вот моя проблема, на шлюзе я к основному ип адресу я добавил 2ва алиаса (адреса реальные, пинговались). мне нужно настроить брэндмауэр таким образом,
чтобы трафик, попадая на один из внешних адресов ( 77.37.888.888), перенаправлялся на машину во внутренней сети с ip адресом 172.18.1.18 ,
а поведение трафика, попадающего на другой алиас (77.37.999.999), должно быть таким, чтобы весь трафик с 443 порта внешнего интерфейса перенаправлялся на 443 порт
внутреннего компьютера, с ip адресом 172.18.1.18. Трафик наружу должен выходить через тот же интерфейс через который попал вовнутрь.
К сожалению, мне никак не удается это настроить. Трафик на внутренние интерфейсы не перенаправляется.
Снаружи алиасы не пингуются. Изнутри тоже у этих внутренних компьютеров (172.18.1.20 и 172.18.1.18) доступа в инет нетТо что у меня в конфиге адреса типа 77.37.888.888 и 77.37.999.999 не должно смущать, я просто немного замаскировал реальные ip адреса своего сервера
вот вывод настроек моего брэндмауэра при помощи команды ipfw -at show00001 78452 72703089 Mon Jan 3 20:15:20 2011 skipto 3 ip from any to any layer2 in
00001 77023 72679343 Mon Jan 3 20:15:20 2011 skipto 8 ip from any to any not layer2 in
00001 105171 73699503 Mon Jan 3 20:15:20 2011 skipto 8 ip from any to any not layer2 out
00001 81100 72446642 Mon Jan 3 20:15:20 2011 skipto 3 ip from any to any layer2 out
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 78445 72702661 Mon Jan 3 20:15:20 2011 allow ip from any to any layer2 in
00005 81096 72445838 Mon Jan 3 20:15:20 2011 allow ip from any to any layer2 out
00040 0 0 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
00041 225 18000 Mon Jan 3 20:15:19 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
00042 3 192 Mon Jan 3 20:12:38 2011 allow log logamount 100 ip from 172.18.1.18 to any out via wan_nks
00043 0 0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
00050 328 22084 Mon Jan 3 20:15:20 2011 allow ip from any to me dst-port 22
00051 304 54096 Mon Jan 3 20:15:20 2011 allow ip from me 22 to any
00054 0 0 allow ip from any to me dst-port 5222
00055 0 0 allow ip from me 5222 to any
00056 0 0 allow ip from any to me dst-port 5223
00057 0 0 allow ip from me 5223 to any
00058 0 0 allow ip from any to me dst-port 5269
00059 0 0 allow ip from me 5269 to any
00060 0 0 allow ip from any to me dst-port 5280
00061 0 0 allow ip from me 5280 to any
00062 80 5288 Mon Jan 3 20:15:20 2011 allow udp from any to me dst-port 53
00063 26 3345 Mon Jan 3 20:15:01 2011 allow udp from me to any dst-port 53
00210 40 1810 Mon Jan 3 20:14:56 2011 queue 22 ip from table(1) to any out via wan_nks
00211 40 1810 Mon Jan 3 20:14:56 2011 skipto 300 ip from table(1) to any out via wan_nks
00212 0 0 queue 33 ip from table(2) to any out via wan_nks
00213 0 0 skipto 300 ip from table(2) to any out via wan_nks
00214 1 40 Mon Jan 3 20:14:37 2011 queue 44 ip from table(3) to any out via wan_nks
00215 1 40 Mon Jan 3 20:14:37 2011 skipto 300 ip from table(3) to any out via wan_nks
00216 24422 1292888 Mon Jan 3 20:15:20 2011 queue 11 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any out via wan_nks
00230 40 1810 Mon Jan 3 20:14:56 2011 queue 2 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00231 40 1810 Mon Jan 3 20:14:56 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00232 0 0 queue 3 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00233 0 0 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00234 386 27616 Mon Jan 3 20:15:17 2011 queue 4 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00235 386 27616 Mon Jan 3 20:15:17 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00236 47940 70347926 Mon Jan 3 20:15:20 2011 queue 1 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27
00300 24028 1081656 Mon Jan 3 20:15:20 2011 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_nks
00403 191 15940 Mon Jan 3 20:15:19 2011 divert 8669 ip from any to 77.37.888.888 in recv wan_nks
00404 10 520 Mon Jan 3 20:15:03 2011 divert 8670 ip from any to 77.37.999.999 in recv wan_nks
00405 48770 70930814 Mon Jan 3 20:15:20 2011 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nks
00408 435 213082 Mon Jan 3 20:15:19 2011 divert 8668 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 out xmit wan_nks
00560 0 0 allow ip from any to any via ng*
00561 0 0 allow ip from any to any via tun*
00562 0 0 allow ip from any to any via wan_comcore_vp1
00563 77114 72024067 Mon Jan 3 20:15:20 2011 allow ip from any to any via lan
01500 0 0 check-state
01510 0 0 allow tcp from any to me dst-port 1723 in via wan_nks
01511 0 0 allow gre from any to any in via wan_nks
01511 0 0 allow tcp from any to 172.18.6.5 dst-port 22 in via wan_nks
01512 202 17442 Mon Jan 3 20:15:19 2011 allow icmp from any to any in via wan_nks
01512 0 0 allow tcp from any to 172.18.6.3 dst-port 22 in via wan_nks
01513 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01514 0 0 allow tcp from any to 172.18.5.5 dst-port 80 in via wan_nks
01515 0 0 allow tcp from any to 172.18.5.5,172.18.5.5 dst-port 25,465,143,993,110,995 in via wan_nks
01519 0 0 allow tcp from any to 172.18.6.4 dst-port 22 in via wan_nks
01525 3 148 Mon Jan 3 20:13:57 2011 allow log logamount 100 ip from any to 172.18.1.20 in via 77.37.888.888
01526 0 0 allow log logamount 100 ip from 172.18.1.20 to any out via 77.37.888.888
01531 0 0 allow ip from any to me dst-port 30011
40200 79805 73041848 Mon Jan 3 20:15:20 2011 allow ip from any to any
65535 1393 686525 Mon Jan 3 20:12:12 2011 allow ip from any to anyВся проблема , как мне кажется в правилах
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nksт.е. на исходящее диверт не работает , я пробовал самые разные варианты - но не получилось :(
В чем дело я не понимаю, в правилах под номером 44 и 45 я разрешил трафик к и от внутреннему адресу.
Наты (их у меня три) у меня запущены и работают
вот вывод ps aux | grep natroot 675 0,0 0,1 14056 3012 ?? Ss чт15 21:45,37 /sbin/natd -f /etc/natd.conf -n wan_nks
root 4632 0,0 0,1 13032 1200 ?? Ss чт16 0:01,01 natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
root 4634 0,0 0,1 13032 1276 ?? Is чт16 0:00,12 natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999
вот содержание
/etc/natd2.conf
redirect_address 172.18.1.20 77.37.888.888
/etc/natd3.conf
redirect_port tcp 172.18.1.18:https https
дополнительные наты запускаются командами
natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999Вот что в логах tail -f /var/log/security
Jan 3 20:58:46 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan 3 20:58:49 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan 3 21:04:38 gw kernel: ipfw: 1525 Accept TCP 203.170.22.40:80 172.18.1.20:26550 in via wan_nks
Jan 3 21:06:24 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan 3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan 3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan 3 21:06:30 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan 3 21:07:32 gw kernel: ipfw: 1525 Accept TCP 61.14.177.27:80 172.18.1.20:17068 in via wan_nks
Jan 3 21:09:06 gw kernel: ipfw: 1525 Accept TCP 61.147.68.211:6000 172.18.1.20:1080 in via wan_nks
Jan 3 21:10:57 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan 3 21:11:00 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan 3 21:11:46 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
Jan 3 21:11:49 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
буду очень благодарен за помощь , уже почти неделю бьюсь над этой задачей.P.S.
Если нужно уточнить какие либо параметры , что то проверить - пишите - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ
Как вариант, могу посоветовать следующее:
1. Убрать проброс из IPFW и сделать с помощью rintetd (есть в портах).
2. Понять почему алиасы снаружи не пингуются. Убрать все запрещаюшие правила на них, временно.
3. Неплохо бы было показать ifconfig
4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.
Удачи.
>[оверквотинг удален]
> Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
> Jan 3 21:11:46 gw kernel: ipfw: 1525
> Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
> Jan 3 21:11:49 gw kernel: ipfw: 1525
> Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
> буду очень благодарен за помощь , уже почти неделю бьюсь над этой
> задачей.
> P.S.
> Если нужно уточнить какие либо параметры , что то проверить - пишите
> - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ
Большое спасибо за ответ> Как вариант, могу посоветовать следующее:
> 1. Убрать проброс из IPFW и сделать с помощью rintetd (есть в
> портах).но он вроде не может udp перебрасывать , я тут изучаю http://www.opennet.me/openforum/vsluhforumID1/85701.html&nbs...и здесь http://linux.die.net/man/8/rinetd
а у меня на том интерфейсе должен быть переброс интерфейса на интерфейс ms sharepoint сервер (т.е. sip )Я сейчас думаю об ipnate - вроде он лучше natd, единственное что боюсь - дело в том что если напортачу с настройками к серверу (физически) я смогу добратся только после праздников а проблема в том что надо все настроить во время праздников :(((((((
> 2. Понять почему алиасы снаружи не пингуются. Убрать все запрещаюшие правила на
> них, временно.я убираю все свои нововедения (наты) и пингуются
> 3. Неплохо бы было показать ifconfig
Уж извините но реальные ip адреса сервера я замаскировал
lan: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:14:d1:15:3b:d9
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.254.2 netmask 0xffffff00 broadcast 192.168.254.255
inet 172.18.1.1 netmask 0xffffff00 broadcast 172.18.1.255
inet 172.18.2.1 netmask 0xffffff00 broadcast 172.18.2.255
inet 172.18.3.1 netmask 0xffffff00 broadcast 172.18.3.255
inet 172.18.4.1 netmask 0xffffff00 broadcast 172.18.4.255
inet 172.18.5.1 netmask 0xffffff00 broadcast 172.18.5.255
inet 192.168.86.1 netmask 0xffffff00 broadcast 192.168.86.255
inet 192.168.206.1 netmask 0xffffff00 broadcast 192.168.206.255
inet 192.168.89.1 netmask 0xffffff00 broadcast 192.168.89.255
inet 192.168.253.2 netmask 0xfffffffc broadcast 192.168.253.3
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
wan_nks: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:14:d1:15:38:af
inet 95.84.777.777 netmask 0xffffff80 broadcast 95.84.777.777
inet 77.37.999.999 netmask 0xfffffff8 broadcast 77.37.999.999
inet 77.37.888.888 netmask 0xfffffff8 broadcast 77.37.888.999
inet 77.37.777.777 netmask 0xfffffff8 broadcast 77.37.777.777
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
> 4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.что то не очень понятно :( в логах. пробую
Доброе утро.
Вы же не написали, что Вам надо UDP :)
Я бы, на вашем месте попробовал это реализовать на pf вмето ipfw. В свое время, аналогичную задачу я смог решить только так.
Правила будут выглядеть где-то так:#redirect ports in PF
rdr on tun0 proto { tcp, udp } from any to реальный_адрес -> серый адрес
nat on tun0 proto { tcp, udp } from to any серый_адрес-> реальный_адрес
pass in log on внешний_интерфейс proto { tcp, udp } from any to серый_адрес keep state
>[оверквотинг удален]
> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
> ether 00:14:d1:15:38:af
> inet 95.84.777.777 netmask 0xffffff80 broadcast 95.84.777.777
> inet 77.37.999.999 netmask 0xfffffff8 broadcast 77.37.999.999
> inet 77.37.888.888 netmask 0xfffffff8 broadcast 77.37.888.999
> inet 77.37.777.777 netmask 0xfffffff8 broadcast 77.37.777.777
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
>> 4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.
> что то не очень понятно :( в логах. пробую
Большое спасибо за ответ> Доброе утро.
> Вы же не написали, что Вам надо UDP :)да моя вина :(
> Я бы, на вашем месте попробовал это реализовать на pf вмето ipfw.может и сделаю , НО все это мне нужно настроить что бы хоть как то работало во время праздников. Дело в том что я бывало с ipfw попадал что во время настройки брэндмауэра наглухо блокировал доступ к серверо и мне приходилось топать и вручную разблокировать. к сожелению у меня нет доступа (физического) к серверу (и не будет до окончания праздников) , я очень боюсь наглухо заблокировать сервак.
Я тут использовал немного другую конфигурацию брэндмауэра, тоже не работает :((( , хотя немного по другому
ipfw -a show
00001 902 825579 allow ip from any to any via lo*
00001 38 3344 allow ip from 192.168.254.0/24 to 192.168.254.0/24
00001 35659 13926580 skipto 3 ip from any to any layer2 in
00001 32364 13761059 skipto 8 ip from any to any not layer2 in
00001 29979 14719424 skipto 8 ip from any to any not layer2 out
00001 30136 14725806 skipto 3 ip from any to any layer2 out
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 35643 13925624 allow ip from any to any layer2 in
00005 30126 14724232 allow ip from any to any layer2 out
00010 5740 532464 allow ip from any to me dst-port 22
00011 4803 1059984 allow ip from me 22 to any
00013 0 0 allow ip from any to me dst-port 2007
00014 0 0 allow ip from me 2007 to any
00400 0 0 allow ip from any to any via ng*
00400 0 0 allow ip from any to any via tun*
00406 0 0 queue 7 ip from me 3128 to table(3) out via lan
00407 0 0 queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
00408 0 0 queue 5 ip from me 3128 to table(2) out via lan
00409 0 0 queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
00410 0 0 queue 3 ip from me 3128 to table(1) out via lan
00411 39 3876 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
00420 16 14714 queue 1 ip from me 3128 to any out via lan
00421 10066 9952990 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
00539 6963 1376843 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
00540 25848 14058661 allow ip from any to any via lan
01000 216 17928 divert 8669 log logamount 100 ip from any to 77.37.999.999 in recv wan_nks
01001 0 0 divert 8670 log logamount 100 ip from any to 77.37.888.888 in recv wan_nks
01002 9815 9391409 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
01500 0 0 check-state
01592 216 17928 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
01592 278 21600 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
01592 0 0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
01592 0 0 allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
01593 0 0 allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
01594 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01595 0 0 allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
01596 0 0 allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
01597 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01598 0 0 allow tcp from any to me dst-port 1723 in via wan_nks
01598 0 0 allow gre from any to any in via wan_nks
01599 7 455 allow icmp from any to any in via wan_nks
01599 0 0 allow tcp from any 20 to any in via wan_nks
01599 0 0 allow udp from any to me dst-port 53 in via wan_nks
01599 0 0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
01599 0 0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
01600 210 26745 deny log logamount 100 ip from any to any in via wan_nks
02000 0 0 skipto 40000 ip from 172.18.1.20 to any out via wan_nks keep-state
02000 3 879 skipto 40000 ip from 172.18.1.18 to any out via wan_nks keep-state
02000 18272 11379989 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
02000 0 0 skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
