Настройка двух отдельных натов через алиасы ip на шлюзе

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sergicus
ефрейтор
Сообщения: 68
Зарегистрирован: 2009-07-13 10:36:18

Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение sergicus » 2011-01-03 21:13:38

вот моя проблема, на шлюзе я к основному ип адресу я добавил 2ва алиаса (адреса реальные, пинговались). мне нужно настроить брэндмауэр таким образом,
чтобы трафик, попадая на один из внешних адресов ( 77.37.888.888), перенаправлялся на машину во внутренней сети с ip адресом 172.18.1.18 ,
а поведение трафика, попадающего на другой алиас (77.37.999.999), должно быть таким, чтобы весь трафик с 443 порта внешнего интерфейса перенаправлялся на 443 порт
внутреннего компьютера, с ip адресом 172.18.1.18. Трафик наружу должен выходить через тот же интерфейс через который попал вовнутрь.


К сожелению, мне никак не удается это настроить. Трафик на внутренние интерфейсы не перенаправляется.
Снаружи алиасы не пингуются. Изнутри тоже у этих внутренних компьютеров (172.18.1.20 и 172.18.1.18) доступа в инет нет



вот вывод настроек моего брэндмауэра при помощи команды ipfw -at show

Код: Выделить всё

00001  78452 72703089 Mon Jan  3 20:15:20 2011 skipto 3 ip from any to any layer2 in
00001  77023 72679343 Mon Jan  3 20:15:20 2011 skipto 8 ip from any to any not layer2 in
00001 105171 73699503 Mon Jan  3 20:15:20 2011 skipto 8 ip from any to any not layer2 out
00001  81100 72446642 Mon Jan  3 20:15:20 2011 skipto 3 ip from any to any layer2 out
00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004  78445 72702661 Mon Jan  3 20:15:20 2011 allow ip from any to any layer2 in
00005  81096 72445838 Mon Jan  3 20:15:20 2011 allow ip from any to any layer2 out
00040      0        0                         allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
00041    225    18000 Mon Jan  3 20:15:19 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
00042      3      192 Mon Jan  3 20:12:38 2011 allow log logamount 100 ip from 172.18.1.18 to any out via wan_nks
00043      0        0                         allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
00050    328    22084 Mon Jan  3 20:15:20 2011 allow ip from any to me dst-port 22
00051    304    54096 Mon Jan  3 20:15:20 2011 allow ip from me 22 to any
00054      0        0                         allow ip from any to me dst-port 5222
00055      0        0                         allow ip from me 5222 to any
00056      0        0                         allow ip from any to me dst-port 5223
00057      0        0                         allow ip from me 5223 to any
00058      0        0                         allow ip from any to me dst-port 5269
00059      0        0                         allow ip from me 5269 to any
00060      0        0                         allow ip from any to me dst-port 5280
00061      0        0                         allow ip from me 5280 to any
00062     80     5288 Mon Jan  3 20:15:20 2011 allow udp from any to me dst-port 53
00063     26     3345 Mon Jan  3 20:15:01 2011 allow udp from me to any dst-port 53
00210     40     1810 Mon Jan  3 20:14:56 2011 queue 22 ip from table(1) to any out via wan_nks
00211     40     1810 Mon Jan  3 20:14:56 2011 skipto 300 ip from table(1) to any out via wan_nks
00212      0        0                         queue 33 ip from table(2) to any out via wan_nks
00213      0        0                         skipto 300 ip from table(2) to any out via wan_nks
00214      1       40 Mon Jan  3 20:14:37 2011 queue 44 ip from table(3) to any out via wan_nks
00215      1       40 Mon Jan  3 20:14:37 2011 skipto 300 ip from table(3) to any out via wan_nks
00216  24422  1292888 Mon Jan  3 20:15:20 2011 queue 11 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any out via wan_nks
00230     40     1810 Mon Jan  3 20:14:56 2011 queue 2 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00231     40     1810 Mon Jan  3 20:14:56 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00232      0        0                         queue 3 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00233      0        0                         skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00234    386    27616 Mon Jan  3 20:15:17 2011 queue 4 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00235    386    27616 Mon Jan  3 20:15:17 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00236  47940 70347926 Mon Jan  3 20:15:20 2011 queue 1 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27
00300  24028  1081656 Mon Jan  3 20:15:20 2011 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_nks
00403    191    15940 Mon Jan  3 20:15:19 2011 divert 8669 ip from any to 77.37.888.888 in recv wan_nks
00404     10      520 Mon Jan  3 20:15:03 2011 divert 8670 ip from any to 77.37.999.999 in recv wan_nks
00405  48770 70930814 Mon Jan  3 20:15:20 2011 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
00406      0        0                         divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407      0        0                         divert 8670 ip from 172.18.1.18 to any out via wan_nks
00408    435   213082 Mon Jan  3 20:15:19 2011 divert 8668 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 out xmit wan_nks
00560      0        0                         allow ip from any to any via ng*
00561      0        0                         allow ip from any to any via tun*
00562      0        0                         allow ip from any to any via wan_comcore_vp1
00563  77114 72024067 Mon Jan  3 20:15:20 2011 allow ip from any to any via lan
01500      0        0                         check-state
01510      0        0                         allow tcp from any to me dst-port 1723 in via wan_nks
01511      0        0                         allow gre from any to any in via wan_nks
01511      0        0                         allow tcp from any to 172.18.6.5 dst-port 22 in via wan_nks
01512    202    17442 Mon Jan  3 20:15:19 2011 allow icmp from any to any in via wan_nks
01512      0        0                         allow tcp from any to 172.18.6.3 dst-port 22 in via wan_nks
01513      0        0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01514      0        0                         allow tcp from any to 172.18.5.5 dst-port 80 in via wan_nks
01515      0        0                         allow tcp from any to 172.18.5.5,172.18.5.5 dst-port 25,465,143,993,110,995 in via wan_nks
01519      0        0                         allow tcp from any to 172.18.6.4 dst-port 22 in via wan_nks
01525      3      148 Mon Jan  3 20:13:57 2011 allow log logamount 100 ip from any to 172.18.1.20 in via 77.37.888.888
01526      0        0                         allow log logamount 100 ip from 172.18.1.20 to any out via 77.37.888.888
01531      0        0                         allow ip from any to me dst-port 30011
40200  79805 73041848 Mon Jan  3 20:15:20 2011 allow ip from any to any
65535   1393   686525 Mon Jan  3 20:12:12 2011 allow ip from any to any


