PPP NAT и IPFW

BAV_Lug · Непрочитанное сообщение **BAV_Lug** » 2007-02-09 11:49:57

Поставил сервак с модемом на филиале. Настроил там сквид, статистику и т.д. Все ок. Но тут, одному из начальников тама, приспичило получать почту со своих ящиков на бесплатных серваках, не через веб интерфейс, а через клиента.
Подумал. Варианта два - либо настраивать проброс портов, либо поднимать NAT.
Решил остановиться на втором.
PPP там настроен пользовательского уровня. Почитал маны, по идее все просто. Нужно добавить ключик -nat при запуске ppp.
А вот c ipfw понятно не очень. Делал так.

Код: Выделить всё

LanOut="tun0" #Интерфейс который поднимает модем
.....
ipfw add divert natd ip from 192.168.1.111 25,110 to any out via ${LanOut}
ipfw add divert natd ip from any to me in via ${LanOut}
.....

Но получилось, что все пакеты (которые приходят на tun0) просто застревают на втором правиле и усе.
Как разрулить это?

ЗЫ 192.168.1.111 это айпишник начальника

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

dikens3 · Непрочитанное сообщение **dikens3** » 2007-02-09 12:23:31

Что за PPP подключение? Модем? PPPoE?

Скорее всего просто нужно разрешить:
allow tcp from НАЧАЛЬНИК to any 25,110 setup
allow tcp from any 25,110 to НАЧАЛЬНИК established
Типа того.

P.S. 80% вероятность что NATD не нужен вовсе.
:-)

BAV_Lug · Непрочитанное сообщение **BAV_Lug** » 2007-02-09 12:43:59

dikens3 писал(а):Что за PPP подключение? Модем? PPPoE?

Скорее всего просто нужно разрешить:
allow tcp from НАЧАЛЬНИК to any 25,110 setup
allow tcp from any 25,110 to НАЧАЛЬНИК established
Типа того.

P.S. 80% вероятность что NATD не нужен вовсе.
:-)

Обычный модем (для телефонной линии).
А че это за параметр такой "setup" ?

Alex Keda

Ктобы написал статейку по настройке обычного модема под фрю...
просто ни разу не сталкивался...

BAV_Lug · Непрочитанное сообщение **BAV_Lug** » 2007-02-09 13:04:11

lissyara писал(а):Ктобы написал статейку по настройке обычного модема под фрю...
просто ни разу не сталкивался...

Зачем? Открываешь хендбук и делаешь как там написано. Один в один. На самом деле там все очень просто.

dikens3 · Непрочитанное сообщение **dikens3** » 2007-02-09 13:24:28

Код: Выделить всё

# Уже установленные соединения с почтовиками пропускаем.
allow tcp from НАЧАЛЬНИК to any 25,110 established
# Обратные пакеты тоже пускаем.
allow tcp from any 25,110 to НАЧАЛЬНИК established
# Разрешаем начальнику устанавливать связь с почтовиками.
allow tcp from НАЧАЛЬНИК to any 25,110 setup
# Фиксируем в лог и убиваем.
deny log tcp from НАЧАЛЬНИК to any

Так можно сделать.
setup, это флаг возможности установить соединение. В данном случае с почтовиками для принятия и отправки почты. Можно ещё и IP-Адреса вписать.

BAV_Lug · Непрочитанное сообщение **BAV_Lug** » 2007-02-09 14:31:20

dikens3 писал(а):
Код: Выделить всё
# Уже установленные соединения с почтовиками пропускаем.
allow tcp from НАЧАЛЬНИК to any 25,110 established
# Обратные пакеты тоже пускаем.
allow tcp from any 25,110 to НАЧАЛЬНИК established
# Разрешаем начальнику устанавливать связь с почтовиками.
allow tcp from НАЧАЛЬНИК to any 25,110 setup
# Фиксируем в лог и убиваем.
deny log tcp from НАЧАЛЬНИК to any
Так можно сделать.
setup, это флаг возможности установить соединение. В данном случае с почтовиками для принятия и отправки почты. Можно ещё и IP-Адреса вписать.

Красиво конечно, но только на первый взгляд. А потом я задумался зачем я нат вообще использую, если все так просто. Но, ведь, при такой схеме получается, что начальник, имея серый адрес, посылает пакет на белый адрес напрямую. Как потом сервак (в данном случае почтовый) ему ответит? Да, никак. Не будет так работать, даже в теории.

Какие будут еще соображения, по поставленной задаче?

dikens3 · Непрочитанное сообщение **dikens3** » 2007-02-09 14:42:50

Мне вот Proxy-man поверил на слово, и причём сделал без разлагольствований и теорий. Всё у него заработало.
Попробуй, потом скажешь результат. Запусти TCPDUMP на внешнем и посмотри с какими IP-Адресами выходят пакеты.

Я делал на основе PPPoE и всё замечательно работает.

P.S. Выпусти хоть ОДИН пакет через PPP интерфейс с исходным IP 192.168.x.x. и т.п. сетей.

BAV_Lug · Непрочитанное сообщение **BAV_Lug** » 2007-02-09 15:00:17

dikens3 писал(а):Мне вот Proxy-man поверил на слово, и причём сделал без разлагольствований и теорий. Всё у него заработало.
Попробуй, потом скажешь результат. Запусти TCPDUMP на внешнем и посмотри с какими IP-Адресами выходят пакеты.

Я делал на основе PPPoE и всё замечательно работает.

P.S. Выпусти хоть ОДИН пакет через PPP интерфейс с исходным IP 192.168.x.x. и т.п. сетей.

Ну попробовал

Не выходит - пакет уходит, но ответа нет

ЗЫ Теория только подтверждается

dikens3 · Непрочитанное сообщение **dikens3** » 2007-02-09 15:29:40

http://forum.lissyara.su/viewtopic.php?t=1856
Здесь посмотри. Так есть пример с нат.

PPP NAT и IPFW

PPP NAT и IPFW

Услуги хостинговой компании Host-Food.ru