pf nat
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
http://www.hub.ru/forum/index.php?showtopic=30975 вот именно такой вопрос, все точно как на рисунке.
- 24rus
- мл. сержант
- Сообщения: 75
- Зарегистрирован: 2008-09-27 16:04:59
- Откуда: Красноярск
- Контактная информация:
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
Офтоповский вопрос: а оно (два NAT'а во внутренней сети) вам надо, может обойтись простой маршрутизацией и правильно выдать адреса?!!
Если религия требует замороченных решений, то вот список задач:
Решение остальных - рутина (две записи в таблице маршрутизации и по правилу в pf.conf каждого маршрутизатора) и немного удачи.
Если религия требует замороченных решений, то вот список задач:
- узлы в сети должны отправлять пакеты для удаленной сети роутеру в своей сети;
- каждый роутер имеет маршрут до удаленной сети через другой маршрутизатор;
- на маршрутизаторе сети A на внутреннем интерфейсе (смотрит в локальную сеть) поднимается NAT для пакетов идущих из сети B в сеть A;
- на маршрутизаторе сети B на внутреннем интерфейсе поднимается NAT для пакетов идущих из сети A в сеть B;
- ещё раз подумать зачем оно вам.
- ваши роутеры должны быть дефолтными для своих сетей;
- на клиентах должны быть маршруты до удаленной сети через свой роутер.
Решение остальных - рутина (две записи в таблице маршрутизации и по правилу в pf.conf каждого маршрутизатора) и немного удачи.
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
Да надо мне это, т к все на pf работать должно. Я делал 2 ната например для провайдерской локалки и для инета одновременно.
192.168.3.0/24 -----------------10.23.1.1-------------------10.23.1.10-------------192.168.2.0/24
ng2 ng3
route add 192.168.2.0/24 10.23.1.10 route add 192.168.3.0/24 10.23.1.1
вот дальше не знаю через что натить?
192.168.3.0/24 -----------------10.23.1.1-------------------10.23.1.10-------------192.168.2.0/24
ng2 ng3
route add 192.168.2.0/24 10.23.1.10 route add 192.168.3.0/24 10.23.1.1
вот дальше не знаю через что натить?
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
Поправьте меня, если я не прав: вам надо связать две сети через туннель?
=====
Снова немного офтопа.
=====
Немного доработал схему, добавив внутренние интерфейсы шлюзов.
Аналогично для трафика из 192.168.2.0/24 в 192.168.3.0/24 - NAT на интерфейсе 192.168.3.x.
=====
Снова немного офтопа.
Вынужден с вами не согласиться, всё должно работать через pf - это решение задачи об организации NAT, но не причина возникновения такой задачи.nedt писал(а):Да надо мне это, т к все на pf работать должно.
В этом случае применение трансляции адресов (отправка пакетов от своего имени) оправданно, т.к. вы не можете управлять маршутизацией во внешней сети и просто подстраиваетесь под неё. В вашем примере, на сколько я мог понять, вы отвечаете за обе сети и возможно объеденить сети просто настроив маршрутизацию (ваша схема будет работать из без NAT'ов). За сим офтоп прекращаю, вам виднее как настраивать ввереную вам сеть.nedt писал(а):Я делал 2 ната например для провайдерской локалки и для инета одновременно.
=====
Немного доработал схему, добавив внутренние интерфейсы шлюзов.
Код: Выделить всё
Ethernet Tunnel Ethernet
V V V
192.168.3.0/24------192.168.3.x(rl0)(ng2)10.23.1.1---------10.23.1.10(ng3)(vr0)192.168.2.y-------192.168.2.0/24
Routes: Routes:
192.168.2.0/24 192.168.3.0/24
via 10.23.1.10 via 10.23.1.1
Для трафика из 192.168.3.0/24 в 192.168.2.0/24 включается NAT на интерфейсе 192.168.2.y. Это для того, что бы скрыть от узлов из 192.168.2.0/24 ещё и наличие туннеля.nedt писал(а):вот дальше не знаю через что натить?
Аналогично для трафика из 192.168.2.0/24 в 192.168.3.0/24 - NAT на интерфейсе 192.168.3.x.
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
Или вам нужет NAT для выхода в Интернет из каждой сети через свой шлюз и я тут зря распинаюсь?
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
Нет мне нужен нат для инета каждой подсети и между ними . Вот например ipfw можно заставить натить все и куда угодно с pf чтото возникли траблы.
nat from 192.168.3.0/24 to any -> ng3
я вот так пробовал почемуто не натит .
nat from 192.168.3.0/24 to any -> ng3
я вот так пробовал почемуто не натит .
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
Ага, теперь немного понятнее, а то понимаю, что что-то не понимаю, а что именно - не понимаю. Вот такой вот каламбур.nedt писал(а):Нет мне нужен нат для инета каждой подсети и между ними.
=====
У вас конкретная задача "как поднять nat на интерфейсе таком-то" или нет определенности, что вообще делать что бы разрулить трафик?
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
нет задача у меня именно такая как обычный нат когда делаешь, но только вот так nat from 192.168.3.0/24 to 192.168.2.0.24 -> ng3. Только по идее должно работать и так, но не работает почемуто. я пробовал натить даже локалку другого провайдера через такой нат работало, а так не работает.
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
почемуто traceroute 192.168.2.1 уходит через локальный ип провайдера.
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
Есть на самом деле две тачки на фре сейчас прямо, могу попробовать в реальном времени сделать все и показать конфиги и трассировки .
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
могу по асе если ты в личку напишешь
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
Список интерфейсов с IP-адресами и таблицу маршрутизации в студию можно еще и pf.conf.nedt писал(а):почемуто traceroute 192.168.2.1 уходит через локальный ип провайдера.
=====
ipwf включен или только pf?
=====
В аське быстрее, а так на форуме останется, может кому-то еще пригодится.nedt писал(а):могу по асе если ты в личку напишешь
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
включен но через него ничего кроме фаера по ипам
- BlackCat
- прапорщик
- Сообщения: 469
- Зарегистрирован: 2007-10-16 22:40:42
Re: pf nat
А где конфиг?
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
192.168.2 10.23.1.1 UGS 0 26 ng3
192.168.3 link#2 UC 0 0 rl0
no nat inet from 192.168.3.0/24 to 192.168.3.0/24
nat inet from 192.168.3.0/24 to 192.168.2.0/24 -> 10.23.1.1
192.168.3 10.23.1.10 UGS 0 8 ng1
nat inet from 192.168.2.0/24 to 192.168.3.0/24 -> 10.23.1.1
192.168.3 link#2 UC 0 0 rl0
no nat inet from 192.168.3.0/24 to 192.168.3.0/24
nat inet from 192.168.3.0/24 to 192.168.2.0/24 -> 10.23.1.1
192.168.3 10.23.1.10 UGS 0 8 ng1
nat inet from 192.168.2.0/24 to 192.168.3.0/24 -> 10.23.1.1
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-04-19 10:29:51
Re: pf nat
nat inet from 192.168.3.0/24 to 192.168.2.0/24 -> 10.23.1.10
traceroute to 192.168.2.11 (192.168.2.11), 64 hops max, 40 byte packets
1 10.23.1.1 (10.23.1.1) 3.654 ms 3.791 ms 3.065 ms
2 * * *
3 * *^C
traceroute to 192.168.2.11 (192.168.2.11), 64 hops max, 40 byte packets
1 10.23.1.1 (10.23.1.1) 3.654 ms 3.791 ms 3.065 ms
2 * * *
3 * *^C