https://opennet.ru/openforum/vsluhforumID10/3478.html народ.. кто шарит в теме, откликнитесь пжл. больше не могу заниматься садомазой (<br><br>есть локалка, далее шлюз на фряхе с выходом в локаль и в нет. там настроен нат и фаер. в локале есть www сервак. в нате он настроен (переадресация идет... вроде )).. нужно чтобы народ из локали обращаясь к нему по _ВНЕШЕНЕМУ_ айпи переадрессовывался на внутренний айпи делаю так, но не работает:<br>00300 fwd 192.168.112.2,80 tcp from 192.168.112.0/24 to xxx.xxx.xxx.xxx dst-port 80 via ed0<br><br>xxx.xxx.xxx.xxx - внешний айпи<br>ed0 - внутренний фейс<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#25 Wed, 05 Dec 2007 13:19:47 GMT вопрос закрыт.все решил, наконец-то.<br><br> rdr on $int_if proto tcp from $int_net to $ext_if port 80 -&gt; $server<br> no nat on $int_if proto tcp from $int_if to $int_net<br> nat on $int_if proto tcp from $int_net to $server port 80 -&gt; $int_if<br><br>Но сделав так, я подумал и решил перенести серевер в DMZ )<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#24 Wed, 14 Nov 2007 11:49:11 GMT &gt;показывайте конфиг pf, если все еще не работает <br><br># конфигурация<br>ext_if="ed0" # Внешний интерфейс<br>int_if="vr0" # Внутренний интерфейс<br>external_addr="91.122.47.93" # Внешний IP-адрес<br>int_net="{192.168.100.0/24, 192.168.112.0/24, 192.168.128.0/24, 192.168.200.0/24}" # Сети<br><br># опции<br>set fingerprints "/etc/pf.os"<br>set loginterface $ext_if<br>set debug urgent<br>set block-policy drop<br>set skip on lo0<br>scrub in on ! lo0 all fragment reassemble<br><br>rdr on $int_if proto tcp from $int_net to $external_addr port 80 -&gt; 192.168.112.2 port 80<br># вот этой строкой пытаюсь редиректнуть - не работает. (<br><br><br># внешний NAT<br>nat on $ext_if from $int_net -&gt; $ext_if<br><br># внутренний NAT<br>#nat on $int_if from $int_net to $external_addr port 80 -&gt; $int_if https://opennet.ru/openforum/vsluhforumID10/3478.html#23 Tue, 13 Nov 2007 23:09:09 GMT Может уже поздно...<br><br>Насколько я понял тебе нужно просто прописать в конфиге для natd /etc/natd.conf если указан в настройках его использовать<br>прописать строчку типа<br>redirect_port tcp 192.168.112.3:80 99.99.99.99:80<br><br><br><br>и заодно вопрос, т.к. я не могу настроить именно чтоб форвардились пакеты извне т.е. с внешнего интерфейса на локальную машину ipfw add fwd пишет ошибку чтобы туда не писал ((<br><br> https://opennet.ru/openforum/vsluhforumID10/3478.html#22 Wed, 17 Oct 2007 20:17:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;да, то ССЗБ), вот и пропиши домены www.domain.ru, ftp.domain.ru etc. И <br>&gt;&gt;сообщи пользователям, чтоб отныне по данным адресам обращались, оно так и <br>&gt;&gt;легче и идеалогически правильнее. <br>&gt;<br>&gt;блин. если бы все так было просто - сделал __так__ уже давно. <br>&gt;<br>&gt;если кто знает как сделать так, как мне надо, просьба ответьте. вопрос <br>&gt;все еще открыт, блин :( с ДНС'сом не пройдет, как я <br>&gt;говорил уже не раз. да, сейчас я поменял фаервол - поставил <br>&gt;PF. <br><br>показывайте конфиг pf, если все еще не работает<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#21 Tue, 16 Oct 2007 21:27:26 GMT &gt;Так тебе и говорят, что достаточно внутренний DNS-сервер поднять, и все. <br>&gt;Никакая маршрутизация нафиг не нужна. <br>&gt;Ну ни по ip же юзеры с сервисам у тебя обращаются (если <br>&gt;да, то ССЗБ), вот и пропиши домены www.domain.ru, ftp.domain.ru etc. И <br>&gt;сообщи пользователям, чтоб отныне по данным адресам обращались, оно так и <br>&gt;легче и идеалогически правильнее. <br><br>блин. если бы все так было просто - сделал __так__ уже давно.<br>если кто знает как сделать так, как мне надо, просьба ответьте. вопрос все еще открыт, блин :( с ДНС'сом не пройдет, как я говорил уже не раз. да, сейчас я поменял фаервол - поставил PF.