Порт маппинг

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
eworm
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-10-15 12:52:43

Порт маппинг

Непрочитанное сообщение eworm » 2010-10-15 13:31:10

Добрый день!

Тривиальная задача со сложностями.

Была схема следующая:

Код: Выделить всё

Хост А--СетьА--роутер(freebsd 7.2)--СетьБ---cisco--(inet)-Удаленная сеть
Cisco чужая,держит тоннель.
Задача из удаленной сети ходить на хост А по рдп и 443 порту. Все ок.

Задача усложнилась. добавился хост Б, к нему нужно пробросить те же два порта(вариант подключатся по другим не проходит). Картинка такая.

Код: Выделить всё

Хост А----СетьА---роутер(freebsd 7.2)---СетьБ----cisco--(inet)-Удаленная сеть
Хост Б--/
Первое ,что пришло в голову-поднял еще один фейс(ем1) в СетиБ и сказал удаленному хосту коннектиться на него ( то есть ем0 маппит порт А внутрь на хост А, а ем1 маппит порт А внутрь на Хост Б).
Не работает. В общем понятно почему: сеть одна роут, на эту сеть один,через один фейс и тот пакет,что зашел через фейс ем1 уходит через ем0(он в таблице прописан для этой сети) и нат на этом фейсе не в курсе куда этот пакет слать(хотя если попробовать из циски или включиться в сеть Б чем-то, то работает,но из сети за циской не работает).

Если простым языком : надо заставить пакет уходить оттуда,откуда он пришел, или другую сеть прописывать для фейса,что на хостБ будет маппить,а на циске алиас..

Что скажите?
Спасибо заранее.
Последний раз редактировалось terminus 2010-10-15 14:00:49, всего редактировалось 1 раз.
Причина: Убедительная просьба юзать теги [code] при оформлении листингов.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Порт маппинг

Непрочитанное сообщение terminus » 2010-10-15 14:08:34

http://forum.lissyara.su/viewtopic.php? ... 50#p211237

Модифицировать под себя сможете? Там главная часть это:

Код: Выделить всё

nat 1 config log if em0 same_ports reset deny_in redirect_port tcp 192.168.1.5:25 25
nat 2 config log if em1 same_ports reset deny_in redirect_port tcp 192.168.1.7:25 25

add 1011 skipto 1040 ip from any to any out xmit fxp0 tagged 1
add 1012 skipto 1060 ip from any to any out xmit fxp0 tagged 2

add 1040 setfib 0 ip from any to any via fxp0 keep-state
add 1050 allow ip from any to any via fxp0

add 1060 setfib 1 ip from any to any via fxp0 keep-state
add 1070 allow ip from any to any via fxp0

add 10171 skipto 10220 tag 1 ip from any to any in recv em0
add 10201 skipto 10220 tag 2 ip from any to any in recv em1

add 10220 allow all from any to any
надо только вдумчиво "причесать" под себя...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Порт маппинг

Непрочитанное сообщение terminus » 2010-10-15 14:50:07

Интересная задача :smile: Можно обойтись одно сетевухой - не надо второй em.
Попробуйте вот такое:

sysctl.conf

Код: Выделить всё

net.inet.ip.fw.one_pass=0
rc.conf

Код: Выделить всё

gateway_enable="YES"

#wan
ifconfig_em0="inet 11.22.33.1 netmask 255.255.255.0 -rxcsum"
ifconfig_em0_alias0="inet 11.22.33.2 netmask 255.255.255.255"

#lan
ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0"

defaultrouter="11.22.33.6"

firewall_enable="YES"
firewall_type="/etc/firewall"
/etc/firewall

Код: Выделить всё

nat 1 config log ip 11.22.33.1 same_ports reset deny_in redirect_port tcp 192.168.1.5:443 443
nat 2 config log ip 11.22.33.2 same_ports reset deny_in redirect_port tcp 192.168.1.7:443 443

add 1011 skipto 1040 ip from any to any out xmit fxp0 tagged 1
add 1012 skipto 1060 ip from any to any out xmit fxp0 tagged 2

add 1040 allow ip tag 1 from any to any via fxp0 keep-state
add 1060 allow ip tag 2 from any to any via fxp0 keep-state

add 10170 nat 1 ip from any to 11.22.33.1 in via em0
add 10171 nat 1 ip from any to any out via em0 tagged 1
add 10172 skipto 10220 tag 1 ip from any to any in recv em0

add 10200 nat 2 ip from any to 11.22.33.2 in via em0
add 10201 nat 2 ip from any to any out via em0 tagged 2
add 10202 skipto 10220 tag 2 ip from any to any in recv em0

add 10220 allow all from any to any

add 65534 deny all from any to any
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

eworm
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-10-15 12:52:43

Re: Порт маппинг

Непрочитанное сообщение eworm » 2010-10-18 13:24:18

Делаю так...

Код: Выделить всё

ifconfig_em0="inet 10.178.24.8 netmask 255.255.255.0"
ifconfig_em5="inet 10.178.24.2 netmask 255.255.255.0"

Код: Выделить всё

natd -n em5 -p 8869 -unregistered_only -redirect_port tcp 10.0.10.27:3389 3389
natd -n em0 -p 8867 -unregistered_only -redirect_port tcp 192.168.0.101:3389 3389 

Код: Выделить всё

ipfw add 1 divert 8869 all from any to any out via em5
ipfw add 2 divert 8867 all from any to any out via em0

ipfw add 5 skipto 16 tag 1 all from any to any in recv em5
ipfw add 6 skipto 20 tag 2 all from any to any in recv em0

ipfw add 16 divert 8869 all from any to 10.178.24.2 in via em5
ipfw add 17 divert 8869 all from any to any out via em0 tagged 1

ipfw add 20 divert 8867 all from any to 10.178.24.8 in via em0
ipfw add 21 divert 8867 all from any to any out via em0 tagged 2

Теперь по логике нужно форвард вставлять...уже и так и сяк..ни в какую.
через ем0 все по умолчанию уходит и ,соотв, для этого фейса все работает, а если тыкаешься в ем5 - не работает.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Порт маппинг

Непрочитанное сообщение terminus » 2010-10-20 9:41:26

А мой пример не работает?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.