ipfw nat wan to lan

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 16:16:33

чёто ума не приложе как сделать на ядерном нате такую затею:

есть freebsd
bce1 смотрит в локалку, ip 192.168.0.1
bce2 смотрит в ван, ip 207.46.197.32

в локалке два различных сервера на которых запущена некая служба. в моём случае - rdp
для сервера rdp1(ip 192.168.0.2) шлюз по умолчанию наша freebsd
для сервера rdp2(ip 192.168.0.3) шлюз по умолчанию какая нить отдельная херь(ip 192.168.0.4)
на фряхе исправно работает ядерный нат, который пробрасывает соединения на порт 3391 на 3389 пор сервера rdp1(ip 192.168.0.2)

Код: Выделить всё

nat 1 config if bce2 reset same_ports deny_in redirect_port tcp 192.168.0.2:3389 3391
add 51010 nat 1 ip from any to me via bce2
add 51030 nat 1 ip from 192.168.0.2 to any via bce2
хочу, чтобы соединения на freebsd(ip 207.46.197.32) по порту 3392 пробрасывались на rdp2(ip 192.168.0.3) на порт 3389, при этом подставляя в источник соединения себя и натила обратно в инет. то бишь типа нат наоборот, при условии что порт-назначение 3392
перед вышеупомянутыми правилами ставлю скипту

Код: Выделить всё

add 50010 skipto 52010 ip from any to me 3392 in recv bce2
add 50020 skipto 52020 ip from 192.168.0.3 3389 to me in recv bce1
потом пишу

Код: Выделить всё

nat 2 config log if bce1 reset same_ports deny_in redirect_port 192.168.0.3:3389 3391
add 52010 nat 2 log ip from any to me in recv bce2
add 52020 nat 2 log ip from 192.168.8.30 to me via bce1
ну и ещё с дюжину разных комбинаций параматров в этих же строках пробовал.
что не так делаю? не считая костыльной постановки проблемы
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 16:24:04

для сервера rdp2(ip 192.168.0.3) шлюз по умолчанию какая нить отдельная херь(ip 192.168.0.4)
на этом тему можно и закрывать
у вас нет понимание TCP/IP роутинга

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 16:33:41

я в смысле серьёзно.
в конторе два канала.в один смотрит 192.168.0.1, в другой - 192.168.0.4.
хост 192.168.0.2 ходит в инет через 192.168.0.1, а хост 192.168.0.3 ходит в инет через 192.168.0.4.
все в одном сегменте сидят

так как сделать нат из вана в лан? или proxy_only юзать в опциях ната?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 16:40:44

я же тоже не шучу
тебя должны были забанить, а не забанили
ты должен был выучить основы роутинга, а не выучил
ну что ж, бери в лапки tcpdump и играйся до полного просветления

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 16:41:39

грубо говоря, нужно в нате поменять не только источник пакета, но и назначение. както с fwd чтоли... не могу сообразить
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 16:43:35

э, земляк, не хами мне
я знаю основы роутинга. я может хреново мысли обьясняю, и ipfw не владею на должном уровне, но точно понимаю что не полную херь несу
Последний раз редактировалось vadim64 2011-03-02 16:44:50, всего редактировалось 1 раз.
Причина: sed s/зами/хами/
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 16:45:18

грубо говоря я уже сказал, у тебя нет понимания работы роутинга
и НАТ здесь не причем
иди учись лучше

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 16:53:27

мы не земляки :-D
мысли твои не причем, если ты знаешь основы роутинга, озвуч мне самое главное правило роутинга.
жду
там пять слов. уложишься?

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 16:58:00

у системы нету айпи адреса
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 17:00:29

у какой системы? ты к чему?)))
иди думай дальше

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 18:41:04

Гость писал(а):у какой системы? ты к чему?)))
иди думай дальше
это вам стоит сходить подумать, судя по всему. или к своим старым преподавателям по сетям. очень жаль что моя с вами полемика засрала тему до такого вида, что никто её не станет всерьёз воспринимать
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 18:50:14

ок, ражевываю тролю vadim64
для сервера rdp2(ip 192.168.0.3) шлюз по умолчанию какая нить отдельная херь(ip 192.168.0.4)
правила машрутизации гласят что пакеты ходят по таблице машрутизации, в данном случае по дефолт роуту на шлюзе .3
и твои НАТы до одного места

а вот что нужно и как поправить
оставляю тебе на самостоятельное изучение
осиль что ли хотя бы основы машрутизации

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 19:46:59

:st: так и знал. сеньёр Всезнайка не задумывался над названием темы и тем что я писал. поэтому он не понял, что я как раз и хочу чтобы машина с локальным адресом 192.168.0.1 транслировала из вана в лан таким образом, чтобы соединение к 192.168.0.3 шли от локального адреса 192.168.0.1, а не от адресов интернета. в таком случае машина с локальным адресом 192.168.0.3 будет продолжать считать своим шлюзом до 0.0.0.0 шлюз с адресом 192.168.0.4, и при этом через freebsd на неё будут приходить соединения из инета с подменённым на локальный адрес источником. в таком случае принимающая служба будет расценивать такие соединения как соединения из своей сети, при этом принимать от шлюза 192.168.0.4 соединения, которые будет воспринимать как соединения из внешней сети. рисунок чтоли нарисовать?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 19:53:59

