URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85378
[ Назад ]

Исходное сообщение
"И снова IPFW, natd и redirect_port"
Отправлено Aivan , 22-Май-09 11:53

Несколько дней в поисках решения проблемы не привели к должному результату..
Есть локалка провайдера, работает по схеме: Инет_внешний--->Роутер_DLink--->Шлюз_на_Freebsd-->Локалка
Пытаюсь зделать проброс порта со шлюза на машину в локалке таким образом:
00055       6         300 divert 8669 ip from any to 192.168.0.5 dst-port 6112
00057       0           0 allow ip from any to 10.10.10.1 dst-port 6112
00058       0           0 allow ip from 10.10.10.1 6112 to any
ps ax|grep natd
4810  ??  Ss     3:55,81 /sbin/natd -a 192.168.0.5
5874  ??  Is     0:00,00 natd -a 192.169.0.5 -p 8669 -f /etc/natd.conf
cat /etc/natd.conf
same_ports yes
use_sockets yes
redirect_port tcp 10.10.10.1:6112 6112
redirect_port udp 10.10.10.1:6112 6112
В ipfw видно, что пакеты попадают в natd и не выходят из него. Кто что может посоветовать?
Правила ipfw максимально упростил для получения рабочего вида, секьюрность будет потом.
uname -v
FreeBSD 7.1-BETA2 #1: Wed Dec 10 17:30:31 EET 2008

Содержание

И снова IPFW, natd и redirect_port,Новичок, 12:01 , 22-Май-09
- И снова IPFW, natd и redirect_port,Aivan, 12:07 , 22-Май-09
  - И снова IPFW, natd и redirect_port,Kos, 12:25 , 22-Май-09
    - И снова IPFW, natd и redirect_port,Pahanivo, 12:33 , 22-Май-09
      - И снова IPFW, natd и redirect_port,Aivan, 14:59 , 22-Май-09

Сообщения в этом обсуждении

"И снова IPFW, natd и redirect_port"
Отправлено Новичок , 22-Май-09 12:01

>00055       6  300 divert 8669 ip from any to 192.168.0.5 dst-port 6112
>00057       0   0 allow ip from any to 10.10.10.1 dst-port 6112
>00058       0   0 allow ip from 10.10.10.1 6112 to any
Мне кажется у вас нет правило которое бы заварачивало бы от 192.168.0.5 dst-port 6112 в NAT
Удачи!

"И снова IPFW, natd и redirect_port"
Отправлено Aivan , 22-Май-09 12:07

>Мне кажется у вас нет правило которое бы заварачивало бы от 192.168.0.5
>dst-port 6112 в NAT
>
>Удачи!
Так вот же оно, самое первое
00055 6 300 divert 8669 ip from any to 192.168.0.5 dst-port 6112

"И снова IPFW, natd и redirect_port"
Отправлено Kos , 22-Май-09 12:25

>>Мне кажется у вас нет правило которое бы заварачивало бы от 192.168.0.5
>>dst-port 6112 в NAT
>>
>>Удачи!
>
>Так вот же оно, самое первое
>
>00055 6 300 divert 8669
>ip from any to 192.168.0.5 dst-port 6112
Вы "к" и "от" различаете?
Ваше правило заворачивает "к", а вот обратный трафик никуда не заворачивается...

"И снова IPFW, natd и redirect_port"
Отправлено Pahanivo , 22-Май-09 12:33

>[оверквотинг удален]
>>>Удачи!
>>
>>Так вот же оно, самое первое
>>
>>00055 6 300 divert 8669
>>ip from any to 192.168.0.5 dst-port 6112
>
>Вы "к" и "от" различаете?
>
>Ваше правило заворачивает "к", а вот обратный трафик никуда не заворачивается...
привелите свой полнй фаервол

"И снова IPFW, natd и redirect_port"
Отправлено Aivan , 22-Май-09 14:59

Всем спасибо, проблему решил!! :-)
Выкладываю рабочий конфиг:
natd -p 8669 -n em0 -redirect_port tcp 10.10.10.1:6112 6112
natd -p 8670 -n em0 -redirect_port udp 10.10.10.1:6112 6112
ipfw add 55 divert 8669 tcp from any to 192.168.0.5 dst-port 6112 via em0
ipfw add 56 divert 8670 udp from any to 192.168.0.5 dst-port 6112 via em0
ipfw add 57 divert 8669 tcp from 10.10.10.1 to any via em0
ipfw add 58 divert 8670 udp from 10.10.10.1 to any via em0
ipfw add 59 allow ip from any to 10.10.10.1 dst-port 6112
ipfw add 60 allow ip from 10.10.10.1 6112 to any