Непонятки с ipfw nat

[ivasian]

Такая ситуация. Есть роутер с двумя сетевыми интерфейсами. Один смотрит в сторону провайдера и на нем поднят нат (em0 192.168.1.100), другой смотрит в локальную сеть (em1 10.0.0.1). Проброшен tcp порт на машину во внутренней сети (redirect_port tcp 10.0.0.111:411 411). И вот тут странность - если коннектиться к этому порту из внешней сети(то есть например с машины 192.168.1.101 на 192.168.1.100:411), то все нормально, машина из внешней сети успешно попадает на 10.0.0.111:411. А если коннектиться из внутренней сети (например с 10.0.0.100 (через em1) на 192.168.1.100:411), то ответа нет.
Чего я не понимаю?? Заранее благодарен.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmtr]

пакет когда через em1 заходит и на em0 должен прийти, он там где-то в ядре обрабатывается и до ната дело не доходит. вот и редирект и не срабатывает.
я сам до конца не понимаю, но примерно так. может опытные товарищи меня поправят

[dmtr]

http://nuclight.livejournal.com/124348.html

[ivasian]

Прочитал инфу. Теперь я понимаю что пакет отправленный на 192.168.1.100:411 пройдя через em1 попадает в точку 3, где выясняется что на машине нет демона на порту 411. А теперь вопрос как грамотно сделать так чтобы и в этом случае происходил портфорвандинг? Это вообще в каких то случаях нужно?

[dmtr]

Это вообще в каких то случаях нужно?

это нужно когда доступ к ресурсу на 10.0.0.111:411 нужен по одному и тому же адресу 192.168.1.100:411 как из-за ната, так и из локалки. если коннектится на разные адреса(из локалки на 10.0.0.111, а извне на 192.168.1.100) не проблема, то ничего не надо настраивать

[ivasian]

Ну так раз это кому то кроме меня нужно, как это делается правильно, а товарищи?

[dmtr]

второй нат можно поднять на em1. а можт и rinetd поможет.

а если коннкет по какому-нибудь доменному имени происходит, то можно вписать нужное соответсвие в hosts локальным машинам.

[ivasian]

rinetd конечно поможет, но это скорее костыль чем решение ) Править файлы hosts тоже не решение. А что имеется ввиду под вторым натом? Как и на что он будет натить на интерфейсе em1?

[dmtr]

rinetd конечно поможет, но это скорее костыль чем решение )

почему? сервис как сервис, настроили и работает.

А что имеется ввиду под вторым натом? Как и на что он будет натить на интерфейсе em1?

честно говоря для такой задачи два ната не пробовал, но логика следующая. поднять второй нат на интерфейсе em1, и заворачивать на него запросы пришедшие через em1 для получателя 192.168.1.100 (вы ж на 192.168.1.100:411 хотите), и пусть он тот же конфиг использует -

(redirect_port tcp 10.0.0.111:411 411)

хотя я не уверен что работать это будет. думать лень.

посмотрите на ядерный нат вместо натд, можт он такое может легко. подробностей не знаю, я его не использую, мне натд с головой хватает.

когда у меня была такая задача, я решил её через dns-сервера.
есть домен company.ru, его dnsы всему интернету отдают внешний ИП моего шлюза, а на локальном днс-сервере прописана зона company.ru с нужным ИП в локалке.

[ivasian]

Нат в таком конфиге работать будет. Я и так использую ядерный нат. Да, через днс можно такое сделать.
Спасибо за инфу, впринципе поставленный вопрос решен.

[opt1k]

хотя бы написали как решили.