IPFW2 Ungereimtheiten

J

juedan

Guest
Hallo Forum,

gleich vorweg: Google habe ich dem folgenden Thema richtig "gequält", aber ohne Ergebnis. Immer, wenn es interessant wurde, war der Thread zu Ende:mad:
Das Problem:
Wie schalte ich bei IPFW2 "divert" bzw. das "forwarding" ein?
Ich habe die IPFW-Optionen nicht im Kernel stehen, da ich es als Modul lade. Laut man-page zu IPFW ist aber seit mindestens FreeBSD 5.3 IPFW2 Standard, was ja bekanntlich forwarding ermöglicht. Wie schalte ich es ein?

Ein paar Informationen/Fehlermeldungen:
  • Code: 
    ipfw add 10 divert natd all from any to any via sf1
    liefert folgendes Ergebnis:
    Code: 
    ipfw: getsockopt(IP_FW_ADD): Invalid argument
  • Relevante MIBs bzw. Einträge in /etc/rc.conf:
    Code: 
    net.inet.ip.forwarding: 1
gateway_enable="YES"
  • Betriebssystem: FreeBSD primergy470.juergendankoweit.net 5.4-RELEASE-p9 FreeBSD 5.4-RELEASE-p9 #2: Fri Feb 10 22:04:57 CET 2006

Anmerkung: Unter FreeBSD 5.3 hatte ich dieses Problem nicht, obwohl ich IPFW auch als Modul geladen hatte.

Hintergrund des Ganzen: Ich habe zwei Jails (DNS und HTTP). Leider ist aber die HTTP-Jail von außen nicht zu erreichen.

Vielen Dank für Eure Hilfe.

Jürgen
 
Du musst das Forwarding auch im Kernel aktiviert haben, hier mal meine IPFW-Options in meiner Kernel-Config :
Code: 
options         IPFIREWALL
options         IPFIREWALL_FORWARD
options         IPFIREWALL_FORWARD_EXTENDED
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPDIVERT
options         IPSTEALTH
options         DUMMYNET
Wobei du das Extended nicht unbedingt brauchst. Ob's funktioniert hat siehste beim Systemstart (oder nach dem Systemstart mit dmesg) anhand der Meldung:

"ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding enabled, default to deny, logging limited to 100 packets/entry by default"

So siehts zumindest bei mir aus, damit sollte auch forwarding funktionieren.
 
Moin moin,

danke für die Antwort.
Ich habe gerade nochmals meine Konfiguration von FBSD 5.3 durchgesehen und festgestellt, dass es da OHNE diese Kernel-Optionen ging. Aber ich sehe gerade, dass ich es in /usr/src/UPDATING überlesen habe (02.03.2005) - Sorry, mein Fehler.

Viele Grüße

Jürgen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben