Как сделать IPFW FWD или IPNAT

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-16 10:53:16

Собственно задача такая.
Есть в локальной сети ПК с ИП 192.168.10.238, прога при обновлении лезет на внешний ИП xx.xx.xx.xx порт 80. В локальной сети есть зеркало и надо все эти запросы перенаправлять на 192.168.10.249:80. Т.е. получается:

Код: Выделить всё

192.168.10.238 -- xx.xx.xx.xx:80 fwd 192.168.10.249:80 
Как это сделать лучше? Написал правило:

Код: Выделить всё

${FwCMD} add fwd 192.168.10.249,80 tcp from 192.168.10.238 to xx.xx.xx.xx 80 keep-state
пакетики бегут вижу, но на 192.168.10.238 ни чего не происходит, встречал инфу что FWD работает только для шлюза, т.е. можно завернуть пакеты на локалхост, а дальше нет (как то так). Возможно ли такой форвардинг сделать сделать средствами IPNAT?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2471
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение skeletor » 2011-12-16 11:41:15

Попробуй сделать так

Код: Выделить всё

rdr nei0 192.168.10.238/32 port 80 ->  192.168.10.249/32 port 80
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-16 11:53:52

не идет, тут надо как то учитывать IP назначения, даже если бы и сработало, то это означает, что для чела кирдык инет, весь траф по 80 порту пойдет на 10.249

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение Shuba » 2011-12-16 13:26:12

А выставить в dns-сервере, чтобы он на запрос внешнего сервака выдавал внутренний адрес не катит???
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-16 13:42:33

Вот этот рулес IPNAT конекты ловит

Код: Выделить всё

rdr bge1 from 192.168.10.238/32 to 87.242.75.216/32 port = 80 -> 192.168.10.249 port 80
вижу

Код: Выделить всё

RDR 192.168.10.249  80    <- -> 87.242.75.216   80    [192.168.10.238 54012]
но я так понимаю это пол дела, теперь с машины 192.168.10.249 - надо ответы занатить на 192.168.10.238, а не на 87.242.75.216, верно я понял? В таком случае со вторым правилом что-то не пойму как.

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-16 14:04:56

Если говорить такими понятиями как DNAT SNAT. Т.е. ответы с 192.168.10.249 отправляются на 192.168.10.238, а этот комп как бы напрямую ни чего на 192.168.10.249 не посылал, он дропает пакеты. 192.168.10.238 посылал на 87.242.75.216 с него и ждет ответ, короче преобразования в одну сторону сделал, как сделать обратную подмену?

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-16 14:07:28

А выставить в dns-сервере, чтобы он на запрос внешнего сервака выдавал внутренний адрес не катит???
...касательно хост нейма я понимаю о чем речь, касательно данного случая, т.е. как выдавать ДНС ом на запрос внешнего ИП - внутренний, не сталкивался. Как это сделать?

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение Shuba » 2011-12-17 20:43:03

bsdavod писал(а):
А выставить в dns-сервере, чтобы он на запрос внешнего сервака выдавал внутренний адрес не катит???
...касательно хост нейма я понимаю о чем речь, касательно данного случая, т.е. как выдавать ДНС ом на запрос внешнего ИП - внутренний, не сталкивался. Как это сделать?
стать мастером этих зон и перенаправлять через CNAME на нужный адрес. Либо сделать ещё проще, прописать в hosts нужный ip на нужный адрес
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-17 20:58:43

Так речь не про DNS имена, о них как бы тут совсем речи нет. Только IP.
p.s. или я чего то не понимаю, мне надо

192.168.10.238 - xx.xx.xx.xx - 192.168.10.249 - туда
192.168.10.249 -хх.хх.хх.хх - 192.168.10.238 - обратно

xx.xx.xx.xx - внешний IP

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение Shuba » 2011-12-17 21:04:05

bsdavod писал(а):Так речь не про DNS имена, о них как бы тут совсем речи нет. Только IP.
как я понял ситуация следующая: есть какая-то прога, кторая обращается за обновлениями на сайт http://www.proga.com по адресу 11.222.333.44. В сетке имеется зеркало данного сайта по адресу 192.168.xx.xxx. Чтобы обратиться за обновлениями прога лезет на dns-сервером, чтобы получить адрес сайта http://www.proga.com. Так пущай прога думает, что правильный адрес не 11.222.333.44, а 192.168.xx.xxx. Тогда и с фаером мудрить не нужно будет.
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-17 21:24:38

В том то и дело, что обращается сразу по IP не по DNS, так то бы все было быстро сделано. На самом деле прога опрашивает по своему листу (нельзя менять, хэши и прочее отказывается работать сразу - это антивирь) порядка 20 зеркал, 1й приоритетней 20го, в списке сначала идут 10 IP адресов, потом 10 DNS записей,для последних я сделал, как Вы говорите уже, но в проге есть касяк, она опрашивает только первые 3 адреса и все, а первые три - это IP, будь они не ладны.

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение Shuba » 2011-12-17 21:44:28

bsdavod писал(а):В том то и дело, что обращается сразу по IP не по DNS, так то бы все было быстро сделано. На самом деле прога опрашивает по своему листу (нельзя менять, хэши и прочее отказывается работать сразу - это антивирь) порядка 20 зеркал, 1й приоритетней 20го, в списке сначала идут 10 IP адресов, потом 10 DNS записей,для последних я сделал, как Вы говорите уже, но в проге есть касяк, она опрашивает только первые 3 адреса и все, а первые три - это IP, будь они не ладны.
тогда ОЙ
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
bsdavod
рядовой
Сообщения: 38
Зарегистрирован: 2011-03-29 11:35:31

Re: Как сделать IPFW FWD или IPNAT

Непрочитанное сообщение bsdavod » 2011-12-17 21:50:15

Тут на сколько я понимаю надо DNAT SNAT замутить. Т.е. destination nat и source nat, в IPNAT я в упор не вижу как это сделать. Так же не вижу можно ли это сделать чем либо другим.