Kernel nat & jail

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vilya
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-09-24 15:17:23

Kernel nat & jail

Непрочитанное сообщение vilya » 2008-09-24 16:33:30

Всем привет.

Задача такова - есть машинка с двумя айпишниками на внешнем интерфейсе, на lo0 висит фейковый IP джейла. Необходимо сделать маппинг портов со внешнего адреса (алиаса) в джейл. Всё б ничего, взял бы pf, rdr и сделал за две минуты, да вот задача такова что необходимо использовать именно ipfw с натом в ядре :( Проковырялся пол дня так и не победил.
Есть ли в природе какая-то схема прохождения пакетов через ipfw, kernel_nat и прочее? В man ipfw ничего кроме худого рисунка прохождения пакета через интерфейс.
Ядро собрал, соответственно вывод того чего накопал:

Код: Выделить всё

#ipfw show
00010  7756  7149032 allow ip from any to any via lo0
00110     7      420 nat 1 tcp from any to "алиас на внешнем интерфейсе" dst-port 11121 via em0
65535 79071 57019439 allow ip from any to any

#ipfw nat 1 show config
ipfw nat 1 config redirect_port tcp "алиас на внешнем интерфейсе":11121 "ip джейла":11121
По каунтеру правила 00110 видно что пакеты заворачиваются в нат, но что с ними происходит далее совершенно непонятно.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Kernel nat & jail

Непрочитанное сообщение Alex Keda » 2008-09-24 19:15:11

э... поищщи по форуму - были два конфига рабочих под ядрёный нат
Убей их всех! Бог потом рассортирует...

vilya
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-09-24 15:17:23

Re: Kernel nat & jail

Непрочитанное сообщение vilya » 2008-09-24 22:43:28

lissyara писал(а):э... поищщи по форуму - были два конфига рабочих под ядрёный нат
Дык в том то и дело что два рабочих конфига из форума в данном случае не подходят. Не решается задача методом тыка. Хочется разобраться в вопросе, однако вразумительного ответа на вопрос что происходит с пакетом после того как он был завернут правилом в нат никто дать не может.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Kernel nat & jail

Непрочитанное сообщение Alex Keda » 2008-09-24 23:17:17

исходники могут...
но я их читать не умею =(
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: Kernel nat & jail

Непрочитанное сообщение gloom » 2008-09-25 0:17:42

Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...

Гость
проходил мимо

Re: Kernel nat & jail

Непрочитанное сообщение Гость » 2008-09-25 1:18:29

gloom писал(а):Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...
Эту схему я видел, в ней рассматривается внешний нат - natd. Хождения по правилам ядерного ната в ней неописано. Буду разбираться. Удивлен тем что такую тривиальеую вещь с полпинка завести не получилось.

vilya
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-09-24 15:17:23

Re: Kernel nat & jail

Непрочитанное сообщение vilya » 2008-09-25 11:39:00

Гость писал(а):
gloom писал(а):Схема прохождения пакета через ядро и ipfw во FreeBSD (ipfw firewall freebsd forward)
http://www.opennet.ru/base/net/ipfw_flow_map.txt.html

Может ето поможет...
Эту схему я видел, в ней рассматривается внешний нат - natd. Хождения по правилам ядерного ната в ней неописано. Буду разбираться. Удивлен тем что такую тривиальеую вещь с полпинка завести не получилось.
Мля.

ipfw add 100 fwd серый ип from any to алиас на интерфейсе dst-port 11121