forum.lissyara.su

Добавлено: **2011-04-21 18:30:02**

Добрый день товарищи!
Есть сеть:

{192.168.0.0/24}--->[192.168.0.10]=>[192.168.0.1 FreeBSD 8.2 i386]
{192.168.1.0/24}--->[192.168.1.10]=>

Т.е. две подсети отделены аппаратным фаерволом с адресами .10 в обеих подсетях. Он не настраиваем нами, он поставлен для защиты персональных данных и разграничивает две сети. Интернет раздаёт шлюз под фрёй. Надо пробросить внешний порт на фре в подсетку 192.168.0.0 на один из компов. Но машина .10 не пропускает пакеты из интернета в эту подсеть, а если пробовать стучать на необходимый порт этой машины с шлюза, то .10 его пропускает.
Итого необходимо чтобы шлюз в пробрасываемых пакетах подменял IP на свой. Эдакий нат для интернета в локалку. Как это можно организовать?
Сейчас интернет там раздаётся стандартной связкой natd+ipfw. Пробрасывать пробовал redirect_port в natd.conf
tcpdump'ом отслеживал что пакеты при попытке коннекта извне пробрасываются в сеть, но видимо из-за внешнего адреса в заголовке не пропускаются аппаратным фаерволом.

Добавлено: **2011-04-21 19:44:01**

http://www.lissyara.su/articles/freebsd ... #example_3

Добавлено: **2011-04-21 22:45:11**

terminus спасибо за наводку. Но в этой организации всё уже организованно при помощи natd+ipfw, можно ли средствами natd а не ipfw nat это реализовать?

Добавлено: **2011-04-22 12:11:47**

Ну так концепция то одна и та же - просто вместо ipfw nat использовать natd.

Добавлено: **2011-04-22 12:22:39**

goshanecr писал(а): Итого необходимо чтобы шлюз в пробрасываемых пакетах подменял IP на свой. Эдакий нат для интернета в локалку. Как это можно организовать?

Код: Выделить всё

man natd
...
     -reverse    This option makes natd reverse the way it handles
                 "incoming'' and "outgoing'' packets, allowing it to operate
                 on the "internal'' network interface rather than the
                 "external'' one.

                 This can be useful in some transparent proxying situations
                 when outgoing traffic is redirected to the local machine and
                 natd is running on the internal interface (it usually runs on
                 the external interface).
...

Добавлено: **2011-05-02 13:13:37**

поставь из портов rinetd - он как раз работает как "прокси" для tcp пакетов, подменяя исходящий адрес на свой

Добавлено: **2011-05-17 22:30:14**

Не забывайте,что rinetd при проброске порта не показывает реальный ip с которого ломятся к этому порту, а показывает ip сетевой. Это я к тому, что если захотите вести статистику или логировать что нибудь.

forum.lissyara.su

Можно ли пробросить порт внутрь сети с маскировкой адреса?

Можно ли пробросить порт внутрь сети с маскировкой адреса?

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес

Re: Можно ли пробросить порт внутрь сети с маскировкой адрес