forum.lissyara.su

Добавлено: **2013-03-31 18:52:36**

Добрый день.
Господа, помогите решить вопрос.

В локальной сети поднят openfire, адрес внутренний.
Для работы ICQ для хоста openfire включен полный nat в инет.
Из инета на внутренний адрес openfire сделан проброс порта, для подключений из инета.
Из инета - все работает.
Но !!! В локалке работает только если указывать внутренний адрес, а не внешний.

В локалке есть 2й сервис zabbix, в настройках которого не возможно указать отдельно сервер подключения и пользователя т.е. он ломится на то доменное имя пользователя. К примеру zabbix@my.inet.com

Т.е. мне нужно сделать так что бы внутренние адреса могли подключаться к внутреннему openfire на внешний адрес, при чем не хотелось бы накручивать в фаерволе на внутреннем адресе.

Есть следующие правила фаервола

Код: Выделить всё

jabber_port="5223"
jabber_server="192.168.10.183"

${fw} nat 1 config ip ${ext_gateway_ip} reset same_ports deny_in \
            redirect_port tcp ${jabber_server}:${jabber_port} ${jabber_port} 

# Проброс порта.
${fw} add nat 1 tag 7 tcp from ${jabber_server} ${jabber_port} to any          out via ${ext_if}
${fw} add allow          tcp from ${ext_gateway_ip} ${jabber_port} to any       out via ${ext_if} tagged 7

${fw} add nat 1 tag 7 tcp from any to ${ext_gateway_ip} ${jabber_port}        in via ${ext_if}
${fw} add allow          tcp from any        to ${jabber_server} ${jabber_port}   in via ${ext_if} tagged 7

# Полный nat для хоста
${fw} add nat 1 tag 2 { tcp or udp or icmp } from ${jabber_server} to any      out via ${ext_if}
${fw} add allow          { tcp or udp or icmp } from ${ext_gateway_ip} to any   out via ${ext_if} tagged 2

${fw} add nat 1 tag 2 { tcp or udp or icmp } from any to ${ext_gateway_ip}    in via ${ext_if}
${fw} add allow          { tcp or udp or icmp } from any to ${jabber_server}      in via ${ext_if} tagged 2

Из локалки на порт 5223 не телнетится.
Подскажите, пока теорию, как пакет должен проходить для моей схемы/хотелки ?

Добавлено: **2013-03-31 21:08:08**

kharkov_max писал(а):Т.е. мне нужно сделать так что бы внутренние адреса могли подключаться к внутреннему openfire на внешний адрес

противоречиво сформулирована хотелка..
но смысл я уловил, ибо сам когдато такого хотел

ваш сервак с аськой должен по-разному резолвиться, в зависимости от того из какой сети обратился с запросом клиент..
в мане по намеду про это написано (external/internal views)

Добавлено: **2013-03-31 21:18:38**

Я у себя (правда для smtp и вэб-морды мыла, но это - детали) средствами DNS раздаю для клиентов снаружи внешний адрес, а для клиентов из локалки - внутренний. ИМХО - самый простой и логичный вариант.

Добавлено: **2013-04-01 15:44:44**

Мда, добавил на zabbix в hosts имя внешнего домена на внутренний адрес, вроде заработало ...
Жаль конечно что реализация данного вопроса через ipfw очень сложна ...

forum.lissyara.su

Хитрый NAT

Хитрый NAT

Re: Хитрый NAT

Re: Хитрый NAT

Re: Хитрый NAT