как покинуть порт через NAT?

[kuksha]

Нужно прокинуть порт внутреннего сервера наружу, через шлюз с natd. Но, так чтобы он был виден не только снаружи, но и изнутри.
Если коротко - снаружи сервер прекрасно виден по подставному адресу IP и порту, а вот изнутри по тому же адресу зайти не получается. У людей ноутбуки, поэтому настройки должны быть одинаковы, независимо от того откуда обращение идёт...

Внутренняя сеть: 192.168.0.0/16
Внутренний сервер и порт: 192.168.0.3:8443
Снаружи сервер вызывается по строке вроде такой: https://45.45.45.2
Шлюз с двумя интерфейсами, на внешнем интерфейсе xl0 поднята трансляция адресов через natd. На этом интерфейсе основной адрес 45.45.45.1 и дополнительный 45.45.45.2 для выставления наружу нашего внутреннего сервера. Ну и внутренний интерфейс xl1, который смотрит в сеть 192.168.0.0/16.

В файле /etc/natd.conf прописал:

Код: Выделить всё

same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.3:8443 45.45.45.2:443

https в фаерволе на шлюзе открыт так (не стал порты двум IP писать - открыл все настеж пока):

Код: Выделить всё

allow 1000 tcp from me to any 443
allow 1000 tcp from 45.45.45.2 to any
allow 1000 tcp from any to 45.45.45.2
allow 1000 tcp from 192.168.0.3 to any
allow 1000 tcp from any to 192.168.0.3

Итак ещё раз:
Снаружи https://45.45.45.2 работает, а из внутренней конторской сети - нет, "Веб-страница недоступна".
Что исправить?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rmn]

только недавно была подобная тема...
Такие схемы делаются с помощью dns views, а не натом. redirect_port будет работать для тех пакетов, которые на внешнем интерфейсе входящие, т.е. полученные по кабелю, а не с другого (внутреннего) интерфейса.

[hizel]

Четыре темы вниз в этом разделе.

[kuksha]

rmn, dns views я использовал только чтобы наружу и внутрь отдавать разный состав нашей доменной зоны. Как им проброс портов сделать - даже предположений нет...

hizel, тему видел, там отсыл на ЛОР, но рецепта там я не усёк. Можно просветить?

[rmn]

rmn, dns views я использовал только чтобы наружу и внутрь отдавать разный состав нашей доменной зоны. Как им проброс портов сделать - даже предположений нет...

А проброс им делать и не нужно. Сервер миру говорит, что resource.domain.ru - это 45.45.45.2, а локальным юзерам, что это 192.168.0.3. Все юзают https://resource.domain.ru и никаких проблем.

[kuksha]

Нет, это совсем не то, что я спрашивал, иначе я бы сам так сделал, тем более что у меня вообще два разных DNS внутрь и наружу.
192.168.0.3 слушает на порту 8443, а вызов должен идти на 45.45.45.2:443.
Я же писал всё это в вопросе.

[hizel]

Ну куда уж ясне. Там и рабочие правила и в треде есть ссылка на теорию.

[kuksha]

hizel, спасибо конечно за посыл в хендбук...
Там прописано как прокидывать порты и адреса наружу. Дык, у меня так и прописано - листинги я привёл... наружу работает... что именно я там не увидел, если меня туда послали для решения того, что я спрашивал?
Нужно сделать так, чтобы сервер был виден снаружи и изнутри по одному и тому же внешнему URL. НЕ ТОЛЬКО СНАРУЖИ!!!

Хотя, вот rmn пишет, что сие невозможно вроде как - редирект работает только на натовском интерфейсе для внешних клиентов...
Или всё-таки есть какой-то способ извернуться?

[hizel]

Уоу, уоу полегче, не кричите, я не виноват, что вы читать не умеете.

[kuksha]

Извините, если перегнул, не хотел... Но, я в самом деле не вижу решения.