MacOSX Server + natd + ipfw (PPTP+WAN->LAN)

[itux]

Доброе время суток, товарищи.
В поисках правды перерыл весь интернет и посему попробую узнать еще тут. Проблема следующая, перевел интернет с роутера на сервер, устал от проблем с роутером... (DLink DIR-655 (A3)). Как известно МакОС тот же БСД только с боку и рюшечками, там так-же есть natd. Стандартной службой нат, с минимальными шаманствами удалось поднять нат для связки LAN<->INET, а связка LAN <-> WAN работает только на сервере, пользователи локалки не видят WAN
Шаманство 1: (правка natd.plist )

Код: Выделить всё

bash-3.2# cat /etc/nat/natd.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>alias_address</key>
	<string>INTERNET IP</string>
	<key>clamp_mss</key>
	<true/>
	<key>deny_incoming</key>
	<false/>
	<key>dynamic</key>
	<true/>
	<key>enable_natportmap</key>
	<true/>
	<key>interface</key>
	<string>ppp0</string> <!-- PPTP (INTERNET) -->
	<key>log</key>
	<true/>
	<key>log_denied</key>
	<false/>
	<key>natportmap_interface</key>
	<string>en1</string> <!-- LAN -->
	<key>proxy_only</key>
	<false/>
	<key>reverse</key>
	<false/>
	<key>same_ports</key>
	<true/>
	<key>unregistered_only</key>
	<true/>
	<key>use_sockets</key>
	<true/>
</dict>
</plist>

в результате старта NAT сервиса получаем файл natd.conf.apple, который используется natd:

Код: Выделить всё

bash-3.2# ps ax | grep natd
 2553   ??  Ss     5:06.12 /usr/sbin/natd -f /etc/nat/natd.conf.apple

Код: Выделить всё

bash-3.2# cat /etc/nat/natd.conf.apple 
# This file is reserved for configuration automatically generated by the Server Admin app.
# Generated: 2010-08-20 19:59:13 +0700.
#
interface ppp0
natportmap_interface en1
enable_natportmap yes
alias_address INTERNET IP
dynamic yes
log yes
log_denied no
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
reverse no
proxy_only no
clamp_mss yes

и сервис прописывает еще и правило ната в ipfw:

Код: Выделить всё

00010  1061451   679293915 divert 8668 ip from any to any via ppp0

При этом нат нормально функционирует, проброс портов автоматический, так как
запущен натпортмап

Шаманство 2: (добавляем второй нат для WAN, для этого редактируем копию natd.conf.apple)
Доброе время суток, товарищи.
В поисках правды перерыл весь интернет и посему попробую узнать еще тут. Проблема следующая, перевел интернет с роутера на сервер, устал от проблем с роутером... (DLink DIR-655 (A3)). Как известно МакОС тот же БСД только с боку и рюшечками, там так-же есть natd. Стандартной службой нат, с минимальными шаманствами удалось поднять нат для связки LAN<->INET, а связка LAN <-> WAN работает только на сервере, пользователи локалки не видят WAN
Шаманство 1: (правка natd.plist )

Код: Выделить всё

bash-3.2# cat /etc/nat/natd.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>alias_address</key>
	<string>INTERNET IP</string>
	<key>clamp_mss</key>
	<true/>
	<key>deny_incoming</key>
	<false/>
	<key>dynamic</key>
	<true/>
	<key>enable_natportmap</key>
	<true/>
	<key>interface</key>
	<string>ppp0</string> <!-- PPTP (INTERNET) -->
	<key>log</key>
	<true/>
	<key>log_denied</key>
	<false/>
	<key>natportmap_interface</key>
	<string>en1</string> <!-- LAN -->
	<key>proxy_only</key>
	<false/>
	<key>reverse</key>
	<false/>
	<key>same_ports</key>
	<true/>
	<key>unregistered_only</key>
	<true/>
	<key>use_sockets</key>
	<true/>
</dict>
</plist>

в результате старта NAT сервиса получаем файл natd.conf.apple, который используется natd:

Код: Выделить всё

bash-3.2# ps ax | grep natd
 2553   ??  Ss     5:06.12 /usr/sbin/natd -f /etc/nat/natd.conf.apple

Код: Выделить всё

bash-3.2# cat /etc/nat/natd.conf.apple 
# This file is reserved for configuration automatically generated by the Server Admin app.
# Generated: 2010-08-20 19:59:13 +0700.
#
interface ppp0
natportmap_interface en1
enable_natportmap yes
alias_address INTERNET IP
dynamic yes
log yes
log_denied no
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
reverse no
proxy_only no
clamp_mss yes

и сервис прописывает еще и правило ната в ipfw:

Код: Выделить всё

00010  1061451   679293915 divert 8668 ip from any to any via ppp0

При этом нат нормально функционирует, проброс портов автоматический, так как
запущен натпортмап

Шаманство 2: (добавляем второй нат для WAN, для этого редактируем копию natd.conf.apple)

Код: Выделить всё

bash-3.2# cat /etc/nat/natd.conf.beeline 
# This file is reserved for configuration automatically generated by the Server Admin app.
# Generated: 2010-08-20 18:02:10 +0700.
#
interface en0
natportmap_interface en1
enable_natportmap yes
alias_address WAN
dynamic yes
log yes
log_denied yes
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
reverse no
proxy_only no
clamp_mss yes

и делаем скрипт запуска нашего ната

Код: Выделить всё

bash-3.2# cat route_beeline.sh 
#!/bin/sh
natd -n en0 -p 8669 -f /etc/nat/natd.conf.beeline
ipfw add 11 divert 8669 ip from any to any via en0
route add 10.0.0.0/8 beeWanGW

на что резонно получаем следующее:

Код: Выделить всё

Binding to NATPM port failed!

А теперь основная проблема, как сделать проброс хотя-бы одного порта

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[itux]

Проброс порта выполнен, оживлю сервере выложу конфиги.
Вопрос пока поставлю по другому
Как сделать портфорвардинг минуя нат, тоесть надо сделать проброс порта в сетку провайдера не используя нат?