Архив форумов ЦИТФорума

[alekss12]

Есть НАТ-сервер FreeBSD с поднятыми ipfw и natd. На нём два интерфейса:
1) xl1 - 200.200.200.200/24 -- внешний интерфейс в и-нет
2) xl0 - 192.168.1.254/24 -- внутренний интерфейс

Есть внутри www сервер - 192.168.1.2 надо его сделать доступным из и-нет. Конфиги следующие

rc.conf:
----
gateway_enable="YES"
firewall_enable="YES"
firewall_type="/etc/ipfw.conf"
natd_enable="YES"
natd_interface="xl1"
natd_flags="-f /etc/natd.conf"


ipfw.conf:
----
add divert from any to any via xl1
add allow from any to any

natd.conf:
----
use_sockets
same_ports
redirect_port tcp 192.168.1.2:80 80
redirect_port udp 192.168.1.2:80 80

И-нет из внутренней сети есть, но www-сервер извне не доступен. Что не так?

[Гость]

Надо ли для редиректа еще какие-нибудь конфиги править?

[alekss12]

Вот у человека была подобная проблема:
http://www.opennet.ru/openforum/vsluhforumID1/47816.html
К сожалению сегодня проверить не могу т.к. воскресенье. Но интересно что может быть? Что-то неверится мне, что дело в том что natd не читает конфиг...
Вот цитирую:
///////////////////////////////////
наконец то...
спасибо всем, принявшим посильное участие
работает так:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
natd.sh
# было
/sbin/natd -f /etc/natd.conf -n ed0 -l
# надо
/sbin/natd -f /etc/natd.conf -n ed0 -l -p 8668 -a 62.114.165.35 -redirect_port tcp 192.168.0.11:80 80
# почему-то из natd.conf не все цепляет, а из командной - пожалуйста...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
natd.conf

same_ports yes
use_sockets yes
log yes
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
rc.firewall

ipfw add 100 deny udp from any to any 137,138,139
# вот строка нукудышняя - убираем нафик:
# ipfw add 300 divert natd all from any to any
# вот что пишем вместо нее:
ipfw add 300 divert natd all from 192.168.0.1/24 to not 192.168.0.1/24 out via ed0
ipfw add 301 divert natd all from any to 62.114.165.35 in via ed0
# никаких строк, типа 302 добавлять не надо !!!
# ipfw add 302 divert natd tcp from any to 62.114.165.35 80 out
#-----count section
ipfw add 400 count all from any to 192.168.0.2 in
ipfw add 500 count all from 192.168.0.2 to any in
# правило типа 501 ноже никчему - счетчики нулевые, пакет уже просунут внутрь
# ipfw add 501 count all from any to 192.168.0.11 in
#-----allow dns
ipfw add 800 allow udp from any 53 to any
ipfw add 900 allow udp from any to any 53
#-----allow http for 192.168.0.2
ipfw add 1000 allow tcp from any 80,443 to 192.168.0.2
ipfw add 1100 allow tcp from 192.168.0.2 to any 80,443
# строки типа 1200 - никчему тоже...
ipfw add 1200 allow tcp from 192.168.0.11 to any
#-----allow connect
ipfw add 2000 allow tcp from 62.114.165.35 to any # обязательно должно быть
# или так: перечислить разрешенные порты
# ipfw add 2000 allow tcp from 62.114.165.35 to any 53,80,443
ipfw add 3000 log deny all from any to any # не помешает
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

т.е. вся вообщем заковыка была в natd.sh
почему.. неясно

и еще...
найдено в интернете - все четко и ясно (не то что маны
1. Пакеты проходят правила в прямом порядке, т.е. по номерам, от меньшего к большему
2. При простейшем случае роутинга - две сетевухи, пакет проходит файрвол 3 раза - на входе одной сетевухи (recv in), на ее выходе (recv out), на выходе другой сетевухи (xmit out)
3. Divert, равно как Forward, равно как и Tee может запулить пакет (почти) куда угодно - и согласно ограничениям