)則除非用狀態(tài)規(guī)則，也就是keep-state或limit，都要考慮數(shù)據(jù)包進(jìn)出兩個(gè)方向的問(wèn)題。

lsstarboy

另外現(xiàn)在一般都用內(nèi)核的nat了，很少用natd，但是做大量端口映射的時(shí)候，還是natd省事。

btw616

多謝各位了�。。∫恢痹诿�項(xiàng)目，當(dāng)時(shí)只是配一個(gè)臨時(shí)的開(kāi)發(fā)機(jī)，NAT不通，就直接換用bridge的方式接了。等下1點(diǎn)還要開(kāi)會(huì)，好苦逼...