Nat+IPFW+Squid

[V_d_v]

Привет, всем!
Вот уже какой день не могу решить свою проблему.

На одном интерфейсе сидят два реальных IP.

Код: Выделить всё

ifconfig_rl2="inet 88.77.161.11 netmask 255.255.255.224"
ifconfig_rl2_alias0="inet 88.77.161.12 netmask 255.255.255.224" 

Подняты соответственные наты
Rc.local

Код: Выделить всё

/sbin/natd -m -p 8558 -a 88.77.161.11 -config /etc/natd.conf
/sbin/natd -m -p 8668 -a 88.77.161.12 -config /etc/natd_12.conf

Проброшенны порты:
natd_12.conf

Код: Выделить всё

same_ports      yes
redirect_port   tcp     10.0.0.4:80     80
redirect_port   tcp     10.0.0.3:25     25
redirect_port   tcp     10.0.0.3:110    110
redirect_port   tcp     10.0.0.4:8080   8080

Вот фаер:
Rc.firewall

Код: Выделить всё

  apmt_if="rl2"
    apmt_tel_ip="88.77.161.11"
    apmt_n24_ip="88.77.161.12"
    ....... 
# TEL
        ${fwcmd} add 10000 divert 8558 ip from ${localnet_net} to any out via ${apmt_if}
        ${fwcmd} add divert 8558 ip from ${dmz_net} to any out via ${apmt_if}
        ${fwcmd} add divert 8558 ip from any to ${apmt_tel_ip} in via ${apmt_if}

# N24
        ${fwcmd} add 10000 divert 8668 ip from ${localnet_n24_net} to any out via ${apmt_if}
        ${fwcmd} add 10000 divert 8668 ip from ${localnet_dev_net} to any out via ${apmt_if}
        ${fwcmd} add divert 8668 ip from ${dmz_net} to any out via ${apmt_if}
        ${fwcmd} add divert 8668 ip from any to ${apmt_n24_ip} in via ${apmt_if}
.......
        ${fwcmd} add fwd ${localnet_ip},3128 tcp from ${localnet_net} to any 80 via ${localnet_if}
        ${fwcmd} add fwd ${localnet_n24_ip},3128 tcp from ${localnet_n24_net} to any 80 via ${localnet_n24_if}
        ${fwcmd} add fwd ${localnet_dev_ip},3128 tcp from ${localnet_dev_net} to any 80 via ${localnet_dev_if}

По итогу :
Снаружи по при обращении на 88.77.161.12 не доступны проброшенные порты из natd_12.conf
Из локальной сети - localnet_n24_net подставляется внешний IP 88.77.161.11, а не 88.77.161.12
В чем ошибка?
Спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

хм, раз уж вы светите ip, дайте ipfw show
напряжно понимать, то вы внедряете номер правила то нет
что в результате получается, загадка

[v_d_v]

Полный ......

