nat + rederect ports

[kapa6ac]

Доброго всем дня.
Ситуяция такова:
/etc/natd.conf

Код: Выделить всё

interface em0
same_ports yes
use_sockets yes
#port 8669
#log yes
#log_denied no
redirect_port tcp 197.197.197.8:25 25
redirect_port tcp 197.197.197.8:110 110

/etc/rc.firewall

Код: Выделить всё

...
${FwCMD} add divert natd ip from 197.197.197.0/24 to any out via em0
${FwCMD} add divert natd ip from any to 77.74.11.18 in via em0
...

так вот. Без Nat'a в фаерволе не пашет инет, но пашет редирект портов, а при его (Nat'a) присутствии в фаере пашет инет, но не пашет редирект.
Подскажите как это победить?

З.Ы. Пробывал rinetd - эта дрянь пробрасывает порты, НО вместо ИПа соединившегося снаружи лепит ИП внутренний сетевухи на роутере. А это не приемлимо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Что в логах?

[-cat-]

Просто по приколу:
197.197.197.0/24 действительно твоя сеть?
Показывай

Код: Выделить всё

ipfw show

[kapa6ac]

Даже так делал

Код: Выделить всё

${FwCMD} add divert natd ip from 197.197.197.0/24 to any out via em0
${FwCMD} add divert natd ip from any to 77.74.11.18 in via em0
${FwCMD} add allow ip from all to all

результат тот что писал выше.

197.197.197.0/24 - действительно моя сетка (досталась в наследство).

У меня такое чувство,что для редиректа нужен некий иной экзкмпляр ната...

[-cat-]

add allow ip from all to all

- не надо я под стол упаду

[kapa6ac]

add allow ip from all to all

- не надо я под стол упаду

фигли делать... от безисходности...

[-cat-]

наверное писать

Код: Выделить всё

allow ip from any to any

[kapa6ac]

наверное писать

Код: Выделить всё

allow ip from any to any

Очепятался )

[-cat-]

Отдельный natd для редиректа не нужен.
Скорее всего ошибка где-то в natd.conf
попробуй

Код: Выделить всё

${FwCMD} add divert natd ip from 197.197.197.0/24 to any out via em0
${FwCMD} add divert natd ip from any to 77.74.11.18 in via em0
${FwCMD} add allow ip from any to any

в rc.conf

Код: Выделить всё

natd_enable="YES"
natd_interface="em0"
natd_flags="-same_ports -redirect_port tcp 197.197.197.8:25 25

и перегрузи natd

Код: Выделить всё

/etc/rc.d/natd restart

[kapa6ac]

Код: Выделить всё

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Stopping natd.
Waiting for PIDS: 95690, 95690, 95690, 95690, 95690.
Starting divert daemons: natdFlushed all rules.
00100 divert 8668 ip from 197.197.197.0/24 to any out via em0
00200 divert 8668 ip from any to 77.74.11.18 in via em0
00300 allow ip from any to any
Firewall rules loaded.

Фигвам. Не хотит работать - инет есть проброса нет ((
Убираю две строки ната из фаера - есть проброс а инета нет.

[-cat-]

Больше всего удивляет

Убираю две строки ната из фаера - есть проброс а инета нет.

ничего не крутится в стиле прокси?
tcpdump и смотреть как и почему.

[kapa6ac]

Да. Крутится, в стиле squid.
А как он к этому относится?

[kapa6ac]

Потушил squid - результат не изменился ((

[kapa6ac]

Ситуевину решил вот так:

Код: Выделить всё

FwCMD="/sbin/ipfw"

${FwCMD} -f flush
${FwCMD} add divert natd ip from 197.197.197.0/24 to any out via em0
${FwCMD} add skipto 1000 tcp from any to 77.74.11.18 dst-port 25
${FwCMD} add divert natd ip from any to 77.74.11.18 via em0
${FwCMD} 1000 add allow ip from any to any

но думается мне это решение через попу в рукава...
Что скажут знатоки?

[kapa6ac]

Чиорт!
За что боролся на то и напоролся!
Входящие запросы со стороны Инета на внутренних серверах воспринимаются как запросы от внутреннего интерфейса роутера.
Подскажите как быть??

[kapa6ac]

Всем спасибо за помощь.
Проблема решена.
Дело было в дефаут гейтвее на машине на которую осуществляется проброс.