02003 0 0 deny ip from any to any out via wan_nks
40001 51 2814 queue 4 ip from table(1) to any out via wan_nks
40002 10 2030 queue 8 ip from table(3) to any out via wan_nks
40003 8651 2015379 queue 2 ip from any to any out via wan_nks
40098 3 879 divert 8670 log logamount 100 ip from 172.18.1.18 to any out via wan_nks
40099 0 0 divert 8669 log logamount 100 ip from 172.18.1.20 to any out via wan_nks
40100 8651 2015379 divert 8668 ip from any to any out via wan_nks
40200 18275 11380870 allow ip from any to any
65535 1522 702305 allow ip from any to any
[root@gw] 01/06/11 /usr/home/serge $вот вывод tcpdump host 172.18.1.20
когда я с адреса 172.18.1.20 пингую яндекс20:28:00.018629 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 53773, length 40
а вот выод tcpdump host 172.18.1.20
когда я из дома пингую адрес 77.37.999.99920:29:24.055828 IP 89.208.244.218 > 172.18.1.20: ICMP echo request, id 22972, seq 7, length 64
больше ничего не выводится,пинги не проходят
Все остальное по прежнему,
ps aux | grep nat
root 675 0,0 0,1 14056 3008 ?? Ss 30дек10 33:35,89 /sbin/natd -f /etc/natd.conf -n wan_nks
root 4632 0,0 0,1 13032 1196 ?? Ss 30дек10 0:01,29 natd -p 8669 -f /etc/natd2.conf -a 77.37.999.999
root 4634 0,0 0,1 13032 1272 ?? Is 30дек10 0:00,23 natd -p 8670 -f /etc/natd3.conf -a 77.37.888.888
До сих пор бьюсь не получается :( :( :(Вот решил убрать natd и использовать ipnat
$ipfw -at show
00001 835546 172092829 Sat Jan 8 15:20:36 2011 skipto 3 ip from any to any layer2 in
00001 806814 174181305 Sat Jan 8 15:20:36 2011 skipto 8 ip from any to any not layer2 in
00001 991057 1124616689 Sat Jan 8 15:20:36 2011 skipto 8 ip from any to any not layer2 out
00001 987261 1120645608 Sat Jan 8 15:20:36 2011 skipto 3 ip from any to any layer2 out
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 835533 172090652 Sat Jan 8 15:20:36 2011 allow ip from any to any layer2 in
00005 987245 1120638943 Sat Jan 8 15:20:36 2011 allow ip from any to any layer2 out
00009 6604 7421195 Sat Jan 8 15:20:35 2011 allow ip from any to any via lo*
00010 2018 149831 Sat Jan 8 15:20:36 2011 allow ip from any to me dst-port 22
00011 1705 292240 Sat Jan 8 15:20:36 2011 allow ip from me 22 to any
00013 0 0 allow ip from any to me dst-port 2007
00014 430 37840 Sat Jan 8 15:20:29 2011 allow ip from me 2007 to any
00017 0 0 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
00018 3987 334908 Sat Jan 8 15:20:36 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
00019 0 0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
00020 0 0 allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
00021 206 11880 Sat Jan 8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state
00400 0 0 allow ip from any to any via ng*
00400 0 0 allow ip from any to any via tun*
00408 0 0 queue 7 ip from me 3128 to table(3) out via lan
00408 0 0 queue 5 ip from me 3128 to table(2) out via lan
00409 0 0 queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
00409 0 0 queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
00410 0 0 queue 3 ip from me 3128 to table(1) out via lan
00411 26908 36890859 Sat Jan 8 15:20:36 2011 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
00420 0 0 queue 1 ip from me 3128 to any out via lan
00421 139657 121058572 Sat Jan 8 15:20:36 2011 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
00539 85360 15570255 Sat Jan 8 15:20:36 2011 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
00540 1427487 1141886530 Sat Jan 8 15:20:36 2011 allow ip from any to any via lan
01500 0 0 check-state
01593 0 0 allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
01594 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01595 0 0 allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
01596 0 0 allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
