Kernel nat & jail
Добавлено: 2008-09-24 16:33:30
Всем привет.
Задача такова - есть машинка с двумя айпишниками на внешнем интерфейсе, на lo0 висит фейковый IP джейла. Необходимо сделать маппинг портов со внешнего адреса (алиаса) в джейл. Всё б ничего, взял бы pf, rdr и сделал за две минуты, да вот задача такова что необходимо использовать именно ipfw с натом в ядре
Проковырялся пол дня так и не победил.
Есть ли в природе какая-то схема прохождения пакетов через ipfw, kernel_nat и прочее? В man ipfw ничего кроме худого рисунка прохождения пакета через интерфейс.
Ядро собрал, соответственно вывод того чего накопал:
По каунтеру правила 00110 видно что пакеты заворачиваются в нат, но что с ними происходит далее совершенно непонятно.
Задача такова - есть машинка с двумя айпишниками на внешнем интерфейсе, на lo0 висит фейковый IP джейла. Необходимо сделать маппинг портов со внешнего адреса (алиаса) в джейл. Всё б ничего, взял бы pf, rdr и сделал за две минуты, да вот задача такова что необходимо использовать именно ipfw с натом в ядре
Проковырялся пол дня так и не победил. Есть ли в природе какая-то схема прохождения пакетов через ipfw, kernel_nat и прочее? В man ipfw ничего кроме худого рисунка прохождения пакета через интерфейс.
Ядро собрал, соответственно вывод того чего накопал:
Код: Выделить всё
#ipfw show
00010 7756 7149032 allow ip from any to any via lo0
00110 7 420 nat 1 tcp from any to "алиас на внешнем интерфейсе" dst-port 11121 via em0
65535 79071 57019439 allow ip from any to any
#ipfw nat 1 show config
ipfw nat 1 config redirect_port tcp "алиас на внешнем интерфейсе":11121 "ip джейла":11121