Бермудский NAT

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Бермудский NAT

Непрочитанное сообщение vygov » 2010-04-14 15:23:07

Уфф... Проблема в следующем. Два сервака: Win2003 Server(192.168.111.9) в роли контроллера домена + Freebsd 4.10 в роли шлюза за роутером(192.168.111.1). На винде стоит радмин на дефолтном порту. В свое время сделал проброс порта через шлюз, чтобы цепляться на виндовый сервер извне, плюс добавил возможность выходить на внешний интерфейс с внутреннего.
Отметилось это все дело в нескольких строчках natd.conf и ipfw.rules:
same_ports yes
use_sockets yes
redirect_port tcp 192.168.111.9:4899 4899
$cmd add divert natd ip from any to any via $inet_if
$cmd add divert natd ip from any to any via $local_if
До недавнего времени все работало, потом дупло... По тем же конфигам работать перестало.
Через внешний интерфейс выйти на радмин не получается ни с извне, ни с локалки. При том, что
проброс 110 и 25 порта работает, почту извне забрать-отправить получается. Пробовал пробрасывать на другие машины в локалке, результат тот же. С сети на радмин можно выйти только на серый адрес. Промудохался и частично проблему решил заменив строчки диверта.
Теперь извне на радмин попадаю, с сети через внешний интерфейс нет. Natd в процессах висит, проверял. Два вопроса: почему перестало работать по старым правилам, притом частично - почта-то работает и до сих пор не могу подрубиться к радмину с внутреннего интерфейса через внешний, не сильно надо, но дело принципа - ведь работало же!
Конфиги прилагаю, тегами жирного шрифта выделил строчки, которые добавил.
P.S. Строчка interface xl0 в natd.conf, имхо, лишняя, потому как в rc.conf есть, но на всякий случай добавил.

# cat /etc/natd.conf

Код: Выделить всё

[b]interface xl0[/b]
same_ports yes
use_sockets yes
redirect_port tcp 192.168.111.9:4899 4899
redirect_port tcp 192.168.111.1:110 110
redirect_port tcp 192.168.111.1:25 25
# cat /etc/ipfw.rules

Код: Выделить всё

#!/bin/sh
cmd=/sbin/ipfw
ln="192.168.111.0/24"
inet_if_ip="x.x.x.x"
local_if_ip="192.168.111.1"
inet_if="xl0"
local_if="fxp0"
$cmd -q -f flush

$cmd add fwd 127.0.0.1,3128 tcp from 192.168.111.0/24 to any 80 via xl0

[b]$cmd add divert 8668 ip from 192.168.111.0/24 to any out via xl0
$cmd add divert 8668 ip from any to x.x.x.x in via xl0[/b]

#$cmd add divert natd ip from any to any via $inet_if
#$cmd add divert natd ip from any to any via $local_if

$cmd add allow ip from $inet_if_ip to any out xmit $inet_if
$cmd add allow ip from any to $inet_if_ip in recv $inet_if
$cmd add allow ip from any to $ln via $inet_if

$cmd add allow ip from $ln to $local_if_ip in recv $local_if
$cmd add allow ip from $local_if_ip to $ln out xmit $local_if

$cmd add allow ip from $ln to any in recv $local_if
$cmd add allow ip from any to $ln out xmit $local_if

$cmd add allow ip from any to any via lo0
$cmd add deny ip from any to 127.0.0.0/8
$cmd add deny ip from 127.0.0.0/8 to any
# cat /etc/rc.conf

Код: Выделить всё

gateway_enable="YES"
ipnat_enable="YES"
inetd_enable="NO"
kern_securelevel_enable="NO"
nfs_reserved_port_only="YES"
sshd_enable="YES"
hostname="domain.com"
font8x16="koi8-rc-8x16"
scrnmap="NO"
keymap="ru.koi8-r"
sendmail_enable="YES"
sendmail_flags="-bd"
sendmail_pidfile="/var/spool/postfix/pid/master.pid"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
ifconfig_fxp0="inet 192.168.111.1 netmask 255.255.255.0"
ifconfig_xl0="inet x.x.x.x netmask 255.255.255.252"
network_interfaces="auto"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_logging="YES"
defaultrouter="y.y.y.y"
natd_enable="YES"
natd_interface="xl0"
natd_flags="-f /etc/natd.conf"
natd_program="/sbin/natd"
clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"
clamav_freshclam_flags=""
clamsmtpd_enable="YES"
xntpd_enable="YES"
xntpd_flags="-p/var/run/ntpd.pid"
samba_enable="NO"
named_enable="YES"
mysql_enable="YES"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Бермудский NAT

Непрочитанное сообщение Alex Keda » 2010-10-03 17:40:29

юзайте rinetd
Убей их всех! Бог потом рассортирует...