Редирект через nat+ipfw.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Dobriy_paren
проходил мимо

Редирект через nat+ipfw.

Непрочитанное сообщение Dobriy_paren » 2012-03-26 13:31:33

Добрый день, уважаемый форумчане.
Имеется следующего вида проблема, настроен ppp+ipfw+natd имеется 2 интерфейса , bfe0 смотрящий в локальную сеть и ue0 подключеный к проводу интернета.
Настроен редирект с помощью фаера вот конфиг фаерва

Код: Выделить всё

#!/bin/sh

sysctl net.inet.ip.fw.enable=1

/sbin/natd -f /usr/local/etc/natd/natd1.conf
/sbin/natd -f /usr/local/etc/natd/natd2.conf


ipfw -q flush
ipfw -f pipe




ipfw add 49 fwd 127.0.0.1,3128 tcp from any to not me 80 in


ipfw add 00002 allow ip from any to any via lo0

ipfw add 00003 deny ip from any to 127.0.0.0/8
ipfw add 00004 deny ip from 127.0.0.0/8 to any




ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 33001 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 33002 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 80 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 33193 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 33022 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 8888 in via tun0
ipfw add 00020 divert 8669 tcp from any to 92.200.165.103 9060 in via tun0


ipfw add 00021 allow tcp from any to 192.168.137.1      3389 in
ipfw add 00021 allow tcp from any to 192.168.137.2      3389 in
ipfw add 00021 allow tcp from any to 192.168.137.2      80 in
ipfw add 00021 allow tcp from any to 192.168.137.193    3389 in
ipfw add 00021 allow tcp from any to 192.168.137.22     3389 in
ipfw add 00021 allow tcp from any to 192.168.137.2      8888 in
ipfw add 00021 allow tcp from any to 192.168.137.2      9060 in

ipfw add 00022 allow tcp from any to 192.168.137.1      3389 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.2      3389 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.2      80 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.193    3389 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.22     3389 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.2      8888 out via bfe0
ipfw add 00022 allow tcp from any to 192.168.137.2      9060 out via bfe0


ipfw add 00023 allow tcp from 192.168.137.1     3389 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.2     3389 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.2     80 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.193   3389 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.22    3389 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.2     8888 to any in via bfe0
ipfw add 00023 allow tcp from 192.168.137.2     9060 to any in via bfe0


ipfw add 00024 divert 8669 tcp from 192.168.137.1       3389 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.2       3389 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.2       80 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.193     3389 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.22      3389 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.2       8888 to any out
ipfw add 00024 divert 8669 tcp from 192.168.137.2       9060 to any out


ipfw add 00025 allow tcp from 92.200.165.103 33001      to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 33002      to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 80         to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 33193      to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 33022      to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 8888       to any out via tun0
ipfw add 00025 allow tcp from 92.200.165.103 9060       to any out via tun0


ipfw add 00050 divert 8668 ip4 from any to any via tun0

ipfw add 65000 allow ip from any to any


конфига ната
interface tun0
port 8669
redirect_port tcp 192.168.137.1:3389 33001
redirect_port tcp 192.168.137.2:3389 33002
redirect_port tcp 192.168.137.193:3389 33193
redirect_port tcp 192.168.137.2:80 80
redirect_port tcp 192.168.137.22:3389 33022
redirect_port tcp 192.168.137.2:8888 8888
redirect_port tcp 192.168.137.2:9060 9060

Собственно проблема такая, когда мы(наример из дома или любой другой компьютер в мире) идем по Ip адресу 92.200.165.103 на порт 80 мы соответственно попадаем на 192.168.137.2 на 80 порт и все отлично( наш айпишнего 92.200.165.103 привязан к доменному имени mydomain.com и из внешки все отлично работает)

И вот в чем проблема, когда люди внутри офиса, видимо freebsd которых считает локальной сетью стучаться на адрес webkurator.ru они никуда не попадают. Как заставить фрю работать и внутри корректно =)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Редирект через nat+ipfw.

Непрочитанное сообщение Electronik » 2012-03-26 14:39:43

сделайте трассировку и посмотрите где трафик пропадает.
и покажите /etc/hosts
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Dobriy_paren
проходил мимо

Re: Редирект через nat+ipfw.

Непрочитанное сообщение Dobriy_paren » 2012-03-26 15:10:12

Проблему решил, тем что сделал фиктивную зону днс, на named