Статический NAT

[alx]

Доброго всем времени суток.

Люди, скажите, что я делаю не так. Пытаюсь пробросить внешний IP через natd на машину которая внутри сети. Уже изгалялся разными способами, ни чего не выходит.

в natd.conf прописал строчку согласно хендбуку

Код: Выделить всё

redirect_address 192.168.2.2 192.168.1.253

К примеру, за натом есть тачка там стоит ssh сервер на 92,168,2,2 захожу на ssh но тока не туда куда надо а именно на шлюз.

Буду благодарен за совет, где я ошибку допустил. И вообще, делал ли кто подобное. Может какие-то другие варианты есть.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

а в фаерволе у тебя что по поводу ната?

[Гость]

На разные сети

Код: Выделить всё

 /etc/rc.firewall
${FwCMD} add divert natd ip from ${lan2} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${landmz} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${office} to any out via ${LanOut}

Код: Выделить всё

/etc/natd.conf
use_sockets             yes
same_ports              yes
verbose                 no
log                     no
port                    8668
redirect_address 192.168.2.2 192.168.1.253

и кусок rc.conf что касается natd

Код: Выделить всё

/etc/rc.conf
natd_enable="YES"
natd_interface="rl0"
natd_flags="-m -u -f /etc/natd.conf"

[alx]

Да, забыл строчку добавить из /etc/rc.firewall

Код: Выделить всё

${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

тоже есть

[Гость]

Люди, так что, ни кто ни делал проброс белых айпишников в сеть?

[paradox]

что значит проброс?
белые айпи ходят по роутингу их пробрасывать не надо

[alx]

что значит проброс?
белые айпи ходят по роутингу их пробрасывать не надо

Хм. А что значит тогда вот это, man natd. Илия что-то неправильно там понимаю?
Знаю что можно и порты пробрасывать и адреса. Так называемый статический НАТ

Код: Выделить всё

 -redirect_address localIP publicIP
                 Redirect traffic for public IP address to a machine on the
                 local network.  This function is known as static NAT.  Nor-
                 mally static NAT is useful if your ISP has allocated a small
                 block of IP addresses to you, but it can even be used in the
                 case of single address:

                       redirect_address 10.0.0.8 0.0.0.0

                 The above command would redirect all incoming traffic to
                 machine 10.0.0.8.

                 If several address aliases specify the same public address as
                 follows

                       redirect_address 192.168.0.2 public_addr
                       redirect_address 192.168.0.3 public_addr
                       redirect_address 192.168.0.4 public_addr

                 the incoming traffic will be directed to the last translated
                 local address (192.168.0.4), but outgoing traffic from the
                 first two addresses will still be aliased to appear from the
                 specified public_addr.

[paradox]

ключевое слово в том где и что вы набрали

man natd

ключевое слово nat
а причем тут нат к белым айпи?

[alx]

ключевое слово в том где и что вы набрали

man natd

ключевое слово nat
а причем тут нат к белым айпи?

В моём случае, будут IP адреса которые мне выдаст провайдер, их будет несколько штук. Так вот, кое какие адреса мне надо прибить ко внутренним машинам которые имею фейковые IP, за НАТ-ом.

Странно, щас обсуждаю ту же тему в http://www.opennet.ru/openforum/vsluhfo ... 86357.html и мне там ещё пока ни кто не сказал, что внешние IP невозможно направить во внутрь. Дают вродь реальные советы.

[paradox]

моём случае, будут IP адреса которые мне выдаст провайдер, их будет несколько штук. Так вот, кое какие адреса мне надо прибить ко внутренним машинам которые имею фейковые IP, за НАТ-ом.

ну так а зачем нат?
пустите их напрямую

Странно, щас обсуждаю ту же тему в http://www.opennet.ru/openforum/vsluhfo ... 86357.html и мне там ещё пока ни кто не сказал, что внешние IP невозможно направить во внутрь. Дают вродь реальные советы

люди иногда имеют свойство советовать то в чем не разбираються
так что это нормально

[alx]

моём случае, будут IP адреса которые мне выдаст провайдер, их будет несколько штук. Так вот, кое какие адреса мне надо прибить ко внутренним машинам которые имею фейковые IP, за НАТ-ом.

ну так а зачем нат?
пустите их напрямую

Т.е. что-то я не понял Вы имеете виду nattraversal или что-то такое в этом роде, или я что-то недопонимаю...
Поделитесь этим вариантом, если не жалко, может есть то что я не знаю. Или какой-то софт стороних разработчиков, в портах?

