Здравствуйте.
Я понимаю вопрос покажется вам элементарным, но нем не менее посвятите меня в вопросе редиректа IP пакетов.

Собственно мне нужно чтобы при появлении пакета на внешнем (интернет) интерфейсе с адресом назначения 10.42.0.1 (его нет в моей сети), пакет уходил на адрес 192.168.10.1, ну и соотвественно обратный процесс.
Какими инструментами можно этот редирект осуществить?
Все действо осуществляется на FreeBSD с ipfw.

• Редирект IP пакетов.,PavelR, 19:18 , 23-Апр-09
  • Редирект IP пакетов.,Mumba, 12:35 , 04-Май-09
    • Редирект IP пакетов.,Grey, 14:53 , 04-Май-09
      • Редирект IP пакетов.,Mumba, 15:02 , 04-Май-09
        • Редирект IP пакетов.,Grey, 15:36 , 04-Май-09

>Здравствуйте.
>Я понимаю вопрос покажется вам элементарным, но нем не менее посвятите меня
>в вопросе редиректа IP пакетов.
>
>Собственно мне нужно чтобы при появлении пакета на внешнем (интернет) интерфейсе с
>адресом назначения 10.42.0.1 (его нет в моей сети), пакет уходил на
>адрес 192.168.10.1, ну и соотвественно обратный процесс.
>Какими инструментами можно этот редирект осуществить?
>Все действо осуществляется на FreeBSD с ipfw.

запустить natd с соответствующими ключами, добавить правила divert в файрвол в соответствующие места. Не забыть, что пакет может и не вернуться на эту машину, если она не является шлюзом по умолчанию для 192.168.10.1.

>[оверквотинг удален]
>>
>>Собственно мне нужно чтобы при появлении пакета на внешнем (интернет) интерфейсе с
>>адресом назначения 10.42.0.1 (его нет в моей сети), пакет уходил на
>>адрес 192.168.10.1, ну и соотвественно обратный процесс.
>>Какими инструментами можно этот редирект осуществить?
>>Все действо осуществляется на FreeBSD с ipfw.
>
>запустить natd с соответствующими ключами, добавить правила divert в файрвол в соответствующие
>места. Не забыть, что пакет может и не вернуться на эту
>машину, если она не является шлюзом по умолчанию для 192.168.10.1.

Ребята помогите.

Есть две сетевые карты на шлюзе, одна смотрит во внутренную сеть локалки другая смотрит в инет.

<локалка 192.168.0.1/24 (xl1)-----------<интернет <белый IP (xl0)>

на сетевой которая смотрит в инет поднят natd. Все работает.

В локальной сети есть адрес 192.168.0.5, на который должны приходить пакеты из интернета с адресом назначения 10.42.0.2 и обратно.
ДЛя этих целей думаю устроить redirect адресов с помощью natd.

для этого в rc.conf
Создал алиас с адресом 10.42.0.1 на сетевой которая смотрит в локалку
ifconfig_xl1_alias0="inet 10.42.0.1 netmask 255.255.255.0"

Запускаю второй nat

/sbin/natd -f /etc/natd2.conf -p 8001 -a 10.42.0.1

редирект настроен /etc/natd2.conf
same_ports yes
use_sockets yes
redirect_address 192.168.0.5 10.42.0.2

в rc.firewall добавил
${FwCMD} add divert 8001 all ip from 10.42.0.0/24 to any out via xl1
${FwCMD} add divert 8001 all ip from any to 10.42.0.1 in via xl1

оба natd запущены

ps ax|grep natd
/sbin/natd -f /etc/natd.conf -p 8000 -a <белый IP>
/sbin/natd -f /etc/natd2.conf -p 8001 -a 10.42.0.1
grep natd

пингую с этого шлюза
PING 10.42.0.2 (10.42.0.2): 56 data bytes
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down

Вроде все верно настроил...подскажите куда копать?

>пингую с этого шлюза
>PING 10.42.0.2 (10.42.0.2): 56 data bytes
>ping: sendto: Host is down
>ping: sendto: Host is down
>ping: sendto: Host is down
>ping: sendto: Host is down
>
>Вроде все верно настроил...подскажите куда копать?

Мне вот интересно как на внешнем интерфейсе может появиться пакет для 10.42.0.2 ? 10.0.0.0/8 - есть серая сеть. (это так... для начала)
дальше...
вы пытаетесь со своего шлюза пингануть адрес 10.42.0.2 , а он есть у вас в сети?
ещё...
если вы в нате делаете редирект, то редиректиться будут пакеты как минимум приехавшие на шнешний интерфейс ... при пинге с самого шлюза этого имхо не произойдёт.

P.S. может уточнить задачку? и условия не мешает уточнить...

>Мне вот интересно как на внешнем интерфейсе может появиться пакет для 10.42.0.2
>? 10.0.0.0/8 - есть серая сеть. (это так... для начала)

эти пакеты придут на интерфейс интернета посредством VPN.

>дальше...
>вы пытаетесь со своего шлюза пингануть адрес 10.42.0.2 , а он есть
>у вас в сети?
>ещё...

Мне нужно организовать связь между двумя хостами, при этом в моей сети нужно чтобы хосты имели адрес вида 10.42.0.0, сейчас они 192.168.0.0....и поменять их на 10.42.0.0 не предоставляется возможным....вот я и хотел бы реализовать редирект чтобы пакеты приходящие из вне с адресом назначения 10.42.0.0 уходили на 192.168.0.5, ну и обратно.

>если вы в нате делаете редирект, то редиректиться будут пакеты как минимум
>приехавшие на шнешний интерфейс ... при пинге с самого шлюза этого
>имхо не произойдёт.
>

Хмм...согласен :)....а каким образом мне затестить это дело со стороны внешки? т.е. смоделировать ситуацию что пакеты приходит на внешную сетевую карту. (пинговать из инета не предлагать)

>P.S. может уточнить задачку? и условия не мешает уточнить...

Вроде уточнил....если нужно что еще говорите.

>>Мне вот интересно как на внешнем интерфейсе может появиться пакет для 10.42.0.2
>>? 10.0.0.0/8 - есть серая сеть. (это так... для начала)
>
>эти пакеты придут на интерфейс интернета посредством VPN.

где, кто и каким образом поднимает сервер VPN? какие адреса раздаются?
подозреваю что раздаются серые адреса, пакеты с такими адресами будут появляться не на внешнем интерфейса а на интерфейсах VPN-соединений.

для теста поднимите внутри сети машинку с нужным адресом ... проверьте на внутреннем интерфейсе пакеты для этой машинки... если будут ходить, значит без редиректа удалённые машинки попадают в ваше адресное пространство ...
а вот редиректить в этой ситуёвине.... хм.... можно попробовать второй natd, но боюсь как бы каша не получилась ... надо смотреть что происходит и думать .... если второй natd, то на внутреннем интерфейсе, с параметром реверс (если не ошибаюсь)...

P.S. а вообще, не проще ли пересмотреть своё адресное пространство? чем городить огород? :)