Как работает IPFW fwd ?

[RimiX]

Судя по строке в мане ipfw в которую
все тычат, forwarding не заменяет адрес назначения, а как он тогда соббственно будет перенаправлять без модификации
пакета?
Есть freebsd mpd сервер доступа, который раздаёт туннели ng*.
Делаю редирект средствами ipfw на самом сервере. Опция IP_FIREWALL_FORWARD скомпилирована.
ng_ipfw.ko загружен.
Нужно например клиента с туннелем
pptp - 95.87.6.22 ng1 при попытке зайти на http перенаправить его на отдельный WEB сервер
http - 95.87.5.1 чтобы тот прочитал про причины "отлупа" (вирусы, баланс)

Код: Выделить всё

allow tcp from any to 95.87.5.1 80 out
allow tcp from 95.87.5.1 80 to any in
allow udp from any to any 53
allow udp from any 53 to any
fwd 95.87.5.1:80 log tcp from any to any 80 via ng1
deny all from any to any

проверяю с клиента:
telnet abc.ru 80
на сервере ловлю пакеты:

Код: Выделить всё

tcpdump -i ng1 port 80
IP 95.87.6.22.2595 > abc4.abc.ru.http: S 3510851316:3510851316(0) win 16384 <mss 1360,nop,nop,sackOK>

ну и соответственно на WEB сервере в дампе TCP тишина.
При этом в ipfw show прибавляется счётчик по правилу форвардинга и в логе security тоже соответвующее уведомление

Код: Выделить всё

vpn2 kernel: ipfw: 216 Forward to 95.87.5.1:80 TCP 95.87.6.22:3036 188.162.216.140:80 in via ng1

Я так понимаю что при таком дампе пакет просто убегает туда куда он и хотел, т.е. никакого перенаправления не вышло.
Что же это такое, везде пишут что такое должно работать, а у меня не работает.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

с вашим фаерволом оно никуда и не пойдет

[RimiX]

И дико извиняюсь - просто в целях конспирации заменил свои настоящие адреса на 95.*

[paradox]

а покажите

Код: Выделить всё

netstat -nr

[RimiX]

netstat -rn

Код: Выделить всё

default            95.87.7.254     UGS         0 303435008    em1
10.0.0.0/28        link#1             UC          0        0    em0 =>
10.0.0.0/8         10.0.0.2           UGS         0 334294919    em0
10.0.0.1           00:15:17:a3:99:cc  UHLW        1        3    em0    710
10.0.0.2           00:00:cd:27:e8:0a  UHLW        3        2    em0    891
10.0.0.10          00:16:3e:74:66:b3  UHLW        1     1193    em0    733
10.0.0.11          00:16:3e:74:24:fd  UHLW        1     2154    em0    732
95.87.6.0       ff:ff:ff:ff:ff:ff  UHLWb       1     4055    em1 =>
95.87.6..0/23    link#2             UC          0        0    em1
95.87.6.1       00:16:3e:44:80:19  UHLW        1       43    lo0
95.87.6.2       95.87.7.253     UH          0   131880    ng0
95.87.6.2       00:16:3e:44:80:19  UHLS2       1        0    em1
95.87.6.22       95.87.7.253     UH          0  1532894    ng1
95.87.6.22       00:16:3e:44:80:19  UHLS2       1        0    em1
...
95.87.7.253     link#2             UHLW        1        3    em1
95.87.7.254     00:00:cd:27:e7:f8  UHLW        2 304265678    em1   1200
95.87.7.255     ff:ff:ff:ff:ff:ff  UHLWb       1        3    em1
127.0.0.1          127.0.0.1          UH          0    25397    lo0

Прошу заметить что WEB сервер в другом домене. Моя опечатка.

[paradox]

default 95.87.7.254 UGS 0 303435008 em1

ну так пакет после fwd ушел по дефолту
а вы его на ng* ждете

[RimiX]

tail -f /var/log/security

Код: Выделить всё

Sep 25 17:37:16 vpn2 kernel: ipfw: 216 Forward to 95.87.5.1:80 TCP 95.87.6.22:
3997 64.12.202.116:80 in via ng1

tcpdump -i em1 host 95.87.6.22

Код: Выделить всё

17:39:09.254610 IP 95.87.6.22.4009 > imauth-m04d.blue.aol.com.http: S 277927332:27
7927332(0) win 16384 <mss 1360,nop,nop,sackOK>
17:39:26.424613 IP bucp-m1-vip.blue.aol.com.http > 95.87.6.22.netcheque: R 1:1(0) 
ack 1 win 16384

Разве не должен тут гдето указан быть новый целевой адрес 95.87.5.1 ?

[cthtuf]

Подскажите можно ли форвардить какие-нибудь протоколы кроме tcp и udp?

Я бы хотел трафик протокола IP:53 приходящий извне, форвардить на внутренний сервер. Как это можно сделать?