OpenForum RSS: ipfw в связке с natd не пускает пакеты на alias сетевого if https://ns.opennet.dev/openforum/vsluhforumID1/80377.html Исходные данные: <br>сервер с OS FreeBSD 6.3 должен работать как шлюз меджу ЛВС и интернет со следующими сервисами: <br><br>squid <br>apache <br>natd <br>ipfw <br><br>postfix <br>courier-imap <br>и т.д. далее не важно <br><br>Железо: <br>1 (!) сетевая карта <br><br>Особенности: <br>Для одного физического интерфейса в rc.conf <br>прописан реальный адрес и алиас <br>Код: <br>ifconfig_em0="inet x.y.z.7 netmask 255.255.255.0" <br>ifconfig_em0_alias0="x.y.z.3 netmask 255.255.255.255" <br> <br><br>это сделано для того чтобы снаружи сервер был доступен по двум адресам - почтовому (mail.domain.ru соответствует x.y.z.7) и веб сервер (www.domain.ru соответствует x.y.z.3) <br><br>при этом изнутри должен работать прокси и NAT. <br><br>Суть проблемы. <br>при включенном IPFW нет доступа извне к веб серверу, но зато работает NAT <br>при отключенном IPFW все работает кроме NAT <br><br>сервисы запускаются через rc.conf <br><br>для простоты в IPFW все разрешено <br><br>Код: <br>add 90 divert 8668 ip from x.y.z.0/24 to any via em0 <br>add 100 divert 8668 ip from any to x.y.z.7 via em0 <br>add 65535 ipfw в связке с natd не пускает пакеты на alias сетевого if (lykich99) https://ns.opennet.dev/openforum/vsluhforumID1/80377.html#2 Fri, 23 May 2008 07:21:29 GMT &gt;[оверквотинг удален]<br>&gt;1. NAT без IPFW как я понимаю не работает в моем случае, <br>&gt;но как их развязать - не знаю <br>&gt;2. Как то перенаправить входящие подключения по 80 порту tcp снаружи на <br>&gt;x.y.z.3, но при этом чтобы работали исходящие по 80 порту от <br>&gt;squid тоже никак не соображу. <br>&gt;<br>&gt;вариант с втыканием в сервер еще одного сетевого интерфейса работать наверняка будет, <br>&gt;но сейчас невозможен <br>&gt;<br>&gt;<br><br>Попробуй так <br>rc.conf<br>natd_enable="YES"<br>natd_interface="x.y.z.3 "<br><br>В IPFW<br>divert 8668 ip4 from any to any via x.y.z.3<br><br><br><br> ipfw в связке с natd не пускает пакеты на alias сетевого if (nwton) https://ns.opennet.dev/openforum/vsluhforumID1/80377.html#1 Thu, 22 May 2008 07:34:17 GMT &gt;[оверквотинг удален]<br>&gt;ifconfig_em0="inet x.y.z.7 netmask 255.255.255.0" <br>&gt;ifconfig_em0_alias0="x.y.z.3 netmask 255.255.255.255" <br>&gt;<br>&gt;<br>&gt;это сделано для того чтобы снаружи сервер был доступен по двум адресам <br>&gt;- почтовому (mail.domain.ru соответствует x.y.z.7) и веб сервер (www.domain.ru соответствует x.y.z.3) <br>&gt;<br>&gt;<br>&gt;при этом изнутри должен работать прокси и NAT. <br>&gt;<br><br>...<br>&gt;Код: <br>&gt;add 90 divert 8668 ip from x.y.z.0/24 to any via em0 <br>&gt;<br>&gt;add 100 divert 8668 ip from any to x.y.z.7 via em0 <br>&gt;add 65535 allow ip from any to any <br>&gt;<br>&gt;<br><br>Читать man natd на предмет опций -unregistered_only, -alias_address и добавить их в rc.conf.<br>Дальше при необходимости - подкрутить ipfw и разрулить отправку в natd только трафика от локальных пользователей, которые идут в интернет.<br>