Код: Выделить всё

00100       0         0 fwd 182.214.160.229 ip from 182.214.160.230 to any via rl1
00200     444     63666 allow ip from any to any via lo0
00300       0         0 deny ip from any to 127.0.0.0/8
00400       0         0 deny ip from 127.0.0.0/8 to any
00500       0         0 deny ip from 192.168.0.0/24 to any in via rl2
00600       0         0 deny ip from 192.168.0.0/24 to any in via rl1
00700       0         0 deny ip from 192.168.1.0/24 to any in via rl2
00800       0         0 deny ip from 192.168.1.0/24 to any in via rl1
00900       0         0 deny ip from 192.168.2.0/24 to any in via rl2
01000       0         0 deny ip from 192.168.2.0/24 to any in via rl1
01100       0         0 deny ip from 10.0.0.0/24 to any in via rl2
01200       0         0 deny ip from 10.0.0.0/24 to any in via rl2
01300       0         0 deny ip from 10.0.0.0/24 to any in via rl1
01400       0         0 deny ip from 88.77.161.32/27 to any in via rl0
01500       0         0 deny ip from 182.214.160.228/30 to any in via rl0
01600       0         0 deny ip from 88.77.161.32/27 to any in via rl3
01700       0         0 deny ip from 182.214.160.228/30 to any in via rl3
01800       0         0 skipto 10000 ip from 192.168.0.0/24 to 10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 out via rl2
01900       0         0 skipto 10000 ip from 192.168.1.0/24 to 10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 out via rl2
02000       0         0 skipto 10000 ip from 192.168.2.0/24 to 10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 out via rl2
02100    3065    383622 deny ip from any to 10.0.0.0/8 via rl2
02200       0         0 deny ip from any to 10.0.0.0/8 via rl2
02300       0         0 deny ip from any to 10.0.0.0/8 via rl1
02400       0         0 deny ip from any to 194.186.55.208 via rl2
02500       0         0 deny ip from any to 194.186.55.208 via rl2
02600       0         0 deny ip from any to 194.186.55.208 via rl1
02700       0         0 deny ip from any to 194.2.63.197 via rl2
02800       0         0 deny ip from any to 194.2.63.197 via rl2
02900       0         0 deny ip from any to 194.2.63.197 via rl1
03000       0         0 deny ip from any to 80.33.220.57 via rl2
03100       0         0 deny ip from any to 80.33.220.57 via rl2
03200       0         0 deny ip from any to 80.33.220.57 via rl1
03300       0         0 deny ip from any to 58.26.48.162 via rl2
03400       0         0 deny ip from any to 58.26.48.162 via rl2
03500       0         0 deny ip from any to 58.26.48.162 via rl1
03600       0         0 skipto 10000 ip from 192.168.0.0/24 to 172.16.0.16,172.16.0.18 out via rl2
03700       0         0 skipto 10000 ip from 192.168.1.0/24 to 172.16.0.16,172.16.0.18 out via rl2
03800       0         0 skipto 10000 ip from 192.168.2.0/24 to 172.16.0.16,172.16.0.18 out via rl2
03900       0         0 skipto 10000 ip from 192.168.0.0/24 to 172.16.0.16,172.16.0.18 out via rl2
04000       0         0 skipto 10000 ip from 192.168.1.0/24 to 172.16.0.16,172.16.0.18 out via rl2
04100       0         0 skipto 10000 ip from 192.168.2.0/24 to 172.16.0.16,172.16.0.18 out via rl2
04200       0         0 deny ip from any to 172.16.0.0/12 via rl2
04300       0         0 deny ip from any to 172.16.0.0/12 via rl2
04400       0         0 deny ip from any to 172.16.0.0/12 via rl1
04500       0         0 deny ip from any to 192.168.0.0/16 via rl2
04600       0         0 deny ip from any to 192.168.0.0/16 via rl2
04700       0         0 deny ip from any to 192.168.0.0/16 via rl1
04800       0         0 deny ip from any to 0.0.0.0/8 via rl2
04900       0         0 deny ip from any to 0.0.0.0/8 via rl2
05000       0         0 deny ip from any to 0.0.0.0/8 via rl1
05100      39      3744 deny ip from any to 169.254.0.0/16 via rl2
05200       0         0 deny ip from any to 169.254.0.0/16 via rl2
05300       0         0 deny ip from any to 169.254.0.0/16 via rl1
05400       0         0 deny ip from any to 192.0.2.0/24 via rl2
05500       0         0 deny ip from any to 192.0.2.0/24 via rl2
05600       0         0 deny ip from any to 192.0.2.0/24 via rl1
05700     188      6449 deny ip from any to 224.0.0.0/4 via rl2
05800       0         0 deny ip from any to 224.0.0.0/4 via rl2
05900      71      1988 deny ip from any to 224.0.0.0/4 via rl1
06000    8910   3828382 deny ip from any to 240.0.0.0/4 via rl2
06100       0         0 deny ip from any to 240.0.0.0/4 via rl2
06200       0         0 deny ip from any to 240.0.0.0/4 via rl1
10000     549    127516 divert 8558 ip from 192.168.0.0/24 to any out via rl2
10000     166      7545 divert 8668 ip from 192.168.1.0/24 to any out via rl2
10000    2355    319370 divert 8668 ip from 192.168.2.0/24 to any out via rl2
10100   25082   7366575 divert 8558 ip from 10.0.0.0/24 to any out via rl2
10200   40191  25142060 divert 8558 ip from any to 88.77.161.11 in via rl2
10300       0         0 divert 8668 ip from 10.0.0.0/24 to any out via rl2
10400    2791    599770 divert 8668 ip from any to 88.77.161.12 in via rl2
10500    1647     84236 divert 8778 ip from any to any via rl1
10600    3478    141783 divert 8888 ip from 192.168.0.0/24 to 88.77.161.11 dst-port 25,110,80,8080 via rl0
10700       0         0 divert 8888 ip from 192.168.0.0/24 to 182.214.160.230 dst-port 80,8080 via rl0
10800       0         0 divert 8888 ip from 192.168.1.0/24 to 88.77.161.12 dst-port 25,110,80,8080 via rl5
10900       0         0 divert 8888 ip from 192.168.1.0/24 to 182.214.160.230 dst-port 80,8080 via rl5
