Страница 1 из 1
необычный нат, как настроить?
Добавлено: 2009-10-29 14:33:46
chillivilli
Есть шлюз:
Код: Выделить всё
FreeBSD gate 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Tue Oct 27 20:13:39 MSK 2009 west@gate:/usr/obj/usr/src/sys/WESTGATE4 amd64
отбросим все сетевушки и оставим только две:
em0 и igb1
в ем 0 приходит инет:
Код: Выделить всё
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=198<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:11:17:55:6b:90
inet 123.45.67.89 netmask 0xffffffc0(/26) broadcast xx.xx.xx.xx
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
а вот igb1:
Код: Выделить всё
igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
ether 00:1b:21:39:d4:11
inet 192.168.1.20 netmask 0xfffffff0(/28) broadcast 192.168.1.31
media: Ethernet autoselect
status: active
схема, которую хочу получить:
inet---->шлюз--->еще один шлюз 192.168.1.17---->нужный сервер 192.168.1.2
из инета ломятся машины по порту допустим 222 на внешний ип нашего шлюза, т.е на em0, далее портмаппинг порта 222 на сервер 192.168.1.2..
прописываем маршрутизацию в сеть 192.168.1.0/28 через шлюз 192.168.1.17, все ок. машина с ипом 192.168.1.2 - пингуется
правила такие:
ipfw nat 125 config log ip 123.45.67.89 unreg_only redirect_port tcp 192.168.1.2:222 222
ipfw add 600 nat 125 all from 192.168.1.0/28 to any out via em0
ipfw add 700 nat 125 log all from any to 123.45.67.89 in via em0
$cmd 1000 allow all from any to any
так вот порт не удается пробросить пакет туда уходит вижу на igb1 tcpdump ом, но ответ не приходит..
Все осложняется тем, что доступа к 192.168.1.17 и к 192.168.1.7 нет.
В данный момент такой проброс реализуется с помощью винроут керио файрволл - все работает.
Что не так?
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 15:19:06
wp2
бред какой-то...
зачем это вообще тебе надо?
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 15:57:10
chillivilli
есть сервер 192.168.1.2 за шлюзом 192.168.1.17 - и это все добро находится у 2-го прова, а наш шлюз воткунут в 1 прова, в итоге необходимо чтобы внешние клиенты ходили через наш шлюз и шлюз 2 прова в сервер этого самого 2 прова.. Такая схема уже работает на керио винроут..сейчас пявилась необходимость перенести все на фрю
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 16:19:28
kpp
Попробуй
Код: Выделить всё
ipfw nat 125 config log if em0 reset same_ports redirect_port tcp 192.168.1.2:222 222
ipfw add 600 nat 125 ip from any to any via em0
$cmd 1000 allow all from any to any
Заработает - рули дальше.
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 16:39:24
kpp
Не вижу "необычности".
Конечно, ядро должно быть скомпилено с поддержкой ядренного ната
.
И еще, если проводились тесты с параметром
deny_in в строке
ipfw nat 125 config log if em0 reset same_ports redirect_port tcp 192.168.1.2:222 222
то фрю нужно перегрузить. Наблюдалась такая особенность.
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 17:17:31
chillivilli
нет с дениин ничего не проводилось, ядро естественно собрано как надо, причем если вместо 192.168.1.2 я подставляю тестовую машину с адресом например 192.168.1.10 и прописваю на ней в качестве днс и гейта свой шлюз - порты пробрасыватся инет работает все ок. Т.е у меня есть подозрения, что редирект будет работать только тогда, когда на машине куда редиректится по умолчанию шлюзом выстыпает шлюз с которого редиректят, поправте если не прав..
и почемeу в ваших примерах отсутсвует unreg_only и присутствует reset ?
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 17:18:15
wp2
я просто не пойму зачем 2 ната, то есть 2 шлюза на одном компе?
или здесь целый каскад шлюзов?
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 17:31:30
kpp
chillivilli писал(а):причем если вместо 192.168.1.2 я подставляю тестовую машину с адресом например 192.168.1.10 и прописваю на ней в качестве днс и гейта свой шлюз - порты пробрасыватся инет работает все ок. Т.е у меня есть подозрения, что редирект будет работать только тогда, когда на машине куда редиректится по умолчанию шлюзом выстыпает шлюз с которого редиректят, поправте если не прав..
В этом действительно модет быть дело. Если у второго шлюза дефолтовый шлюз не первый, то на 2-м шлюзе нужно попытаться настроить "откуда пришло туда и ушло".
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 17:57:53
chillivilli
так все же, зачем ресет? и мне кажется указание unreg_only все же сдесь необходимо, а шлюз этот в том то и дело, что не посмотреть на его настройки, но ведь факт в том, что на вин2003 и KWF все работает в данный момент по этой схеме.. Сейчас попробую с same_ports может бытьв этом был затык..
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 18:03:14
kpp
Reset - это из моего рабочего конфига. Думаю в данном случае это не принципиально.
http://www.lissyara.su/?id=1967
reset
Параметр предписывает очищать внутреннюю таблицу активных соединений при
изменениях параметра "ip" указывающего адрес используемый при маскировании
и демаскировании.
unreg_only
Параметр предписывает проводить маскировку только для тех исходящих пакетов,
чей адрес отправителя находится в классах "незарегистрированных" IP адресов.
В соответсвии с RFC 1918 к такими классам относятся адреса из диапазонов
10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 18:42:44
Laa
Заюзайте tcpdump на каждом интерфейсе на каждом из серверов и поймете где затык.
Может у вас файервол где-то неоговоренный тут блокирует....
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 18:55:49
chillivilli
не, фаера нет неоговоренного, только что проверил еще раз.. пакеты приходящие из инета успешно транслирутся и передаются на интерфейс igb1 с адресом назначения 192.168.1.2, пинг есть, но оттуда пакеты не приходят.. т.е ответов не вижу на инттерфейсе igb1..
Что странно винда с KPF работает, и люди которые ее в свое время настраивают, говорят что удаляли какой-то системный маршрут из нее чтобы все заработало.. Не понятно в чем затык совершенно..
Re: необычный нат, как настроить?
Добавлено: 2009-10-29 22:06:33
terminus
Код: Выделить всё
ipfw nat 125 config log ip 123.45.67.89 redirect_port tcp 192.168.1.2:222 222
ipfw nat 126 config log ip 192.168.1.20
ipfw add 600 nat 125 all from 192.168.1.0/28 to any out xmit em0
ipfw add 700 nat 125 all from any to 123.45.67.89 in recv em0
ipfw add 800 nat 126 all from any to any via igb1
ipfw add 1000 allow all from any to any
Re: необычный нат, как настроить?
Добавлено: 2009-10-30 10:36:01
chillivilli
terminus писал(а):Код: Выделить всё
ipfw nat 125 config log ip 123.45.67.89 redirect_port tcp 192.168.1.2:222 222
ipfw nat 126 config log ip 192.168.1.20
ipfw add 600 nat 125 all from 192.168.1.0/28 to any out xmit em0
ipfw add 700 nat 125 all from any to 123.45.67.89 in recv em0
ipfw add 800 nat 126 all from any to any via igb1
ipfw add 1000 allow all from any to any
А куда можно отправить бабло на пиво? ОНО ЗАРАБОТАЛО ) спасибо
