redirect_port и dc

[OSBoy]

У клиента на 10.0.1.2 в настройках dc клиента стоит ручное перенаправление портов, порты tcp 2000 udp 2000.
Редирект портов делаю так:

Код: Выделить всё

${fwcmd} nat 1 config log if ${iif} redirect_port tcp 10.0.1.2:2000 2000 redirect_port udp 10.0.1.2:2000 2000

Однако клиент в dc виден всё равно в пассивном режиме! Почему? Что я не правильно делаю?
И да, кстати, куда пишется лог из этого правила?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hranitel_y2k]

У клиента на 10.0.1.2 в настройках dc клиента стоит ручное перенаправление портов, порты tcp 2000 udp 2000.
Редирект портов делаю так:

Код: Выделить всё

${fwcmd} nat 1 config log if ${iif} redirect_port tcp 10.0.1.2:2000 2000 redirect_port udp 10.0.1.2:2000 2000

Однако клиент в dc виден всё равно в пассивном режиме! Почему? Что я не правильно делаю?
И да, кстати, куда пишется лог из этого правила?

А из вне проверить доступность порта не пробовали? http://www.ping.eu в помощь.
Мне, например, для работы веб сервака не хватало правил разрешающих проход пакетов. Возможно,вам стоит добавить после ната:

Код: Выделить всё

${fwcmd} add allow ip from any to 10.0.1.2 2000 setup 

Насчет логов, точно сказать не могу. Все что находил,упиралось в вывод "ipfw nat show".

[OSBoy]

А из вне проверить доступность порта не пробовали? http://www.ping.eu в помощь.

Дело в том, что интерфейс ${iif} у меня смотрит в городскую локальную сеть и имеет серый IP, и dc сервер находится в локалке.

Мне, например, для работы веб сервака не хватало правил разрешающих проход пакетов. Возможно,вам стоит добавить после ната:

Код: Выделить всё

${fwcmd} add allow ip from any to 10.0.1.2 2000 setup 

У меня вот так после ната:

Код: Выделить всё

${fwcmd} add 5040 allow ip from ${ournet} to ${myhomenet} in via ${iif}
${fwcmd} add 5050 allow ip from ${ournet} to ${myhomenet} out recv ${iif} xmit ${hif}

Где: ${ournet} - городская локалка, ${iif} - её интерфес, ${myhomenet} - моя внутренняя домашняя сеть, ${hif} - её интерфейс. Я так понимаю, этого должно быть достаточно?

[hranitel_y2k]

Код: Выделить всё

${fwcmd} add 5040 allow ip from ${ournet} to ${myhomenet} in via ${iif}

Этого вполне должно быть достаточно...
Покажите "ipfw show", посмотрим бегают ли по этим правилам пакеты...

[OSBoy]

и нат, и правила 5040,5050 - работают, пакеты по ним бегают.

[hranitel_y2k]

и нат, и правила 5040,5050 - работают, пакеты по ним бегают.

Тогда все должно работать.
Нет знакомого из "городской локальной сети" с nmap в наличии? Просканил бы порты и все стало бы ясно.
Можно еще попробовать поставить log на правила 5040 и 5050, или tcpdump по портам. Но тут надо будет ждать, пока кто-то попытается соединиться.

[OSBoy]

Код: Выделить всё

Starting Nmap 5.50 ( http://nmap.org ) at 2011-02-07 18:54 Московское время (зима)

Nmap scan report for 192.168.X.X

Host is up (0.0030s latency).

PORT     STATE         SERVICE

2000/tcp open          cisco-sccp

2000/udp open|filtered cisco-sccp



Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

[hranitel_y2k]

Код: Выделить всё

2000/tcp open          cisco-sccp
2000/udp open|filtered cisco-sccp

Вы наверное сами уже поняли,что порты у вас открыты. И проблему надо искать в dc...

[OSBoy]

Хм... как ни странно, и в самом деле всё оказалось гораздо банальнее: сменил клиента: StrongDC++ 2.42 на ApexDC++ 1.3.9 - и он прекрасно заработал в активном режиме!