01597 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01598 0 0 allow tcp from any to me dst-port 1723 in via wan_nks
01598 0 0 allow gre from any to any in via wan_nks
01599 415 50706 Sat Jan 8 15:20:36 2011 allow icmp from any to any in via wan_nks
01599 0 0 allow tcp from any 20 to any in via wan_nks
01599 0 0 allow udp from any to me dst-port 53 in via wan_nks
01599 0 0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
01599 0 0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
01600 1890 419975 Sat Jan 8 15:20:36 2011 deny log logamount 100 ip from any to any in via wan_nks
02000 266742 132367267 Sat Jan 8 15:20:36 2011 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
02000 0 0 skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
02003 0 0 deny ip from any to any out via wan_nks
40001 0 0 queue 4 ip from table(1) to any out via wan_nks
40002 0 0 queue 8 ip from table(3) to any out via wan_nks
40003 121955 21422992 Sat Jan 8 15:20:36 2011 queue 2 ip from any to any out via wan_nks
40200 265957 132317013 Sat Jan 8 15:20:36 2011 allow ip from any to any
65535 145 19964 Sat Jan 8 14:08:06 2011 allow ip from any to any[root@gw] 01/08/11 /usr/home/serge $ipnat -l
List of active MAP/Redirect filters:
map wan_nks 172.18.1.20/32 -> 77.37.999.999/32
map wan_nks 172.18.1.18/32 -> 77.37.888.888/32
map wan_nks 172.18.1.0/24 -> 95.84.777.777/32
map wan_nks 172.18.2.0/24 -> 95.84.777.777/32
map wan_nks 172.18.3.0/24 -> 95.84.777.777/32
map wan_nks 172.18.4.0/24 -> 95.84.777.777/32
map wan_nks 172.18.5.0/24 -> 95.84.777.777/32
map wan_nks 172.18.6.0/24 -> 95.84.777.777/32
map wan_nks 172.18.7.0/24 -> 95.84.777.777/32
rdr wan_nks 95.84.777.777/32 port 80 -> 172.18.5.5 port 80 tcp
rdr wan_nks 95.84.777.777/32 port 443 -> 172.18.5.5 port 443 tcp
rdr wan_nks 95.84.777.777/32 port 143 -> 172.18.5.5 port 143 tcp
rdr wan_nks 95.84.777.777/32 port 993 -> 172.18.5.5 port 993 tcp
rdr wan_nks 95.84.777.777/32 port 110 -> 172.18.5.5 port 110 tcp
rdr wan_nks 95.84.777.777/32 port 995 -> 172.18.5.5 port 995 tcp
rdr wan_nks 95.84.777.777/32 port 25 -> 172.18.5.5 port 25 tcp
rdr wan_nks 95.84.777.777/32 port 2525 -> 172.18.5.5 port 2525 tcp
rdr wan_nks 95.84.777.777/32 port 465 -> 172.18.5.5 port 465 tcp
rdr wan_nks 95.84.777.777/32 port 30021 -> 172.18.5.5 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30022 -> 172.18.5.6 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30023 -> 172.18.6.253 port 22 tcp
rdr wan_nks 95.84.777.777/32 port 30024 -> 172.18.2.201 port 3389 tcp
rdr wan_nks 77.37.888.888/32 port 443 -> 172.18.1.18 port 443 tcp
bimap wan_nks 77.37.999.999/32 -> 172.18.1.20/32
List of active sessions:
здесь есть
****
BIMAP 77.37.999.999 <- -> 172.18.1.20 [89.208.216.52]
****Я пробовал вот еще что
особое внимание на правило 2100021 206 11880 Sat Jan 8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state
если его включаю просмотр страниц отключается, но пинг наружу идет
хотя если не включаю это правило (т.е. брэндмауэр работает без него) пинг тоже идет НО когда я в браузере захожу на 2ip.ru (что бы определить свой адрес) у меня показывается адрес 95.84.777.777 - т.е. основной адрес чего быть не должно - так как весь трафик с компа с адресом 172.18.1.20 должен идти в инет через ip 77.37.999.999
Вот при этом правиле (21 правиле) запускаю tcpdump host 172.18.1.20
15:22:49.767319 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 46110, length 40
15:22:49.767343 IP 172.18.1.1 > 172.18.1.20: ICMP echo reply, id 512, seq 46110, length 40если 21 правила нет то tcpdump host 172.18.1.20 выводит
15:28:56.597364 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 24607, length 40
снаружи алиас 77.37.999.999 ни в каком случае не пингуетсяПомогите пожалуйста кто межет - уже запутался , ну где я ошибся не понимаю :(