Страница 1 из 1

Redirect port 2NAT interfaces +IPFW

Добавлено: 2011-09-13 9:59:01
iakiz
Доброго времени суток
Помогите советом, работает все кроме коннетка по rdp с интерфейса rl1
Имеется Freebsd 8.1 (Пересобрано ядро DIVERT FORWARD NAT ROUTETABLES=2)

Код: Выделить всё

default router - 10.101.32.1 (rl0) 
с тремя интерфейсами 2 внешних (rl1[ip-192.168.102.85 шлюз-192.168.102.254],rl0[ip-10.101.32.3 шлюз-10.101.32.1]) и один внутренний dc0[192.168.1.1].
Поднято два ната на rl0(8670 порт) и rl1(8672 порт)
Конфиг ната одинаков у обоих интерфейсов:

Код: Выделить всё

natd.conf: 
use_sockets yes 
same_ports yes 
unregistered_only yes 
redirect_port tcp 192.168.1.50:3389 3389 
IPFW SHOW (часть правил)

Код: Выделить всё

00032 154 26492 fwd 192.168.102.254 ip from 192.168.102.85 to any 
00033 430 67704 allow ip from any 22 to any 
00034 535 41548 allow ip from any to any dst-port 22 
00040 76654 13026372 divert 8670 ip from 192.168.1.50 to any out via rl0 
00042 111558 85080374 divert 8670 ip from any to 10.101.32.3 in via rl0 
00044 0 0 divert 8672 ip from 192.168.1.50 to any out via rl1 
00045 29 1226 divert 8672 ip from any to 192.168.102.85 in via rl1 
Вопщем с rl0 заходит по редиректу(RDP) на 192.168.1.50 нормально а с rl1 не
хочет.Telnet с интерфейса rl1 по 3389 не соединяет

Код: Выделить всё

netstat -r 

Destination Gateway Flags Refs Use Netif Expire 
default 10.101.32.1 UGS 4 133246 rl0 
10.101.32.0 link#1 U 9809 10300 rl0 
10.101.32.3 link#1 UHS 0 0 lo0 
localhost link#6 UH 0 2 lo0 
192.168.1.0 link#3 U 2 67183 dc0 
192.168.1.70 link#3 UHS 0 0 lo0 
192.168.102.0 link#2 U 1584 1589 rl1

Re: Redirect port 2NAT interfaces +IPFW

Добавлено: 2011-09-13 10:32:34
suspender
Имхо.
обратный пакет проходит через nat, маскируется, и затем уходит по дефолтному роутингу независимо от того, откуда приходил изначально.

Для ipfw это проблема. Причем даже тупо не для редиректов, а для сервисов запущенных на машине (попробуйте за ssh-ится извне через ip не соотвутствующий дефолтному роуту).

Вроде как то хитро используя динамические правила, это можно обойти.
А лучше (реально проще) заюзать pf.
(сам на него ушел при появлении второго инета. из за схожих проблем).

Re: Redirect port 2NAT interfaces +IPFW

Добавлено: 2011-09-13 12:34:57
iakiz
По ssh то коннектиться через не дефолтный ip 00032 154 26492 fwd 192.168.102.254 ip from 192.168.102.85 to any А вот в диверте уже это правило не срабатывает :(

Re: Redirect port 2NAT interfaces +IPFW

Добавлено: 2011-09-13 14:42:31
iakiz
Динамические правила с использованием setfib ?