11000      91      4240 divert 8888 ip from 192.168.2.0/24 to 88.77.161.12 dst-port 25,110,80,8080 via rl4
11100       0         0 divert 8888 ip from 192.168.2.0/24 to 182.214.160.230 dst-port 80,8080 via rl4
11200    6001   8446722 divert 8888 ip from 10.0.0.3 25,110 to 192.168.0.0/24 via rl0
11300       0         0 divert 8888 ip from 10.0.0.3 25,110 to 192.168.1.0/24 via rl5
11400      90      5990 divert 8888 ip from 10.0.0.3 25,110 to 192.168.2.0/24 via rl4
11500       0         0 divert 8888 ip from 10.0.0.2 80,8080 to 192.168.0.0/24 via rl0
11600       0         0 divert 8888 ip from 10.0.0.2 80,8080 to 192.168.1.0/24 via rl5
11700       0         0 divert 8888 ip from 10.0.0.2 80,8080 to 192.168.2.0/24 via rl4
11800       0         0 divert 8888 ip from 10.0.0.4 80,8080 to 192.168.0.0/24 via rl0
11900       0         0 divert 8888 ip from 10.0.0.4 80,8080 to 192.168.1.0/24 via rl5
12000       0         0 divert 8888 ip from 10.0.0.4 80,8080 to 192.168.2.0/24 via rl4
12100    3876    372284 allow tcp from any to 10.0.0.2 dst-port 80,8080
12200      54      2760 allow tcp from any to 10.0.0.4 dst-port 80,8080
12300      61      6552 fwd 192.168.0.7,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
12400     269     21987 fwd 192.168.1.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 via rl5
12500    1797    499450 fwd 192.168.2.1,3128 tcp from 192.168.2.0/24 to any dst-port 80 via rl4
12600 1009198 278255753 allow tcp from any to any established
12700     326     20759 allow icmp from any to any icmptypes 0,3,8,11
12800      51      2448 allow tcp from 192.168.0.0/24 to any dst-port 110,25,5190,23,22,4899,3389,21,443,8080 setup
12900       0         0 allow tcp from any 20 to 192.168.0.0/24
13000       0         0 allow tcp from 192.168.1.0/24 to any dst-port 110,25,5190,23,22,4899,3389,21,443,8080 setup
13100       0         0 allow tcp from any 20 to 192.168.1.0/24
13200      89      4280 allow tcp from 192.168.2.0/24 to any dst-port 110,25,5190,23,22,4899,3389,21,443,8080 setup
13300       0         0 allow tcp from any 20 to 192.168.2.0/24
13400       1        48 allow tcp from any to 88.77.161.11 dst-port 22 via rl2 setup
13500       0         0 allow tcp from any to 88.77.161.12 dst-port 22 via rl2 setup
13600       0         0 allow tcp from any to 182.214.160.230 dst-port 22 via rl1 setup
13700     189     10080 allow tcp from any to me dst-port 53 setup
13800   53293   4919619 allow udp from any to me dst-port 53
13900    9179    696885 allow udp from me to any dst-port 53 keep-state
14000       0         0 allow ip from 192.168.0.0/24 to 172.16.0.16,172.16.0.18,10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 setup
14100       0         0 allow ip from 192.168.1.0/24 to 172.16.0.16,172.16.0.18,10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 setup
14200       0         0 allow ip from 192.168.2.0/24 to 172.16.0.16,172.16.0.18,10.10.33.63,10.13.101.201,10.13.80.10,10.130.0.4,10.10.244.2,10.10.30.34,10.10.30.35,10.130.0.1,10.134.0.4,10.134.0.1,10.131.120.10,10.10.4.27 setup
14300       0         0 allow tcp from 192.168.0.0/24 to 10.0.0.2 dst-port 3389 via rl3
14400       0         0 allow tcp from 192.168.0.0/24 to 10.0.0.2 dst-port 3389 via rl0
14500       0         0 allow tcp from 192.168.1.0/24 to 10.0.0.2 dst-port 3389 via rl3
14600       0         0 allow tcp from 192.168.1.0/24 to 10.0.0.2 dst-port 3389 via rl5
14700       0         0 allow tcp from 192.168.2.0/24 to 10.0.0.2 dst-port 3389 via rl3
14800       0         0 allow tcp from 192.168.2.0/24 to 10.0.0.2 dst-port 3389 via rl4
14900      34      1504 allow tcp from any to 10.0.0.3 dst-port 110
15000    3706    170352 allow tcp from any to 10.0.0.3 dst-port 25
15100      98      5696 allow tcp from 10.0.0.3 to any dst-port 25
15200      42      2016 allow tcp from 10.0.0.2 to 192.168.0.10 dst-port 3050 setup
15300      42      2016 allow tcp from any to 10.0.0.2 dst-port 21250 setup
15400       0         0 allow udp from 192.168.0.0/24 to not me dst-port 87 keep-state
15500       0         0 allow ip from 192.168.0.0/24 to any dst-port 9091 setup
15600      53      4028 allow udp from 88.77.161.11 to any dst-port 123 keep-state
15700       0         0 allow udp from 88.77.161.12 to any dst-port 123 keep-state
15800       0         0 allow udp from 182.214.160.230 to any dst-port 123 keep-state
15900       0         0 allow tcp from 192.168.0.12 to 115.214.108.253 dst-port 8081 via rl0
16000   45773   4051890 allow ip from me to any
16100       0         0 allow ip from any to 112.128.148.75 dst-port 2802
16200       0         0 allow tcp from any to any dst-port 1723
16300       0         0 allow gre from any to any
16400       0         0 allow ip from any to any via ng*
16500       0         0 allow tcp from 192.168.0.202 to 192.168.0.1,192.168.0.2,192.168.0.10 dst-port 3389 out via rl0
16600       0         0 allow tcp from 192.168.0.203 to 192.168.0.1,192.168.0.2,192.168.0.10 dst-port 3389 out via rl0
16700       0         0 allow udp from 192.168.0.202,192.168.0.203 to 192.168.0.1 dst-port 53 out via rl0
16800       0         0 allow udp from 192.168.0.1 53 to 192.168.0.202,192.168.0.203 in via rl0
16900      18       916 deny log logamount 100 tcp from any to any in via rl2 setup
17000       0         0 deny log logamount 100 tcp from any to any in via rl2 setup
17100      90      4596 deny log logamount 100 tcp from any to any in via rl1 setup
65535  298878  23510237 deny ip from any to any