Вся проблема , как мне кажется в правилах
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nks


т.е. на исходящее диверт не работает , я пробовал самые разные варианты - но не получилось :(


В чем дело я не понимаю, в правилах под номером 44 и 45 я разрешил трафик к и от внутреннему адресу.


Наты (их у меня три) у меня запущены и работают
вот вывод ps aux | grep nat

Код: Выделить всё

root      675  0,0  0,1 14056  3012  ??  Ss   чт15     21:45,37 /sbin/natd -f /etc/natd.conf -n wan_nks
root     4632  0,0  0,1 13032  1200  ??  Ss   чт16      0:01,01 natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
root     4634  0,0  0,1 13032  1276  ??  Is   чт16      0:00,12 natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999

вот содержание
/etc/natd2.conf

Код: Выделить всё

redirect_address 172.18.1.20	77.37.888.888

/etc/natd3.conf

Код: Выделить всё

redirect_port tcp	172.18.1.18:https	https	

дополнительные наты запускаются командами

Код: Выделить всё

natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888 
natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999
буду очень благодарен за помощь , уже почти неделю бьюсь над этой задачей.

P.S.
Если нужно уточнить какие либо параметры , что то проверить - пишите - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sergicus
ефрейтор
Сообщения: 68
Зарегистрирован: 2009-07-13 10:36:18

Re: Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение sergicus » 2011-01-03 21:17:44

В дополнение
Вот что в логах tail -f /var/log/security

Код: Выделить всё

Jan  3 20:58:46 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan  3 20:58:49 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan  3 21:04:38 gw kernel: ipfw: 1525 Accept TCP 203.170.22.40:80 172.18.1.20:26550 in via wan_nks
Jan  3 21:06:24 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan  3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan  3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan  3 21:06:30 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan  3 21:07:32 gw kernel: ipfw: 1525 Accept TCP 61.14.177.27:80 172.18.1.20:17068 in via wan_nks
Jan  3 21:09:06 gw kernel: ipfw: 1525 Accept TCP 61.147.68.211:6000 172.18.1.20:1080 in via wan_nks
Jan  3 21:10:57 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan  3 21:11:00 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan  3 21:11:46 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
Jan  3 21:11:49 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks

sergicus
ефрейтор
Сообщения: 68
Зарегистрирован: 2009-07-13 10:36:18

Re: Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение sergicus » 2011-01-06 20:38:44

