необычный нат, как настроить?

[chillivilli]

Есть шлюз:

Код: Выделить всё

FreeBSD gate 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Tue Oct 27 20:13:39 MSK 2009     west@gate:/usr/obj/usr/src/sys/WESTGATE4  amd64
 

отбросим все сетевушки и оставим только две:
em0 и igb1

в ем 0 приходит инет:

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=198<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:11:17:55:6b:90
        inet 123.45.67.89 netmask 0xffffffc0(/26) broadcast xx.xx.xx.xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

а вот igb1:

Код: Выделить всё

igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:39:d4:11
        inet 192.168.1.20 netmask 0xfffffff0(/28) broadcast 192.168.1.31
        media: Ethernet autoselect
        status: active

схема, которую хочу получить:
inet---->шлюз--->еще один шлюз 192.168.1.17---->нужный сервер 192.168.1.2

из инета ломятся машины по порту допустим 222 на внешний ип нашего шлюза, т.е на em0, далее портмаппинг порта 222 на сервер 192.168.1.2..
прописываем маршрутизацию в сеть 192.168.1.0/28 через шлюз 192.168.1.17, все ок. машина с ипом 192.168.1.2 - пингуется

правила такие:

ipfw nat 125 config log ip 123.45.67.89 unreg_only redirect_port tcp 192.168.1.2:222 222

ipfw add 600 nat 125 all from 192.168.1.0/28 to any out via em0
ipfw add 700 nat 125 log all from any to 123.45.67.89 in via em0

$cmd 1000 allow all from any to any

так вот порт не удается пробросить пакет туда уходит вижу на igb1 tcpdump ом, но ответ не приходит..
Все осложняется тем, что доступа к 192.168.1.17 и к 192.168.1.7 нет.
В данный момент такой проброс реализуется с помощью винроут керио файрволл - все работает.

Что не так?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wp2]

бред какой-то...

зачем это вообще тебе надо?

[chillivilli]

есть сервер 192.168.1.2 за шлюзом 192.168.1.17 - и это все добро находится у 2-го прова, а наш шлюз воткунут в 1 прова, в итоге необходимо чтобы внешние клиенты ходили через наш шлюз и шлюз 2 прова в сервер этого самого 2 прова.. Такая схема уже работает на керио винроут..сейчас пявилась необходимость перенести все на фрю

[kpp]

Попробуй

Код: Выделить всё

ipfw nat 125 config log if em0 reset same_ports redirect_port tcp 192.168.1.2:222 222

ipfw add 600 nat 125 ip from any to any via em0

$cmd 1000 allow all from any to any

Заработает - рули дальше.

[kpp]

Не вижу "необычности".
Конечно, ядро должно быть скомпилено с поддержкой ядренного ната

Код: Выделить всё

options     IPFIREWALL_NAT
options     LIBALIAS

.
И еще, если проводились тесты с параметром deny_in в строке
ipfw nat 125 config log if em0 reset same_ports redirect_port tcp 192.168.1.2:222 222
то фрю нужно перегрузить. Наблюдалась такая особенность.

[chillivilli]

нет с дениин ничего не проводилось, ядро естественно собрано как надо, причем если вместо 192.168.1.2 я подставляю тестовую машину с адресом например 192.168.1.10 и прописваю на ней в качестве днс и гейта свой шлюз - порты пробрасыватся инет работает все ок. Т.е у меня есть подозрения, что редирект будет работать только тогда, когда на машине куда редиректится по умолчанию шлюзом выстыпает шлюз с которого редиректят, поправте если не прав..

и почемeу в ваших примерах отсутсвует unreg_only и присутствует reset ?

[wp2]

я просто не пойму зачем 2 ната, то есть 2 шлюза на одном компе?

или здесь целый каскад шлюзов?

[kpp]

причем если вместо 192.168.1.2 я подставляю тестовую машину с адресом например 192.168.1.10 и прописваю на ней в качестве днс и гейта свой шлюз - порты пробрасыватся инет работает все ок. Т.е у меня есть подозрения, что редирект будет работать только тогда, когда на машине куда редиректится по умолчанию шлюзом выстыпает шлюз с которого редиректят, поправте если не прав..

В этом действительно модет быть дело. Если у второго шлюза дефолтовый шлюз не первый, то на 2-м шлюзе нужно попытаться настроить "откуда пришло туда и ушло".

[chillivilli]

так все же, зачем ресет? и мне кажется указание unreg_only все же сдесь необходимо, а шлюз этот в том то и дело, что не посмотреть на его настройки, но ведь факт в том, что на вин2003 и KWF все работает в данный момент по этой схеме.. Сейчас попробую с same_ports может бытьв этом был затык..

[kpp]

Reset - это из моего рабочего конфига. Думаю в данном случае это не принципиально.
http://www.lissyara.su/?id=1967

reset
Параметр предписывает очищать внутреннюю таблицу активных соединений при
изменениях параметра "ip" указывающего адрес используемый при маскировании
и демаскировании.

unreg_only
Параметр предписывает проводить маскировку только для тех исходящих пакетов,
чей адрес отправителя находится в классах "незарегистрированных" IP адресов.
В соответсвии с RFC 1918 к такими классам относятся адреса из диапазонов
10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.

[Laa]

Заюзайте tcpdump на каждом интерфейсе на каждом из серверов и поймете где затык.
Может у вас файервол где-то неоговоренный тут блокирует....

[chillivilli]

не, фаера нет неоговоренного, только что проверил еще раз.. пакеты приходящие из инета успешно транслирутся и передаются на интерфейс igb1 с адресом назначения 192.168.1.2, пинг есть, но оттуда пакеты не приходят.. т.е ответов не вижу на инттерфейсе igb1..
Что странно винда с KPF работает, и люди которые ее в свое время настраивают, говорят что удаляли какой-то системный маршрут из нее чтобы все заработало.. Не понятно в чем затык совершенно..

[terminus]

Код: Выделить всё

ipfw nat 125 config log ip 123.45.67.89 redirect_port tcp 192.168.1.2:222 222
ipfw nat 126 config log ip 192.168.1.20

ipfw add 600 nat 125 all from 192.168.1.0/28 to any out xmit em0
ipfw add 700 nat 125 all from any to 123.45.67.89 in recv em0
ipfw add 800 nat 126 all from any to any via igb1

ipfw add 1000 allow all from any to any

[chillivilli]

Код: Выделить всё

ipfw nat 125 config log ip 123.45.67.89 redirect_port tcp 192.168.1.2:222 222
ipfw nat 126 config log ip 192.168.1.20

ipfw add 600 nat 125 all from 192.168.1.0/28 to any out xmit em0
ipfw add 700 nat 125 all from any to 123.45.67.89 in recv em0
ipfw add 800 nat 126 all from any to any via igb1

ipfw add 1000 allow all from any to any

А куда можно отправить бабло на пиво? ОНО ЗАРАБОТАЛО ) спасибо