[uHk]

могу предположить, что localnet_n24_net - 192.168.1.0/24

Снаружи по при обращении на 88.77.161.12 не доступны проброшенные порты из natd_12.conf

кажется нужно добавить

Код: Выделить всё

ipfw add allow tcp from any to 10.0.0.3,10.0.0.4 25,110,80,8080

Из локальной сети - localnet_n24_net подставляется внешний IP 88.77.161.11, а не 88.77.161.12

проверяли через браузер? если да, то по этому правилу

Код: Выделить всё

12400 269 21987 fwd 192.168.1.1,3128 tcp from 192.168.1.0/24 to any dst-port 80 via rl5

трафик завернется на сквид, и кажется нужно копать tcp_outgoing_address в настройках сквида
PS: поправьте, если что не так. или если совсем не то советую

[hizel]

1. зачем у вас некоторые правила дублируются
2. вы сначала divert-ите в один нат, а потом пытаетесь во второй, в котором у вас портфорвардинг

Код: Выделить всё

10100   25082   7366575 divert 8558 ip from 10.0.0.0/24 to any out via rl2
10200   40191  25142060 divert 8558 ip from any to 88.77.161.11 in via rl2
10300       0         0 divert 8668 ip from 10.0.0.0/24 to any out via rl2
10400    2791    599770 divert 8668 ip from any to 88.77.161.12 in via rl2

тоесть получается, в одну сторону он срабатывает нармально, а в обратную нини

[v_d_v]

кажется нужно добавить
Код: Выделить всё
ipfw add allow tcp from any to 10.0.0.3,10.0.0.4 25,110,80,8080

У меня это есть:

Код: Выделить всё

     
${fwcmd} add pass tcp from any to ${dmz_web_server} 80,8080
${fwcmd} add pass tcp from any to ${dmz_iis_server} 80,8080
...
 ${fwcmd} add pass tcp from any to ${dmz_mail_server} dst-port 110
 ${fwcmd} add pass tcp from any to ${dmz_mail_server} dst-port 25
 ${fwcmd} add pass tcp from ${dmz_mail_server} to any dst-port 25

трафик завернется на сквид, и кажется нужно копать tcp_outgoing_address в настройках сквида

Проверял снаружи через броузер (2ip.ru), тоже думаю что проблема в сквиде.
У меня сейчас tcp_outgoing_address в комментах.