решил изменить фаервол

вот новая конфигурация

Код: Выделить всё

[root@gw] 01/06/11 /usr/home/serge $ipfw -a show
00001   902   825579 allow ip from any to any via lo*
00001 35659 13926580 skipto 3 ip from any to any layer2 in
00001 32364 13761059 skipto 8 ip from any to any not layer2 in
00001 29979 14719424 skipto 8 ip from any to any not layer2 out
00001 30136 14725806 skipto 3 ip from any to any layer2 out
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 35643 13925624 allow ip from any to any layer2 in
00005 30126 14724232 allow ip from any to any layer2 out
00010  5740   532464 allow ip from any to me dst-port 22
00011  4803  1059984 allow ip from me 22 to any
00013     0        0 allow ip from any to me dst-port 2007
00014     0        0 allow ip from me 2007 to any
00400     0        0 allow ip from any to any via ng*
00400     0        0 allow ip from any to any via tun*
00406     0        0 queue 7 ip from me 3128 to table(3) out via lan
00407     0        0 queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
00408     0        0 queue 5 ip from me 3128 to table(2) out via lan
00409     0        0 queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
00410     0        0 queue 3 ip from me 3128 to table(1) out via lan
00411    39     3876 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
00420    16    14714 queue 1 ip from me 3128 to any out via lan
00421 10066  9952990 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
00539  6963  1376843 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
00540 25848 14058661 allow ip from any to any via lan
01000   216    17928 divert 8669 log logamount 100 ip from any to 77.37.999.999 in recv wan_nks
01001     0        0 divert 8670 log logamount 100 ip from any to 77.37.888.888 in recv wan_nks
01002  9815  9391409 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
01500     0        0 check-state
01592   216    17928 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
01592   278    21600 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
01592     0        0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
01592     0        0 allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
01593     0        0 allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
01594     0        0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01595     0        0 allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
01596     0        0 allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
01597     0        0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01598     0        0 allow tcp from any to me dst-port 1723 in via wan_nks
01598     0        0 allow gre from any to any in via wan_nks
01599     7      455 allow icmp from any to any in via wan_nks
01599     0        0 allow tcp from any 20 to any in via wan_nks
01599     0        0 allow udp from any to me dst-port 53 in via wan_nks
01599     0        0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
01599     0        0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
01600   210    26745 deny log logamount 100 ip from any to any in via wan_nks
02000     0        0 skipto 40000 ip from 172.18.1.20 to any out via wan_nks keep-state
02000     3      879 skipto 40000 ip from 172.18.1.18 to any out via wan_nks keep-state
02000 18272 11379989 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
02000     0        0 skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
02003     0        0 deny ip from any to any out via wan_nks
40001    51     2814 queue 4 ip from table(1) to any out via wan_nks
40002    10     2030 queue 8 ip from table(3) to any out via wan_nks
40003  8651  2015379 queue 2 ip from any to any out via wan_nks
40098     3      879 divert 8670 log logamount 100 ip from 172.18.1.18 to any out via wan_nks
40099     0        0 divert 8669 log logamount 100 ip from 172.18.1.20 to any out via wan_nks
40100  8651  2015379 divert 8668 ip from any to any out via wan_nks
40200 18275 11380870 allow ip from any to any
65535  1522   702305 allow ip from any to any
как видите трафик к внутренним компам разрешен, правила срабатывают

01592 216 17928 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
01592 278 21600 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
01592 0 0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
01592 0 0 allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
02000 3 879 skipto 40000 ip from 172.18.1.18 to any out via wan_nks keep-state


в нат трафик заворачивается


01000 216 17928 divert 8669 log logamount 100 ip from any to 77.37.999.999 in recv wan_nks
40098 3 879 divert 8670 log logamount 100 ip from 172.18.1.18 to any out via wan_nks


пробовал посмотреть tcpdump-ом во время пингования

вот вывод tcpdump host 172.18.1.20, когда я с адреса 172.18.1.20 пингую яндекс

Код: Выделить всё

20:28:00.018629 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 53773, length 40
а вот вывод tcpdump host 172.18.1.20
когда я из дома пингую адрес 77.37.999.999