Странно, щас обсуждаю ту же тему в http://www.opennet.ru/openforum/vsluhfo ... 86357.html и мне там ещё пока ни кто не сказал, что внешние IP невозможно направить во внутрь. Дают вродь реальные советы

люди иногда имеют свойство советовать то в чем не разбираються
так что это нормально

[paradox]

я пока что не советую потому что не могу понять что вам надо
но для прозрачного прохождения реал айпи нат не нужен реал айпи ходят по простому роутингу

[alx]

я пока что не советую потому что не могу понять что вам надо
но для прозрачного прохождения реал айпи нат не нужен реал айпи ходят по простому роутингу

Не, вы не поняли...
как можно например 213,130,24,8 смаршрутизировать в сеть например 192,168,0,1. Может какая-то новая фишка появилась, тада просветите.

То что у меня там два фейковых IP, на то вы не обращайте внимания, то для экспериментов. Я знаю, что проще настроить роутинг и пропустить например ч/з тот же IPFW или PF, что собно я и сделал. Но у меня стоит задача, сделать открытыми некоторые хосты которые находятся в локалке, в инете. Что бы не заморачиватся с пробросом портов. К тому же мне с портами не совсем удобно, в сети несколько Web серверов. Как решить проблему не меняя портов, но что бы пропускалось одним шлюзом. Как я уже сказал, провайдер мне выдаёт большой блок IP, вот я думаю использовать их для клиентов.

[paradox]

Не, вы не поняли...
как можно например 213,130,24,8 смаршрутизировать в сеть например 192,168,0,1. Может какая-то новая фишка появилась, тада просветите

а в чем проблема?
чем 192. отличаеться от 213. ?

[alx]

Ну как вы себе представляйте дать команду пинг с машины 213,130,24,8 на машину 192,168,0,1 например.
Куда запрос придёт?

[paradox]

1) запрос пойдет по роутингу
2) вы не забывайте что 192 промежуточный узел и участвует токо в маршрутиации
конечный узел с белым айпи

[alx]

1) запрос пойдет по роутингу[/code]
По какому роутингу, у меня машины все прячутся за натом. Придёт пакет на шлюз, и куда он дальше пойдёт?

Код: Выделить всё

2) вы не забывайте что 192 промежуточный узел и участвует токо в маршрутиации конечный узел с белым айпи[/quote]

Это вы за классическую схему говорите, вот тоже самое, тока наоборот. Вот, для ясности нарисовал схему.

Вот там, где написано FreeBSD там работает НАТ, а все остальные хоста имеют статус приват, согласно RFC. Вот кое что из ДМЗ должно быть доступно в инете, и кое какие клиентские тачки, те которые захотят. 
Вы например хотите зайти на мой фтп или вэб, как вы через нат проберётесь?

[paradox]

стоп
вы говорили что вам провайдер выдал БЕЛЫЕ АЙПИ
которые вы раздадите клиентам
так что мешает настроить роутинг у провайдера и у себя что бы они ходили прямо
и забудте за ваш нат
он для тех кто в дмз с СЕРЫМИ адрессами

[alx]

стоп
вы говорили что вам провайдер выдал БЕЛЫЕ АЙПИ
которые вы раздадите клиентам
так что мешает настроить роутинг у провайдера и у себя что бы они ходили прямо
и забудте за ваш нат
он для тех кто в дмз с СЕРЫМИ адрессами

Но я не говорил что мне он даст бесчисленное множество, ну даст он мне шт. 20-50, а хостов у меня 300 скажем. И что тогда делать, наугад лепить айпишники? Авось попаду, хостов в любом случае будет больше чем пров даст IP. Без НАТа не обойтись. К тому же, не всем и нужен белый IP. Кому-то хватит и то что есть. Мне не надо что бы прямо ходили...

[alx]

У вас в офисе тоже в локалке белые IP?

[paradox]

ну я теперь понял
вы не хотите отдавать юзерам управлять своим айпи
вы сами хотите прокидывать им
я конечно такого бы не одобрил
уж если даете так давайте полностью - роутингом
ну или vpn тунелем на крайняк
а так конечно можно и binat на прямую - но это кривой путь решения

[alx]

Я бы им отдал, если бы позволяли техвозможности, ну и размер кошелька конечно, проще иметь свой AS и PI, свою циску или на крайняк Зебру на Фре поднять, и получи радость от жизни. Это конечно круто, но как я уже сказал пока нет возможности, вырастим, тада конечно, реализуем эту схему. А пока надо исходить из того что есть.

[paradox]

не пойму токо причем сдесь зебра циска и кошелек))
к тому что я описал делаться раз два три и вуаля

[alx]

Не, чёта я вас не пойму...
Что значит вуаля...

[paradox]

я вас тоже не понимаю) в чем именно проблема