проброс портов в ipfw

[Vladimir22]

Добрый день!
Простите за наивный вопрос... FreeBSD поставил впервые в жизни по здешним статьям.
Сейчас вся сеть работает на Freebsd, установленной не мной. Но хочется разобраться самому. Установил свой сервер и пытаюсь настроить правильно:
есть шлюз на FreeBSD 8.3. в локальной сети есть почтовый сервер - 192.168.0.5 - работает без нареканий по старому шлюзу.
хочу пробросить порт в своем Freebsd (мне нужно несколько портов, но для простоты остановимся на 25). Сделал по инструкции - не выходит. Ткните меня лицом где я ошибся? ПЛИЗЗ!

ядро собрано с опциями:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_NAT
options LIBALIAS


мой rc.conf:

hostname="serv-gw.Домен"

# всего есть 2 сетевухи, а сетей много поэтому использую vlan
ifconfig_bce0="up media 1000baseTX mediaport full-deplex"
ifconfig_bce1="up media 1000baseTX mediaport full-deplex"
cloned_interfaces="vlan401 vlan402 vlan100 vlan200 vlan300 vlan99 vlan1920 vlan1921"

ifconfig_vlan401="vlan 401 vlandev bce1 хх.хх.хх.хх netmask 255.255.255.248 mtu 1500" #первый провайдер - основной
ifconfig_vlan402="vlan 402 vlandev bce1 yy.yy.yy.yy netmask 255.255.255.224 mtu 1500" #второй провайдер

ifconfig_vlan100="vlan 100 vlandev bce0 10.22.1.1 netmask 255.255.255.0 mtu 1500"
ifconfig_vlan200="vlan 200 vlandev bce0 10.22.2.1 netmask 255.255.255.0 mtu 1500"
ifconfig_vlan300="vlan 300 vlandev bce0 10.22.3.1 netmask 255.255.255.0 mtu 1500"
ifconfig_vlan99="vlan 99 vlandev bce0 10.22.10.1 netmask 255.255.255.0 mtu 1500"
ifconfig_vlan1920="vlan 1 vlandev bce0 192.168.0.1 netmask 255.255.255.0 mtu 1500" # внутрення локальная сеть - здесь почтовый сервер
ifconfig_vlan1921="vlan 1921 vlandev bce0 192.168.1.1 netmask 255.255.255.0 mtu 1500"
defaultrouter="xx.xx.xx.182" # шлюз первого провайдера

sshd_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN" # пока для простоты
firewall_nat_enable="YES"
firewall_nat_interface="vlan401"
dummynet_enable="YES"

samba_enable="YES"
winbindd_enable="YES"
apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"

мой rc.firewall (только часть, которая как я понял используется для опен файрвола):

# Prototype setups.
#
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
${fwcmd} nat 123 config if vlan401 log same_ports redirect_port tcp 192.168.0.5:25 25
${fwcmd} add nat 123 ip from any to any via vlan401
${fwcmd} add 65000 pass all from any to any
;;

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ADRE]

всё верно. + проброс в natd надо написать иначе он не поймёт куда толкать. создать файл типа natd.conf
--
http://forum.lissyara.su/viewtopic.php?f=53&t=29201

[Vladimir22]

Я думал, что natd это другой демон.
хочется использовать именно ядерный файрвол+нат

[Vladimir22]

Самое главное я и не написал))))

в такой конфигурации проброс не работает! стучусь телнетом на внешний адрес 25 порт - ответа нет!

[Vladimir22]

Никтко не поможет?

[Shuba]

Вроде показанная часть написано верно, но хез, что там ранее в этом фаерволле. Кроме того, у тя два прова, запрос может прийти по одному, а выйти по другому. Так что сперва заюзай tcpdump для проверки, где что на каких интерфейсах у тя пропадает

[Vladimir22]

все оказалось просто: на сервер, куда я стучался телнетом, шлюз по умолчанию - другой комп с Freebsd )))
я почему то думал что должно работать....

поправьте меня плиз:

сервер 1 - Шлюз на Фри работающий
сервер 2 - Шлюз на Фри который я настраиваю.на нем проброшен 25 порт на сервер3
сервер3 - почтовый сервер (у него шлюзом стоит сервер1)

если обратиться на сервер2 телнетом на 25 порт - сервер 3 должен ответить? или он ответ пошлет на сервер1 ?

[rmn]

если обратиться на сервер2 телнетом на 25 порт - сервер 3 должен ответить? или он ответ пошлет на сервер1 ?

если сервер2 и сервер3 в одной подсети (direct connected), ответ пойдет сервер3 -> сервер2, иначе сервер3 -> сервер1

--
хотя нет. это если с сервер2 запрос слать.

[sudo]

все оказалось просто: на сервер, куда я стучался телнетом, шлюз по умолчанию - другой комп с Freebsd )))
я почему то думал что должно работать....

поправьте меня плиз:

сервер 1 - Шлюз на Фри работающий
сервер 2 - Шлюз на Фри который я настраиваю.на нем проброшен 25 порт на сервер3
сервер3 - почтовый сервер (у него шлюзом стоит сервер1)

если обратиться на сервер2 телнетом на 25 порт - сервер 3 должен ответить? или он ответ пошлет на сервер1 ?

Нет, не ответит. То, что вам нужно, это не проброс портов (хотя и это тоже), а вникнуть в тему PBR.

http://forum.lissyara.su/viewtopic.php? ... BR#p283976

[sudo]

Это, конечно, если речь идет о том, чтобы использовать 2 канала. Но тут будут грабли, как с почтой, так и с внешними остальными сервисами, даже если Вы сделаете автоматическое переключение каналов и пр. В частности если брать почту, даже настроив приоритет MX-записей, сторонние сервера то будут присылать сообщения в любом случае на один из каналов (при случае падения одного из них). А вот клиенты извне далеко не всегда будут стучаться именно на тот IP-адрес, который в онлайне находится (если в DNS будут прописаны A записи обоих каналов). С www та же проблема...