Хитрый NAT

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Хитрый NAT

Непрочитанное сообщение kharkov_max » 2013-03-31 18:52:36

Добрый день.
Господа, помогите решить вопрос.

В локальной сети поднят openfire, адрес внутренний.
Для работы ICQ для хоста openfire включен полный nat в инет.
Из инета на внутренний адрес openfire сделан проброс порта, для подключений из инета.
Из инета - все работает.
Но !!! В локалке работает только если указывать внутренний адрес, а не внешний.

В локалке есть 2й сервис zabbix, в настройках которого не возможно указать отдельно сервер подключения и пользователя т.е. он ломится на то доменное имя пользователя. К примеру zabbix@my.inet.com

Т.е. мне нужно сделать так что бы внутренние адреса могли подключаться к внутреннему openfire на внешний адрес, при чем не хотелось бы накручивать в фаерволе на внутреннем адресе.

Есть следующие правила фаервола

Код: Выделить всё

jabber_port="5223"
jabber_server="192.168.10.183"

${fw} nat 1 config ip ${ext_gateway_ip} reset same_ports deny_in \
            redirect_port tcp ${jabber_server}:${jabber_port} ${jabber_port} 

# Проброс порта.
${fw} add nat 1 tag 7 tcp from ${jabber_server} ${jabber_port} to any          out via ${ext_if}
${fw} add allow          tcp from ${ext_gateway_ip} ${jabber_port} to any       out via ${ext_if} tagged 7

${fw} add nat 1 tag 7 tcp from any to ${ext_gateway_ip} ${jabber_port}        in via ${ext_if}
${fw} add allow          tcp from any        to ${jabber_server} ${jabber_port}   in via ${ext_if} tagged 7

# Полный nat для хоста
${fw} add nat 1 tag 2 { tcp or udp or icmp } from ${jabber_server} to any      out via ${ext_if}
${fw} add allow          { tcp or udp or icmp } from ${ext_gateway_ip} to any   out via ${ext_if} tagged 2

${fw} add nat 1 tag 2 { tcp or udp or icmp } from any to ${ext_gateway_ip}    in via ${ext_if}
${fw} add allow          { tcp or udp or icmp } from any to ${jabber_server}      in via ${ext_if} tagged 2
Из локалки на порт 5223 не телнетится.
Подскажите, пока теорию, как пакет должен проходить для моей схемы/хотелки ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Хитрый NAT

Непрочитанное сообщение dekloper » 2013-03-31 21:08:08

kharkov_max писал(а):Т.е. мне нужно сделать так что бы внутренние адреса могли подключаться к внутреннему openfire на внешний адрес
противоречиво сформулирована хотелка..
но смысл я уловил, ибо сам когдато такого хотел :cz2:
ваш сервак с аськой должен по-разному резолвиться, в зависимости от того из какой сети обратился с запросом клиент..
в мане по намеду про это написано (external/internal views)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Хитрый NAT

Непрочитанное сообщение Shuba » 2013-03-31 21:18:38

Я у себя (правда для smtp и вэб-морды мыла, но это - детали) средствами DNS раздаю для клиентов снаружи внешний адрес, а для клиентов из локалки - внутренний. ИМХО - самый простой и логичный вариант.
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Хитрый NAT

Непрочитанное сообщение kharkov_max » 2013-04-01 15:44:44

Мда, добавил на zabbix в hosts имя внешнего домена на внутренний адрес, вроде заработало ...
Жаль конечно что реализация данного вопроса через ipfw очень сложна ...