Код: Выделить всё

20:29:24.055828 IP 89.208.244.218 > 172.18.1.20: ICMP echo request, id 22972, seq 7, length 64
больше ничего не выводится, пинги не проходят,

все остально такоеже как и раньше

Код: Выделить всё

ps aux | grep nat
root      675  0,0  0,1 14056  3008  ??  Ss   30дек10  33:35,89 /sbin/natd -f /etc/natd.conf -n wan_nks
root     4632  0,0  0,1 13032  1196  ??  Ss   30дек10   0:01,29 natd -p 8669 -f /etc/natd2.conf -a 77.37.999.999
root     4634  0,0  0,1 13032  1272  ??  Is   30дек10   0:00,23 natd -p 8670 -f /etc/natd3.conf -a 77.37.888.888

sergicus
ефрейтор
Сообщения: 68
Зарегистрирован: 2009-07-13 10:36:18

Re: Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение sergicus » 2011-01-08 15:38:26

До сих пор бьюсь не получается :(((((

Вот решил убрать natd и использовать ipnat

Код: Выделить всё

$ipfw -at show
00001  835546  172092829 Sat Jan  8 15:20:36 2011 skipto 3 ip from any to any layer2 in
00001  806814  174181305 Sat Jan  8 15:20:36 2011 skipto 8 ip from any to any not layer2 in
00001  991057 1124616689 Sat Jan  8 15:20:36 2011 skipto 8 ip from any to any not layer2 out
00001  987261 1120645608 Sat Jan  8 15:20:36 2011 skipto 3 ip from any to any layer2 out
00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004  835533  172090652 Sat Jan  8 15:20:36 2011 allow ip from any to any layer2 in
00005  987245 1120638943 Sat Jan  8 15:20:36 2011 allow ip from any to any layer2 out
00009    6604    7421195 Sat Jan  8 15:20:35 2011 allow ip from any to any via lo*
00010    2018     149831 Sat Jan  8 15:20:36 2011 allow ip from any to me dst-port 22
00011    1705     292240 Sat Jan  8 15:20:36 2011 allow ip from me 22 to any
00013       0          0                         allow ip from any to me dst-port 2007
00014     430      37840 Sat Jan  8 15:20:29 2011 allow ip from me 2007 to any
00017       0          0                         allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
00018    3987     334908 Sat Jan  8 15:20:36 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
00019       0          0                         allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
00020       0          0                         allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
00021     206      11880 Sat Jan  8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state
00400       0          0                         allow ip from any to any via ng*
00400       0          0                         allow ip from any to any via tun*
00408       0          0                         queue 7 ip from me 3128 to table(3) out via lan
00408       0          0                         queue 5 ip from me 3128 to table(2) out via lan
00409       0          0                         queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
00409       0          0                         queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
00410       0          0                         queue 3 ip from me 3128 to table(1) out via lan
00411   26908   36890859 Sat Jan  8 15:20:36 2011 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
00420       0          0                         queue 1 ip from me 3128 to any out via lan
00421  139657  121058572 Sat Jan  8 15:20:36 2011 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
00539   85360   15570255 Sat Jan  8 15:20:36 2011 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
00540 1427487 1141886530 Sat Jan  8 15:20:36 2011 allow ip from any to any via lan
01500       0          0                         check-state
01593       0          0                         allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
01594       0          0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01595       0          0                         allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
01596       0          0                         allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
01597       0          0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01598       0          0                         allow tcp from any to me dst-port 1723 in via wan_nks
01598       0          0                         allow gre from any to any in via wan_nks
01599     415      50706 Sat Jan  8 15:20:36 2011 allow icmp from any to any in via wan_nks
01599       0          0                         allow tcp from any 20 to any in via wan_nks
01599       0          0                         allow udp from any to me dst-port 53 in via wan_nks
01599       0          0                         allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
01599       0          0                         allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
01600    1890     419975 Sat Jan  8 15:20:36 2011 deny log logamount 100 ip from any to any in via wan_nks
02000  266742  132367267 Sat Jan  8 15:20:36 2011 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
02000       0          0                         skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
02003       0          0                         deny ip from any to any out via wan_nks
40001       0          0                         queue 4 ip from table(1) to any out via wan_nks
40002       0          0                         queue 8 ip from table(3) to any out via wan_nks
40003  121955   21422992 Sat Jan  8 15:20:36 2011 queue 2 ip from any to any out via wan_nks
40200  265957  132317013 Sat Jan  8 15:20:36 2011 allow ip from any to any
65535     145      19964 Sat Jan  8 14:08:06 2011 allow ip from any to any