не переживай, я понял что вы сетях ты ноль, как и в роутинге
хочу, чтобы соединения на freebsd(ip 207.46.197.32) по порту 3392 пробрасывались на rdp2(ip 192.168.0.3) на порт 3389, при этом подставляя в источник соединения себя и натила обратно в инет.
ну удачи

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 22:07:02

Гость писал(а):не переживай, я понял что вы сетях ты ноль, как и в роутинге
кошмар. такие весчи говорить - это просто кошмар. просто какое то склонение к суециду.
лучше бы по делу сказал что нить. например как можно заставить через два ната ходить. один на одном интерфейсе редиректит порт, другой надругом интерефейсе подменяет адрес источника.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 22:11:27

да я тебе уже и так и энтак обьясняю что как бы ты не переписывал пакет на своем роутере
с .03 он все равно уйдет по дефолтовому маршруту

но ты ж не в зуб ногой, НАТ да НАТ
ну НАТь
вдруг изобретешь вечный двигатель

а что бы сделать то что тебе нужно тебе ни наты ни роутинг не нужен
достаточно что то типа bounce поставить на твоем сервере
и лови профит

кстати сто раз на форуме обсуждалось

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-02 22:42:35

блин! да говорю я, что нужно(мне кажется) делать так, чтобы фряха выплёвывая этот пакет в локалку ставила в сурс айпи свой адрес в локалке. то есть "пакет от .0.1 для .0.3." ответ на такой пакет будет идти через локалку, на дефолтовый для .0.3 роутер заходить не будет. глянь у себя в netstat -rn кто является шлюзом для твоей локалки, и тогда поймёшь что я имею ввиду но не могу сказать чтоб ты понял и перестал мне доказывать что я тупой и хочу натом на маршрутизаторе боковом рулить маршрутизацией мимо главного.

на всякий случай, ещё раз пишу что уже полсуток пытаюсь получить. ещё проще пример рисую, забываем нах про 192.168.0.2 и 192.168.0.4:
есть две машины. одна фряха с подключением к инету, другая фряха с веб сервером, на котором в правилах фаервола стоит разрешение всего только для сети, к которой он на прямую подключен 192.168.0.3/27, да ещё к тому же порт апача или нгиникса выставлен на 83, да и шлюз по умолчанию не указан - таблице маршрутизации есть маршруты до интерфейса локалки и до сети в локалке, типа

Код: Выделить всё

    192.168.0.0  255.255.255.224    192.168.0.3   192.168.0.3       30
    192.168.0.3  255.255.255.255    127.0.0.1       127.0.0.1       30
требуется сделать так, чтоб с инета выглядело как нормальный веб сервис.
если сделать на фряхе-шлюзе тупой проброс вида

Код: Выделить всё

nat 1 config if bce2 reset same_ports deny_in redirect_port tcp 192.168.0.3:83 80
add 51010 nat 1 ip from any to me 80 via bce2
add 51030 nat 1 ip from 192.168.0.3 83 to any via bce2
то будет мандец - фаер веб-сервера будет всё резать
то есть нужно сделать такой хитрожопый нат(скорее всего не один) чтобы фряха шлюз не только редиректила пакеты внутрь локалки, но и подменяла айпи источника на свой.
вот.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-02 22:55:13

обьясните уже кто нибудь этому vadim64, в глупости его идеи, потому что он не знает основ tcpip и роутинга
он хочет рулить пакеты так как они не рулятся

запусти на своем сервере rinetd или bounce
и радуйся

либо упражняйся в tcpdump, может лет через двадцать дойдет.. в чем ты ошибаешься

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-03 9:53:56

вот rinetd делает как раз то что я имел ввиду
на ipfw с кернел натом это не реально наваять? ты уверен? по сути это же сначала трансляция адресаназначения и порта, а потом подмена адреса источника
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw nat wan to lan

Непрочитанное сообщение hizel » 2011-03-03 10:43:19

сколько еще пройдет времени пока до анонимчика дойдет то, что vadim64 хочет :-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-03 10:47:19

где терминус? он вот поди делал чё нить в этом роде, пусть даже через какие нить тэги
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-03 13:02:32

гении сетевики хизель и вадим64, любят лечить порезы пальца через анальные отверстия
в добрый вам путь

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-03 13:14:00

Гость писал(а):гении сетевики хизель и вадим64, любят лечить порезы пальца через анальные отверстия
в добрый вам путь
да ну тя, задолбал уже со своими прибаутками
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: ipfw nat wan to lan

Непрочитанное сообщение Гость » 2011-03-03 13:17:28

да ты тоже задолбал
может ты натом и вебсервер опишешь?
а то придумали какие то дураки всякие httpd демоны
а можно ведь все в ядро впихнуть, правда?
а такие вещи как rinetd придумали дураки, они то не знали что все можно натом пронатить!

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw nat wan to lan

Непрочитанное сообщение vadim64 » 2011-03-03 13:40:28

rinetd - типичный пример программы-костыля. это ж очевидно.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.