<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#20 Mon, 08 Oct 2007 07:35:14 GMT &gt;[оверквотинг удален]<br>&gt;дано: <br>&gt;<br>&gt;1) сеть 192.168.112/24 <br>&gt;2) шлюз с внутренним интерфейсом 192.168.112.1 и внешним 99.99.99.99 <br>&gt;3) http сервер 192.168.112.2:80 <br>&gt;4) ftp сервер 192.168.112.3:21 <br>&gt;<br>&gt;нужно, чтобы какой-то внутренний клиент сети (например, 192.168.112.25) обращаясь на 99.99.99.99:80 форвардился <br>&gt;на 192.168.112.2:80, а обращаясь на 99.99.99.99:21 форвардился на 192.168.112.3:21. <br>&gt;вот и все. <br><br>Так тебе и говорят, что достаточно внутренний DNS-сервер поднять, и все.<br>Никакая маршрутизация нафиг не нужна.<br>Ну ни по ip же юзеры с сервисам у тебя обращаются (если да, то ССЗБ), вот и пропиши домены www.domain.ru, ftp.domain.ru etc. И сообщи пользователям, чтоб отныне по данным адресам обращались, оно так и легче и идеалогически правильнее.<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#19 Thu, 04 Oct 2007 16:46:21 GMT <br>&gt;вот это правильно. *nix заточен как раз на то, чтобы ничего сверх <br>&gt;и дополнительно вешать не приходилось <br>&gt;но разобраться тебе сначала надо в себе. ТЕБЕ НЕ НУЖЕН НАТ! <br>&gt;сформулируй себе в мозгу задачу правильно уже. у тебя какая-то каша там <br>&gt;<br>&gt;ты хочешь ЛОКАЛКУ отправить В ЛОКАЛКУ на ВНУТРЕННИЕ сервера <br>&gt;для ЛОКАЛКИ ближе по ЛОКАЛКЕ <br>&gt;причём тут НАТ?! <br>&gt;ЛОКАЛКА на ВНУТРЕННЕМ интерфейсе <br>&gt;НАТ на ВНЕШНЕМ и задачи у него другие. <br><br>блин... мне нужна банальная маршрутизация, но только "по портам".. попробую объяснить по-порядку:<br>дано:<br><br>1) сеть 192.168.112/24<br>2) шлюз с внутренним интерфейсом 192.168.112.1 и внешним 99.99.99.99<br>3) http сервер 192.168.112.2:80<br>4) ftp сервер 192.168.112.3:21<br><br>нужно, чтобы какой-то внутренний клиент сети (например, 192.168.112.25) обращаясь на 99.99.99.99:80 форвардился на 192.168.112.2:80, а обращаясь на 99.99.99.99:21 форвардился на 192.168.112.3:21.<br>вот и все.<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#18 Thu, 04 Oct 2007 16:45:56 GMT объясню ещё подробнее<br>скорее для себя..<br>сидит у тебя юзер в локалке<br>пишет в браузере<br>http://www.domain.ru<br>браузер глядит в настройки TCP/IP на адрес шлюза<br>идёт на шлюз с адресом назначения + 53 порт (ему нужен днс-сервер, чтобы преобразовать domain.ru в цифры)<br>втыкается в ipfw сразу и без вариантов, считывает правила для внутренних интерфейсов (тут ipfw надо использовать первый раз, чтобы fwd его на IP_днс_сервера 53 - прозрачный днс)<br>далее, с полученным IP, он опять считывает правила в ipfw для внутренних интерфейсов и тут его можно использовать второй раз для заворотов куда угодно либо просто пропускать (при этом, во втором разе у него фигурирует в пакете И имя домена И его IP)<br><br>и вот только после ДВУХ возможностей его завернуть ещё в локалке (1 раз через bind, 2 раз через ipfw) он добирается до ВНЕШНЕГО ИНТЕРФЕЙСА и читает правила ipfw для ВНЕШНИХ ИНТЕРФЕЙСОВ, где уже указана трансляция пакета через НАТ и прочие внешние приблуды.<br> https://opennet.ru/openforum/vsluhforumID10/3478.html#17 Thu, 04 Oct 2007 16:34:36 GMT 1<br>&gt;[оверквотинг удален]<br>&gt;бы и в мой адрес также этого не было. <br>&gt;я благодарен за объяснения, но как уже писал _выше_, вариант со squid'ом <br>&gt;и ДНСкой не поможет, так как я имею дело не только <br>&gt;с http протоколом, а также с большим количеством других. т.е. будем <br>&gt;отталкиваться не от имени домена, а ip адреса. <br>&gt;и именно с первым вариантом (ipfw) я и просил помочь. мне подсказали, <br>&gt;что также можно использовать программу redir. я ее поставил из портов. <br>&gt;и она прекрасно работает. <br>&gt;Но хотелось бы разобраться и с IPFW и NATD, так как это <br>&gt;более стандартные средства. Не хочется вешать что-то еще сверх, дополнительно. <br><br>если не хочется ничего навешивать, то с помощью DNS было бы проще, если конечно клиенты не предпочитают в адресной строке браузера писать IP адреса :) .<br><br>По поводу IPFW и NATD не подскажу, не пользовался. Душа больше к PF тянется, там firewall и NAT вместе.<br>