IPFW & FWD

[openx]

Хочу чтобы если кто то щемится на вряху, на внешний интерфейс по определенному порту, она кидала его на сервак внутри. Соотв правило

Код: Выделить всё

ipfw add fwd ${xxx},143 tcp from ${NetIn} to ${IpOut} 143 via ${LanIn} setup

но эффекта 0, в логах тоже ничего. Поковыряв man ipfw выяснилось, что если проброс портов идет на другую машину, то фряха пытается действовать согласно таблице маршрутизации.

Вопрос - где ковырять.

Снаружи мап портов работает все ок, с помощью natd, но мне с локалки надо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

При команде FWD не происходит замена IP-Адресов.

Т.е. к примеру:
Обычно работает так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза(100.100.100.100) на порт 143

Ты хочешь сделать так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза на порт 143(100.100.100.100) -> Внутренний_ИП2 (192.168.100.1)

А получаешь вот что на Внутренний_ИП2:
1. От Внутренний_ИП(192.168.1.1) пакет идёт на шлюз и адрес назначения у него ИП_Шлюза(100.100.100.100)
2. Ты его форвардишь, но замен ИП никаких не делаешь и что получаешь на выходе?
На Внутренний_ИП2 (192.168.100.1) приходит пакет с IP-Адресом источника Внутренний_ИП(192.168.1.1) и адресом назначения (100.100.100.100).
3. Внутренний_ИП2 (192.168.100.1) его закономерно отбрасывает, т.к. адрес назначения не его.

P.S. Заменами IP-Адресов кто занимается? NAT? Боишься запустить их 2-а, 3-ри?

[openx]

ок, щя поковыряем.

[Morty]

я вот так пробрасывал

Код: Выделить всё

/etc/rc.conf
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

cat /etc/natd.conf
same_ports      yes
use_sockets     yes

redirect_port tcp 192.168.0.251:3389 3389
redirect_port tcp 192.168.0.251:88 88
redirect_port tcp 192.168.0.251:99 99
redirect_port tcp 192.168.0.251:100 100
redirect_port tcp 192.168.0.251:3306 3306
redirect_port tcp 192.168.0.251:90 90
redirect_port tcp 192.168.0.251:98 98
redirect_port tcp 192.168.0.251:3690 3690

и в IPFW правило - открываешь порты
если IPFW type OPEN то ниче в ипфв делать не нада

[openx]

Это у тебя извне. Попробуй законектица из нутри на этот порт по внешнему интерфейсу что будет?

[Dolphin_BSD]

rc.firewall

Код: Выделить всё

$cmd 1010 divert natd tcp from $citrix to any src-port Порт out via $eif
$cmd 1012 allow tcp from $palladina to $citrix dst-port Порт in via $eif
$cmd 1013 allow tcp from $gate to $citrix dst-port Порт in via $eif
$cmd 1016 allow tcp from me to any src-port Порт out via $eif

natd.conf

Код: Выделить всё

interface rl0
use_sockets yes
dynamic yes
same_ports yes
redirect_port tcp IP:Порт Порт

[dikens3]

Вообщем так:

есть прокся фряха, есть почтовый сервак на винде, с фряхи если пытаются залезть за почтой снаружи, то идет проброс на виндовый почтовый сервак.

У клиентов в качестве почтовых серваков указан внешний ИП фряхи, т.к. многие по командировкам мотаются.

Так вот чтобы не перестраивать каждый раз почтовые серваки у клиента, хотелось бы чтобы если из локалки лезут за почтой (на внешний ИП фряхи) она его также отсылала на виндовый сервак как это делает снаружи

есть проброс портов без natd, к примеру datapipe. Правда у меня он падал периодически.
Я бы на твоём месте перенёс сервак с почтой в DMZ, а потом пофиг на настройки - ВСЕ ОДИНАКОВЫЕ. :-)

[Dolphin_BSD]

Незнаю, так как я показал ... у меня за 4 года ни разу не падал, не считая когда просто нет инета