1. зачем у вас некоторые правила дублируются

Дубляж убрал смотрю, что получится....

[v_d_v]

Код: Выделить всё

10000     2     120 divert 8558 ip from 192.168.0.0/24 to any out via rl2
10000    42    3904 divert 8668 ip from 192.168.1.0/24 to any out via rl2
10000   286   56720 divert 8668 ip from 192.168.2.0/24 to any out via rl2
10100  1277 1027980 divert 8558 ip from 10.0.0.0/24 to any out via rl2
10200  2202  620197 divert 8558 ip from any to 88.77.161.11 in via rl2
10300   409  151093 divert 8668 ip from any to 88.77.161.12 in via rl2
10400    41    2019 divert 8778 ip from any to any via rl1

К сожалению, не работает
Может дело в том, что IP *.11 и *.12 сидят на одном интерфейсе rl2?

[uHk]

Код: Выделить всё

02100    3065    383622 deny ip from any to 10.0.0.0/8 via rl2

вот этим правилом блокируются

[hizel]

Код: Выделить всё

10100  1277 1027980 divert 8558 ip from 10.0.0.0/24 to any out via rl2

у вас же порт форвардинг на 8668 ?

[v_d_v]

Код: Выделить всё
10100 1277 1027980 divert 8558 ip from 10.0.0.0/24 to any out via rl2
у вас же порт форвардинг на 8668 ?

У меня форвардинг и на 8558, и на 8668
8558 - для IP 88.77.161.11
8668 - для IP 88.77.161.12
Проброс идет, где на разные серверы, где на одни и те же.
Эти серверы сидят в сетке DMZ - 10.0.0.0/24

02100 3065 383622 deny ip from any to 10.0.0.0/8 via rl2
вот этим правилом блокируются

Заблокировал, это правило не помогло

[uHk]

попробуйте разрешить from 10.0.0.3,10.0.0.4 to any via $внутренний интерфейс

Код: Выделить всё

ipfw add allow tcp from 10.0.0.3,10.0.0.4 25,110,80,8080 to any via $внутренний интерфейс

[v_d_v]

После внимательного изучения своей конструкции я определил причину ее неработоспособности.
Суть следующая:
У меня два внешних IP
x.x.x.11
x.x.x.12
На них два Nata
10.0.0.3 - Почтовый сервер, с которым была проблема, сидит в DMZ - 10.0.0.0/24
Обслуживает он домены как на x.x.x.11 так и на x.x.x.12 IP.
Соответственно в двух натах прокидывались на него порты 25,110.
Так вот исходящее правило фаера 10300 для второго ната не отрабатывало, так так пакеты уходили с одного сервера 10.0.0.3 и попадали под правило для 11 IP 10100.
Соответсвенно почтовый сервер на x.x.x.12 не отвечал.

Код: Выделить всё

10000     549    127516 divert 8558 ip from 192.168.0.0/24 to any out via rl2
10000     166      7545 divert 8668 ip from 192.168.1.0/24 to any out via rl2
10000    2355    319370 divert 8668 ip from 192.168.2.0/24 to any out via rl2
10100   25082   7366575 divert 8558 ip from 10.0.0.0/24 to any out via rl2
10200   40191  25142060 divert 8558 ip from any to 88.77.161.11 in via rl2
10300       0         0 divert 8668 ip from 10.0.0.0/24 to any out via rl2
10400    2791    599770 divert 8668 ip from any to 88.77.161.12 in via rl2
10500    1647     84236 divert 8778 ip from any to any via rl1

Таким образом, по такой схеме сделать редирект трафика c двух внешних IP на один сервер не получается.
Конечно, можно разделить серверы DMZ на два и редиректить на них с внешних IP, но это не подходит.
Может, у кого есть мысли как можно реализовать эту схему.