[root@gw] 01/08/11 /usr/home/serge $ipnat -l

Код: Выделить всё

List of active MAP/Redirect filters:
map wan_nks 172.18.1.20/32 -> 77.37.999.999/32
map wan_nks 172.18.1.18/32 -> 77.37.888.888/32
map wan_nks 172.18.1.0/24 -> 95.84.777.777/32
map wan_nks 172.18.2.0/24 -> 95.84.777.777/32
map wan_nks 172.18.3.0/24 -> 95.84.777.777/32
map wan_nks 172.18.4.0/24 -> 95.84.777.777/32
map wan_nks 172.18.5.0/24 -> 95.84.777.777/32
map wan_nks 172.18.6.0/24 -> 95.84.777.777/32
map wan_nks 172.18.7.0/24 -> 95.84.777.777/32
rdr wan_nks 95.84.777.777/32 port 80 -> 172.18.5.5 port 80 tcp
rdr wan_nks 95.84.777.777/32 port 443 -> 172.18.5.5 port 443 tcp
rdr wan_nks 95.84.777.777/32 port 143 -> 172.18.5.5 port 143 tcp
rdr wan_nks 95.84.777.777/32 port 993 -> 172.18.5.5 port 993 tcp
rdr wan_nks 95.84.777.777/32 port 110 -> 172.18.5.5 port 110 tcp
rdr wan_nks 95.84.777.777/32 port 995 -> 172.18.5.5 port 995 tcp
rdr wan_nks 95.84.777.777/32 port 25 -> 172.18.5.5 port 25 tcp
rdr wan_nks 95.84.777.777/32 port 2525 -> 172.18.5.5 port 2525 tcp
rdr wan_nks 95.84.777.777/32 port 465 -> 172.18.5.5 port 465 tcp
rdr wan_nks 95.84.777.777/32 port 30021 -> 172.18.5.5 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30022 -> 172.18.5.6 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30023 -> 172.18.6.253 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30024 -> 172.18.2.201 port 3389 tcp
rdr wan_nks 77.37.888.888/32 port 443 -> 172.18.1.18 port 443 tcp
bimap wan_nks 77.37.999.999/32 -> 172.18.1.20/32


List of active sessions:
здесь есть 
****
BIMAP 77.37.999.999    <- -> 172.18.1.20     [89.208.216.52]
****
Я пробовал вот еще что
особое внимание на правило 21

00021 206 11880 Sat Jan 8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state

если его включаю просмотр страниц отключается, но пинг наружу идет

хотя если не включаю это правило (т.е. брэндмауэр работает без него) пинг тоже идет НО когда я в браузере захожу на 2ip.ru (что бы определить свой адрес) у меня показывается адрес 95.84.777.777 - т.е. основной адрес чего быть не должно - так как весь трафик с компа с адресом 172.18.1.20 должен идти в инет через ip 77.37.999.999



Вот при этом запускаю tcpdump host 172.18.1.20

Код: Выделить всё

15:22:49.767319 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 46110, length 40
15:22:49.767343 IP 172.18.1.1 > 172.18.1.20: ICMP echo reply, id 512, seq 46110, length 40

если 21 правила нет то tcpdump host 172.18.1.20

Код: Выделить всё

15:28:56.597364 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 24607, length 40

снаружи алиас 77.37.999.999 ни в каком случае не пингуется



Помогите пожалуйста кто межет - уже запутался :st: :st: :st: , ну где я ошибся не понимаю :(((((((((((((( :st: :st: :st:

Аватара пользователя
unix-admin
ст. сержант
Сообщения: 324
Зарегистрирован: 2010-11-26 12:43:04
Откуда: Cornucopia

Re: Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение unix-admin » 2011-01-08 16:41:02

...( 77.37.888.888)...
... (77.37.999.999)...
:shock: Это как?

sergicus
ефрейтор
Сообщения: 68
Зарегистрирован: 2009-07-13 10:36:18

Re: Настройка двух отдельных натов через алиасы ip на шлюзе

Непрочитанное сообщение sergicus » 2011-01-08 16:48:35

unix-admin писал(а):
...( 77.37.888.888)...
... (77.37.999.999)...
:shock: Это как?
это я свои реальные адреса прячу . могу заверить адреса у меня реальные