URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 70810
[ Назад ]

Исходное сообщение
"ПЕРЕБРОС ПОРТА В ЛОКАЛКУ!!! - в недоумении"
Отправлено Shaokoa , 08-Дек-06 00:53

продолжение темы: http://www.opennet.me/openforum/vsluhforumID1/70753.html
Дело обстоит таким образом:
имеем локальную сеть и Интернет. Между ними стоит Шлюз( FreeBSD 4.9), IPFilter + IPNat.
+   rl0 - внешний интерфейс(реальный АйПи И-нета) = 194,44,хх,хх
    rl1 - интерфейс на шлюзе к которому подключен WWW-сервер(Апач) = 10,0,0,100/8
    dc0 - то что глядид в локальную сеть = 192,168,0,100/24
    ng0 - интерфейс ВПН-сервера, через который окальная сеть ходит в И-нет = 10,1,4,0/24
дальше по порядку:
   rl0 - статический, рельный адресс в И-нете, тут все ясно!
   rl1 - интерфейс к которому подключен ВВВ-сервер(10,0,0,200) с установленым Апачем(порт 80)
   dc0 - тут все понятно, здесь пользователи создают подключения к ВПН-серверу(MPD) на шлюзе, получают свои АйПи из подсети 10,1,4,0/24, по которым потом имеют выход в И-нет.
   ng0 - виртуальный и-фес с которого клиенты лок. сети выходят в инет.
Выход в интернет реализован с помощью IPFilter + IPNat.
Вот их правила(все лишнее было закоментировано):
===================   ipnat.rules   ====================
serv# more /etc/ipnat.rules
rdr rl0 194.44.хх.хх/32 port 8080 -> 10.0.0.200 port 80
map rl0 10.1.4.0/24 -> 194.44.хх.хх/32 proxy port ftp ftp/tcp
map rl0 10.1.4.0/24 -> 194.44.хх.хх/32 portmap tcp/udp 40000:60000
map rl0 10.1.4.0/24 -> 194.44.хх.хх/32
========================================================
=====================  ipf.rules  ======================
serv# more /etc/ipf.rules
pass out quick on rl0 proto tcp from 10.1.4.0/24 to any flags S/FSRA keep state
pass out quick on rl0 proto udp from 10.1.4.0/24 to any keep state
pass in all
pass out all
========================================================
Клиенты все выходят и НАТятся в и-нет. все на Ура!
Хочу сделать проброс порта внутрь сети на ВВВ-сервер(АПАЧ), который стоит за интерфейсом rl1 шлюза и имеет АйПи 10,0,0,200/24.  Для этого и написана строчка в файлике ipnat.rules:
rdr rl0 194.44.хх.хх/32 port 8080 -> 10.0.0.200 port 80   , причем , как видно из правила, обращаемся мы на порт 8080, а НАТ перекидовает правило  на порт 80.     При такой конструкции и запросе из И-нета вот что выдает  TCPDUMP -t -i rl1 НА ШЛЮЗЕ:
===============  TCPDUMP -t -i rl1 НА ШЛЮЗЕ  =========================
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
========================================================================
а вот это приходит на ВВВ-сервере:
================  TCPDUMP -t -i rl1 НА ВВВ-сервере  ====================
arp reply 10.0.0.200 is-at 00:80:48:20:23:8e (oui Unknown)
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
========================================================================
Как видно выше - пропихиваются только запросы, нет ниодного ответа от ВВВ-сервера и дальше соответственно. Запрашивающий сервер из и-нета получает "Ошибку 404..."
Фаервол на ВВВ-сервере ОТКРЫТ.   В чем могут быть грабли?

Содержание

проверить default gateway,gindos, 05:44 , 08-Дек-06
- проверить default gateway,Shaokoa, 08:30 , 08-Дек-06
  - проверить default gateway,Shaokoa, 08:31 , 08-Дек-06
    - проверить default gateway,Shaokoa, 11:51 , 08-Дек-06
      - проверить default gateway,Scorpiy, 17:08 , 08-Дек-06
        
        проверить default gateway,Shaokoa, 17:44 , 10-Дек-06

Сообщения в этом обсуждении

"проверить default gateway"
Отправлено gindos , 08-Дек-06 05:44

сам однажды наступил на подобные грабли - оказалось на хосте, порт которого я пробрасывал (в Вашем случае ВВВ-сервер) default gateway стоял неправильный... может и у Вас так?

"проверить default gateway"
Отправлено Shaokoa , 08-Дек-06 08:30

>сам однажды наступил на подобные грабли - оказалось на хосте, порт которого
>я пробрасывал (в Вашем случае ВВВ-сервер) default gateway стоял неправильный... может
>и у Вас так?

Гляну... но нат вроде бы ничего не указано...

"проверить default gateway"
Отправлено Shaokoa , 08-Дек-06 08:31

А каким он в таком случае должен стоять? 10,0,0,100???

"проверить default gateway"
Отправлено Shaokoa , 08-Дек-06 11:51

>А каким он в таком случае должен стоять? 10,0,0,100???

Прописка РОУТЕРА НЕ ПОМОГАЕТ! ГЕТЕВЕЯ ТОЖЕ(хоть он тут не причем...) Комп просто не хочет отсылать никаких ответов! ни ВВВ ни ФТР ни ССХ.

"проверить default gateway"
Отправлено Scorpiy , 08-Дек-06 17:08

Проблема не в ВВВ-сервере... попробовал делать переброс из сети на него(поменяв правила) - таже история с анралогичными данными в тспдампе. Пробовал делать переброс на другой, комп в сети, - таже история и теже самые параметры в пакетном фильтре.
ХЕЛП!!!! Может непорядок где-то с таблицами НАТа??? может нужно какой-то маршрут прописать для обратной связи? или первый пакет создает тунель для соединения?

"проверить default gateway"
Отправлено Shaokoa , 10-Дек-06 17:44

Люди, будтедобры дайте рабочий конфиг такого переброса. Я сам уже разберусь если никто не береться разобраться в чем дело и ткнуть носом.