Непонятки с ipfw nat
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2011-07-05 15:10:01
Непонятки с ipfw nat
Такая ситуация. Есть роутер с двумя сетевыми интерфейсами. Один смотрит в сторону провайдера и на нем поднят нат (em0 192.168.1.100), другой смотрит в локальную сеть (em1 10.0.0.1). Проброшен tcp порт на машину во внутренней сети (redirect_port tcp 10.0.0.111:411 411). И вот тут странность - если коннектиться к этому порту из внешней сети(то есть например с машины 192.168.1.101 на 192.168.1.100:411), то все нормально, машина из внешней сети успешно попадает на 10.0.0.111:411. А если коннектиться из внутренней сети (например с 10.0.0.100 (через em1) на 192.168.1.100:411), то ответа нет.
Чего я не понимаю?? Заранее благодарен.
Чего я не понимаю?? Заранее благодарен.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- dmtr
- ст. прапорщик
- Сообщения: 545
- Зарегистрирован: 2009-11-06 22:01:34
- Откуда: с Ростова
Re: Непонятки с ipfw nat
пакет когда через em1 заходит и на em0 должен прийти, он там где-то в ядре обрабатывается и до ната дело не доходит. вот и редирект и не срабатывает.
я сам до конца не понимаю, но примерно так. может опытные товарищи меня поправят
я сам до конца не понимаю, но примерно так. может опытные товарищи меня поправят
This game has no name. It will never be the same.
- dmtr
- ст. прапорщик
- Сообщения: 545
- Зарегистрирован: 2009-11-06 22:01:34
- Откуда: с Ростова
Re: Непонятки с ipfw nat
This game has no name. It will never be the same.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2011-07-05 15:10:01
Re: Непонятки с ipfw nat
Прочитал инфу. Теперь я понимаю что пакет отправленный на 192.168.1.100:411 пройдя через em1 попадает в точку 3, где выясняется что на машине нет демона на порту 411. А теперь вопрос как грамотно сделать так чтобы и в этом случае происходил портфорвандинг? Это вообще в каких то случаях нужно?
- dmtr
- ст. прапорщик
- Сообщения: 545
- Зарегистрирован: 2009-11-06 22:01:34
- Откуда: с Ростова
Re: Непонятки с ipfw nat
это нужно когда доступ к ресурсу на 10.0.0.111:411 нужен по одному и тому же адресу 192.168.1.100:411 как из-за ната, так и из локалки. если коннектится на разные адреса(из локалки на 10.0.0.111, а извне на 192.168.1.100) не проблема, то ничего не надо настраиватьЭто вообще в каких то случаях нужно?
This game has no name. It will never be the same.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2011-07-05 15:10:01
Re: Непонятки с ipfw nat
Ну так раз это кому то кроме меня нужно, как это делается правильно, а товарищи?
- dmtr
- ст. прапорщик
- Сообщения: 545
- Зарегистрирован: 2009-11-06 22:01:34
- Откуда: с Ростова
Re: Непонятки с ipfw nat
второй нат можно поднять на em1. а можт и rinetd поможет.
а если коннкет по какому-нибудь доменному имени происходит, то можно вписать нужное соответсвие в hosts локальным машинам.
а если коннкет по какому-нибудь доменному имени происходит, то можно вписать нужное соответсвие в hosts локальным машинам.
This game has no name. It will never be the same.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2011-07-05 15:10:01
Re: Непонятки с ipfw nat
rinetd конечно поможет, но это скорее костыль чем решение ) Править файлы hosts тоже не решение. А что имеется ввиду под вторым натом? Как и на что он будет натить на интерфейсе em1?
- dmtr
- ст. прапорщик
- Сообщения: 545
- Зарегистрирован: 2009-11-06 22:01:34
- Откуда: с Ростова
Re: Непонятки с ipfw nat
почему? сервис как сервис, настроили и работает.rinetd конечно поможет, но это скорее костыль чем решение )
честно говоря для такой задачи два ната не пробовал, но логика следующая. поднять второй нат на интерфейсе em1, и заворачивать на него запросы пришедшие через em1 для получателя 192.168.1.100 (вы ж на 192.168.1.100:411 хотите), и пусть он тот же конфиг использует -А что имеется ввиду под вторым натом? Как и на что он будет натить на интерфейсе em1?
хотя я не уверен что работать это будет. думать лень.(redirect_port tcp 10.0.0.111:411 411)
посмотрите на ядерный нат вместо натд, можт он такое может легко. подробностей не знаю, я его не использую, мне натд с головой хватает.
когда у меня была такая задача, я решил её через dns-сервера.
есть домен company.ru, его dnsы всему интернету отдают внешний ИП моего шлюза, а на локальном днс-сервере прописана зона company.ru с нужным ИП в локалке.
This game has no name. It will never be the same.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2011-07-05 15:10:01
Re: Непонятки с ipfw nat
Нат в таком конфиге работать будет. Я и так использую ядерный нат. Да, через днс можно такое сделать.
Спасибо за инфу, впринципе поставленный вопрос решен.
Спасибо за инфу, впринципе поставленный вопрос решен.
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Непонятки с ipfw nat
хотя бы написали как решили.