Можно ли пробросить порт внутрь сети с маскировкой адреса?

[goshanecr]

Добрый день товарищи!
Есть сеть:

Код: Выделить всё

{192.168.0.0/24}--->[192.168.0.10]=>[192.168.0.1 FreeBSD 8.2 i386]
{192.168.1.0/24}--->[192.168.1.10]=>

Т.е. две подсети отделены аппаратным фаерволом с адресами .10 в обеих подсетях. Он не настраиваем нами, он поставлен для защиты персональных данных и разграничивает две сети. Интернет раздаёт шлюз под фрёй. Надо пробросить внешний порт на фре в подсетку 192.168.0.0 на один из компов. Но машина .10 не пропускает пакеты из интернета в эту подсеть, а если пробовать стучать на необходимый порт этой машины с шлюза, то .10 его пропускает.
Итого необходимо чтобы шлюз в пробрасываемых пакетах подменял IP на свой. Эдакий нат для интернета в локалку. Как это можно организовать?
Сейчас интернет там раздаётся стандартной связкой natd+ipfw. Пробрасывать пробовал redirect_port в natd.conf
tcpdump'ом отслеживал что пакеты при попытке коннекта извне пробрасываются в сеть, но видимо из-за внешнего адреса в заголовке не пропускаются аппаратным фаерволом.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

http://www.lissyara.su/articles/freebsd ... #example_3

[goshanecr]

terminus спасибо за наводку. Но в этой организации всё уже организованно при помощи natd+ipfw, можно ли средствами natd а не ipfw nat это реализовать?

[terminus]

Ну так концепция то одна и та же - просто вместо ipfw nat использовать natd.

[rmn]

Итого необходимо чтобы шлюз в пробрасываемых пакетах подменял IP на свой. Эдакий нат для интернета в локалку. Как это можно организовать?

Код: Выделить всё

man natd
...
     -reverse    This option makes natd reverse the way it handles
                 "incoming'' and "outgoing'' packets, allowing it to operate
                 on the "internal'' network interface rather than the
                 "external'' one.

                 This can be useful in some transparent proxying situations
                 when outgoing traffic is redirected to the local machine and
                 natd is running on the internal interface (it usually runs on
                 the external interface).
...

[sch]

поставь из портов rinetd - он как раз работает как "прокси" для tcp пакетов, подменяя исходящий адрес на свой

[mediamag]

Не забывайте,что rinetd при проброске порта не показывает реальный ip с которого ломятся к этому порту, а показывает ip сетевой. Это я к тому, что если захотите вести статистику или логировать что нибудь.