Хитрый NAT -- как?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-19 18:15:27

Привет!

Весь день пробился, но не получается то что надо. :st:

Посоветуйте как построить такой нат: чтобы от внутреннего клиента, который в моей локалке пакет уходя на левый буржуйский ip транслировался в локальный адрес в этой же локалке, ну и назад. То есть чтобы клиент обращался к буржуйскому ip с компа, а фактически ему отвечал бы локальный другой ip.

FreeBSD 7.1, ipfw + nat.

Заранее спасибо.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Хитрый NAT -- как?

Непрочитанное сообщение Jan » 2009-03-19 18:21:03

Вот как в я делаю в ipnat:
Скажем у тя два фейса: xl0 - инет и xl1 - локалка

Код: Выделить всё

rdr xl1 from IP-LAN/MASK to БУРЖУЙСКИЙ-IP/MASK port=XXXXX -> IP-LAN port=XXXXX

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-19 18:28:09

Спасибо за ответ,но похоже это не то...

Мне надо как-бы занатить не адрес SRC, а адрес DST.
Вот...

Чувствую, что это просто, но уже не соображаю. :fool:
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Хитрый NAT -- как?

Непрочитанное сообщение Jan » 2009-03-19 18:32:57

Laa писал(а):Спасибо за ответ,но похоже это не то...

Мне надо как-бы занатить не адрес SRC, а адрес DST.
Вот...

Чувствую, что это просто, но уже не соображаю. :fool:
Так ты не занатишь. ИМХО.
Если тебе надо www? то подними апач с proxy + proxy reverse

Код: Выделить всё

<VirtualHost IP-LAN:80>
        ProxyRequests On
        ProxyPass / http://IP-КУДА/
        ProxyPassReverse / http://IP-КУДА/
</VirtualHost>

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-19 18:47:03

Уверен, это можно сделать.
Даже догадываюсь что при помощи нетграфа...
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Хитрый NAT -- как?

Непрочитанное сообщение terminus » 2009-03-19 18:52:37

Как-то очень сложно все... На ДНСе не хотите такое сделать?
На netgraph наверно не выйдет...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-19 19:11:37

О! Как вариант решения этой проблемы bind + view помогут, спасибо! :drinks:
Но, все же интересно как бы ее решить при помощи ipfw, ну может еще и ng
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Хитрый NAT -- как?

Непрочитанное сообщение paradox » 2009-03-19 19:47:52

прописать клиенту в хостс
а на сервере сделать редирект
и все

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Хитрый NAT -- как?

Непрочитанное сообщение reLax » 2009-03-19 20:01:51

paradox писал(а):прописать клиенту в хостс
а на сервере сделать редирект
и все
Не лучший вариант что-либо делать вообще на клиентских машинах, они должны полностью зависеть от серверов )))

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Хитрый NAT -- как?

Непрочитанное сообщение paradox » 2009-03-19 20:15:07

топикстартер не оговаривал ограничений
может ему токо для одного какого то тупого юзера
посему
невижу смысла в прокси и прочих сложностях

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-19 20:26:26

Да, юзеру одному из кучи. Вся остальная куча на этот IP должна ходить куда положено, а один должен ходить на подставной адрес.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Хитрый NAT -- как?

Непрочитанное сообщение Laa » 2009-03-20 10:29:41

Сделал так:

1. на фре поставил алиас из нужной буржуйской сети, пофиг с какой маской, я взял /24
2. на компе, куда нужен проброс поставил тоже алиас этот буржуйский адрес, маску, шлюз (там вынь).
3. в файерволе для всех, кроме избранных сделал fwd всей этой сети /24 на default, а избранные будут как раз ходить по таблице маршрутизации.
4. все выглядит как и должно: от всех клиентов пакеты идут в буржундию (traceroute, ping..), а от одного на нужный комп. :Yahoo!:

Минусы: я не достиг смены DST, но практическ решил поставленную задачу.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!