Суть проблемы такова.
modem - de0 - настроен мостом, 192.168.1.2;
internet - ng0 - pppoe, внешний адрес X.X.X.X;
LAN - de1 - локальная сеть 192.168.0.0/24;
Не могу попасть на управление модемом 192.168.1.1 - web интерфейс.
Ядро собрано
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options IPDIVERT
options DUMMYNET
options DEVICE_POLLING
options LIBALIAS
options NETGRAPH
options NETGRAPH_IPFW
options NETGRAPH_NAT
options NETGRAPH_NETFLOW
options NETGRAPH_SPLIT
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_TEE
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_SOCKET
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_UI
options NETGRAPH_L2TP
options NETGRAPH_ASYNC
options NETGRAPH_TTY
options NETGRAPH_LMI
options NETGRAPH_RFC1490
options NETGRAPH_FRAME_RELAY
options NETGRAPH_HOLE
options NETGRAPH_CISCO
Файервол: ipfw show
00011 10041 5119206 count ip from any to any in via ng0
00012 9913 1543577 count ip from any to any out via ng0
00013 16648 1515720 count ip from any to any in via de1
00014 11191 10191916 count ip from any to any out via de1
00100 11747 1338280 allow ip from any to any via lo0
00250 9 448 fwd 192.168.1.1,80 tcp from any to me dst-port 13811
00300 19882 3303300 nat 100 ip from table(1) to any
00330 10032 5118774 nat 100 ip from any to 92.113.204.136
00980 1292 325328 allow ip from any to any
65535 0 0 deny ip from any to any
НАТ настроен так:
${fwcmd} nat 100 config ip 92.113.204.136 log same_ports redirect_port tcp 192.168.1.1:80 23385
# ipfw table 1 list
92.113.204.136/32 0
192.168.0.0/24 0
192.168.1.0/24 0
В rc.conf:
defaultrouter="195.5.5.200"
ifconfig_de0="inet 192.168.1.2 netmask 255.255.255.0"
ifconfig_de1="inet 192.168.0.200 netmask 255.255.255.0"
gateway_enable="YES"
В локальной сети 192.168.0.0/24 куча машин - интернет есть.
А на 192.168.1.1 попасть не могу
http://92.113.204.136:13811 - не работает,
http://92.113.204.136:23385 - не работает,
http://192.168.0.200:13811 - не работает,
http://192.168.0.200:23385 - не работает.
Что подскажете?
>[оверквотинг удален]
>gateway_enable="YES"
>
>В локальной сети 192.168.0.0/24 куча машин - интернет есть.
>А на 192.168.1.1 попасть не могу
>http://92.113.204.136:13811 - не работает,
>http://92.113.204.136:23385 - не работает,
>http://192.168.0.200:13811 - не работает,
>http://192.168.0.200:23385 - не работает.
>
>Что подскажете?Что-то нагородили, для чего?
Лишнее уберите, проверьте правила и разрешения на самом модеме, должно и так все работать, без изврата с портами.
Правило 250 уберите (закомментируйте для проверки)
В правиле ната редирект порта также убрать, оставиь можно даже и так
nat 100 config if ng0 reset deny_in unreg_only same_portsПотом, что за адрес 92.113.204.136 Выдается динамически?
Скорее всего статика, так?
Тогда почему у вас дефолтный маршрут 195.5.5.200
и зачем вам для связи с одним адресом на модеме целая сеть класса С
оставьте пару адресов, вам хватит
ifconfig_de0="inet 192.168.1.2 netmask 255.255.255.252"
соответственно на модеме прописать 192.168.1.1 netmask 255.255.255.252
или 192.168.1.1/30 (смотря как там у вас)
Ну и добавить в фаервол необходимые правила для управления по web модемом,
можно (даже нужно), чтобы пропускало только одну вашу машинку, во избежании, так сказать
Реальный IP действительно динамический, скриптами из mpd5 управляются правила firewall, дефолтный маршрут так-же динамический, выдается провайдером при соединении iface route default. Сервер работает в HYPER-V и заморачиваться с Гномами не камельфо (естественно, весь геморой отпал бы, если на прямую обращаться с FreeBSD на подключенный модем, или изменить ему if на 192.168.0.Х, но не то, не это не подходит по некоторым соображениям). Пользователи за сервером 192.168.0.0/24 прекрасно пользуются раздаваемым им интернетом и не должны знать о присутствии еще одного устройства в их сети, кроме администратора, который из любого места расположения хочет попасть в панель управления модемом, будь-то 92.11х.ххх.ххх:13811 или 192.168.0.200:13811. IP адрес высылается при изминении на почтовый ящик избранным для попадания по pptp в 192.168.0.0/24 сеть.
Я догадываюся что нужно прописать раутинг, но, все мои попытки тщетны по причине криворукости или недостатка мозгов-опыта.
Может пересобрать ядро с options IPFIREWALL_DEFAULT_TO_ACCEPT ?Помогите пожалуйста прописать роутинг или изменить форвардинг.
>[оверквотинг удален]
>раздаваемым им интернетом и не должны знать о присутствии еще одного
>устройства в их сети, кроме администратора, который из любого места расположения
>хочет попасть в панель управления модемом, будь-то 92.11х.ххх.ххх:13811 или 192.168.0.200:13811. IP
>адрес высылается при изминении на почтовый ящик избранным для попадания по
>pptp в 192.168.0.0/24 сеть.
>Я догадываюся что нужно прописать раутинг, но, все мои попытки тщетны по
>причине криворукости или недостатка мозгов-опыта.
>Может пересобрать ядро с options IPFIREWALL_DEFAULT_TO_ACCEPT ?
>
>Помогите пожалуйста прописать роутинг или изменить форвардинг.options IPFIREWALL_DEFAULT_TO_ACCEPT это из другой оперы (пропустить/разрешить прхождение по умолчанию)
Маршрутизация у вас уже включена - gateway_enable="YES"
Ну и добавьте в фаервол разрешающие правила для вас, ну типа того
ipfw add 1 allow all from 192.168.0.200/32 to 192.168.1.0/30
ipfw add 2 allow all from 192.168.1.0/30 to 192.168.0.200/32IP 192.168.0.200/32 соответственно ваш
и запретить остальным
ipfw add 3 deny all from 192.168.0.0/24 to 192.168.1.1/32А вы собрались еще и извне на модем попадать? На бридж?
Вообще - да, на модем. А какая разница? Может вместо него будит какой-нибудь ВЕБ-сервер и вообще с другим адресом, например 172.16.32.123 (другая часть сети фирмы), или сервер терминалов с адресом 172.16.32.100:3389. И нужно это дело через 92.1х.х.х:ХХХХ пропускать. Как быть в таком случае?