Kernel nat & jail

vilya · Непрочитанное сообщение **vilya** » 2008-09-24 16:33:30

Всем привет.

Задача такова - есть машинка с двумя айпишниками на внешнем интерфейсе, на lo0 висит фейковый IP джейла. Необходимо сделать маппинг портов со внешнего адреса (алиаса) в джейл. Всё б ничего, взял бы pf, rdr и сделал за две минуты, да вот задача такова что необходимо использовать именно ipfw с натом в ядре

Проковырялся пол дня так и не победил.
Есть ли в природе какая-то схема прохождения пакетов через ipfw, kernel_nat и прочее? В man ipfw ничего кроме худого рисунка прохождения пакета через интерфейс.
Ядро собрал, соответственно вывод того чего накопал:

Код: Выделить всё

#ipfw show
00010  7756  7149032 allow ip from any to any via lo0
00110     7      420 nat 1 tcp from any to "алиас на внешнем интерфейсе" dst-port 11121 via em0
65535 79071 57019439 allow ip from any to any

#ipfw nat 1 show config
ipfw nat 1 config redirect_port tcp "алиас на внешнем интерфейсе":11121 "ip джейла":11121

По каунтеру правила 00110 видно что пакеты заворачиваются в нат, но что с ними происходит далее совершенно непонятно.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

э... поищщи по форуму - были два конфига рабочих под ядрёный нат

vilya · Непрочитанное сообщение **vilya** » 2008-09-24 22:43:28

lissyara писал(а):э... поищщи по форуму - были два конфига рабочих под ядрёный нат

Дык в том то и дело что два рабочих конфига из форума в данном случае не подходят. Не решается задача методом тыка. Хочется разобраться в вопросе, однако вразумительного ответа на вопрос что происходит с пакетом после того как он был завернут правилом в нат никто дать не может.

Alex Keda

исходники могут...
но я их читать не умею =(

gloom · Непрочитанное сообщение **gloom** » 2008-09-25 0:17:42

Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...

Гость

gloom писал(а):Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...

Эту схему я видел, в ней рассматривается внешний нат - natd. Хождения по правилам ядерного ната в ней неописано. Буду разбираться. Удивлен тем что такую тривиальеую вещь с полпинка завести не получилось.

vilya · Непрочитанное сообщение **vilya** » 2008-09-25 11:39:00

Гость писал(а):
gloom писал(а):Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...
Эту схему я видел, в ней рассматривается внешний нат - natd. Хождения по правилам ядерного ната в ней неописано. Буду разбираться. Удивлен тем что такую тривиальеую вещь с полпинка завести не получилось.

Мля.

ipfw add 100 fwd серый ип from any to алиас на интерфейсе dst-port 11121

forum.lissyara.su

Kernel nat & jail

Kernel nat & jail

Услуги хостинговой компании Host-Food.ru

Re: Kernel nat & jail

Re: Kernel nat & jail

Re: Kernel nat & jail

Re: Kernel nat & jail

Re: Kernel nat & jail

Re: Kernel nat & jail