Natd - странный редирект.

[RipMan]

Привет уважаемым гуру!
Прошу не бить, сам знаю, что туплю, но после 3 дней ковыряний в мозгах надо дефрагментацию делать, все смешалось.
Ситуация такая. Локальная сеть за сервером под фри 6.2РК.
На сервере - DHCP+NAT+IPFW+SAMBA+нужен VPN,
до него руки еще не дошли.
rc.conf:
hostname="SERVER.FILBI"
ifconfig_rl0="192.168.2.1"
usbd_enable="NO"
samba_enable="YES"
inetd_enable="YES"
sshd_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="rl1"
#
#
#natd_flags="-f /etc/natd.conf"
#
natd_flags="-redirect_port tcp 192.168.2.105:19199 19199"
natd_flags="-redirect_port tcp 192.168.2.105:13564 13564"
#
#
dhcpd_enable="YES"
dhcpd_ifaces="rl0"
#
#
# -- sysinstall generated deltas -- # Tue Jan 16 16:30:11 2007
ifconfig_rl1="inet 84.50.xxx.xxx netmask 255.255.255.252"
defaultrouter="84.50.xxx.xxx"
hostname="SERVER.FILBI"



Порт 13564 редиректится, а 19199 - нет.
Пробовал вынести настройки в natd.conf:

interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564

Вообще не работает ничего, даже до сервака не достучаться.

ipfw.show:

00050 325033 194381957 divert 8668 ip4 from any to any via rl1
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 648140 388804227 allow ip from any to any
65535 0 0 allow ip from any to any



Уважаемые, не дайте помереть возле компа, еще впн делать надо..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

nterface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address ТВОЙ_ВНЕШНИЙ_ИП
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564

Так сделай

[Alex Keda]

ДИКЕНС, ты вообще бываешь не тут? ))

[dikens3]

Бываю. Мне на работе скучно. Однообразно.
Щас я тебе кое-что в приват скину.

[RipMan]

Вот это да! Даже не ожидал такого оперативного ответа, спасибо!
Сейчас попробую.

[RipMan]

Упала сетка.
Даже к серверу из локалки не могу подсоединиться и нет пропал.

[dikens3]

Что то не так сделал, фаер не поднялся видать.

Код: Выделить всё

rc.conf
natd_enable="YES"
natd_flags="-f /etc/natd.cf"

Конфиг в natd.cf свой.

[RipMan]

Эти строки в rc.conf есть.
Я в нем только закомментировал редирект и раскомментировал строку
natd_flags. Выше есть конфиг.

[dikens3]

выложи что получилось в natd.conf.
Чуть не забыл
interface c alias вместе вроде не работают.

[RipMan]

Код: Выделить всё

interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adrecc 84.50.227.170
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564 

ошибку заметил. сейчас еще раз попробую, интерфейс уберу только

[dikens3]

use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address ИП
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564

Вот так примерно.
alias_address с двумя d и двумя s

[RipMan]

Ничего не получается.

[dikens3]

Показывай что в rc.conf (Что относиться к natd)
cat /etc/rc.conf | grep natd

Сам файл natd.conf и т.п.

проверь запущен ли natd?
ps -aux| grep natd

ipfw -a l (тут L, только маленькая)

[RipMan]

cat /etc/rc.conf | grep natd

Код: Выделить всё

natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"
#natd_flags="-redirect_port tcp 192.168.2.105:19199 19199"
#natd_flags="-redirect_port tcp 192.168.2.105:13564 13564" 

Сам файл natd.conf и т.п.

Код: Выделить всё

interface rl1
use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
#redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564 

ps.....

root 781 0,0 0,1 372 252 v1 R+ 16:11 0:00,00 grep natd


Вижу, что нат не запустился

ipfw -a l
написал, то же, что я раньше приводил


После каждой пробы приходиться бегать к серваку, править и запускать заново, что бы отвечать в конфу, веселуха

[dikens3]

Твой рабочий конфиг должен выглядеть так:

Код: Выделить всё

natd_enable="YES"
natd_flags="-f /etc/natd.conf" 
И никаких упоминаний о интерфейсе

Код: Выделить всё

use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
redirect_port tcp 192.168.2.105:19199 19199
redirect_port tcp 192.168.2.105:13564 13564
И никаких упоминаний о интерфейсе

Код: Выделить всё

выполняешь /etc/./netstart
И радуешься достижениям.

Я не против использования интерфейсов, просто я несколько дней парился что не так и как сделать если на внешнем интерфейсе несколько IP(Диапазон), а прогонять их нужно через NAT.
В принципе может поставить интерфейс, и убрать alias, симмерично.

[dikens3]

После каждой пробы приходиться бегать к серваку, править и запускать заново, что бы отвечать в конфу, веселуха

Мне не приходилось, как правило я звонил в другую часть города.
:-) Просил нажать RESET
Я полагаю что при недоступности NAT'a у тебя весь фаер не грузится?

Вот так проброс у меня сделан:

Код: Выделить всё

use_sockets yes
same_ports yes
unregistred_only yes
deny_incoming no
verbose no
log no
port 8668
alias_adress 84.50.ххх.ххх
redirect_port tcp 192.168.2.105:19199 84.50.ххх.ххх:19199
redirect_port tcp 192.168.2.105:13564 84.50.ххх.ххх:13564 

[RipMan]

Сделал все, как ты сказал, нат не запускается. Пипец какой-то.

[dikens3]

Код: Выделить всё

# /etc/rc.d/./natd rcvar
# natd
$natd_enable=YES

Запуск:
/etc/rc.d/./natd start

Попробуй ручками его запустить, посмотри логи, может там что есть.
Может PID процесс от него остался.
И adress с одной D в конфиге

[RipMan]

Я не знаю, как это делается

[dikens3]

# ll /var/run/ | grep natd
-rw-r--r-- 1 root wheel 4 27 дек 19:29 natd.pid

Проверь alias_address с двумя D, повнимательнее

[RipMan]

# ll /var/run/ | grep natd

Когда надо эту команду дать?
сейчас пишет - пропущена команда

[dikens3]

На время тестов DIVERT поставь последней строкой. Настроишь и переделаешь назад.
Вся беготня из-за неё.

[dikens3]

# ll /var/run/ | grep natd

Когда надо эту команду дать?
сейчас пишет - пропущена команда

ls -lA /var/run | grep natd
Так пробуй.

[RipMan]

да, так работает, вывела ответ как у тебя

[RipMan]

На время тестов DIVERT поставь последней строкой.

это в rc.firewall?