URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12812
[ Назад ]

Исходное сообщение
"Проблема с NATD (из локалки доступ есть) а как сделать доступ внутрь?"

Отправлено netic , 17-Фев-07 09:47 
Задача, получить доступ из вне, на комп во внутренней сети 192.168.250.2 на апач сервер (порт 80)

Имеется "рутер", на котором есть 2 сетевухи:

1. bfe0 - локальная сеть 192.168.250.0
2. rl1 - сетевуха на сеть провайдера для VPN

################################
bfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::2e0:18ff:fed0:5814%bfe0 prefixlen 64 scopeid 0x1
        inet 192.168.250.1 netmask 0xffffff00 broadcast 192.168.250.255
        ether 00:e0:18:d0:58:14
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet6 fe80::250:bfff:fee7:152d%rl1 prefixlen 64 scopeid 0x3
        inet 10.0.87.19 netmask 0xffffff00 broadcast 10.0.87.255
        ether 00:05:5d:49:ce:fa
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
################################

MPD конектиться и генериться новое соедиение ng1:

################################
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
        inet6 fe80::2e0:18ff:fed0:5814%ng1 prefixlen 64 scopeid 0x7
        inet 87.224.151.19 --> 172.30.0.1 netmask 0xffffffff
################################


/etc/rc.conf:

################################
hostname="firewall.lalala"

firewall_enable="YES"
gateway_enable="YES"

ifconfig_bfe0="inet 192.168.250.1  netmask 255.255.255.0"
ifconfig_rl1="inet 10.0.87.19 netmask 255.255.255.0"

static_routes="kab_vpn_server"
route_kab_vpn_server="-host 10.0.0.1 10.0.87.1"
################################


правила для файрвола следующие:

################################
inet=ng1
home=rl1
inet_ip=87.224.151.19
client_ip=192.168.250.2

/sbin/ipfw -f flush
/sbin/ipfw add divert natd ip from ${client_ip} to any out via ${inet}
/sbin/ipfw add divert natd ip from any to ${inet_ip} in via ${inet}

/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add allow ip from any to any via ${inet}
/sbin/ipfw add allow ip from any to any via ${home}
################################

и запускаю:

natd -n ng1

все. после этого из локалки с компа 192.168.250.2 - я вижу весь интернет! это супер просто. не ужели спустя неделю я настроил НАТ!! ((

проблема в другом.. на этом компе 192.168.250.2 есть APACHE (www) и мне надо из вне к нему достучаться. т.е. на 80 порт

никак не могу сделать, перепробывал все, уже запутался...

файрвол по умолчанию пропускает ВСЕ.

ЛЮДИ ПОМОГИТЕ!!! ГОРИТ. Время ИДЕТ, сервера не доступны (( Спасайте!


Содержание

Сообщения в этом обсуждении
"Проблема с NATD (из локалки доступ есть) а как сделать досту..."
Отправлено shaman , 17-Фев-07 11:45 
смотр natd на предмет ключа redirect_port и будет тебе счастье



"Проблема с NATD (из локалки доступ есть) а как сделать досту..."
Отправлено netic , 18-Фев-07 19:26 
имею следующее:

2 VPN тунеля

##############################################
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
        inet 87.224.151.109 --> 172.30.0.1 netmask 0xffffffff
        inet6 fe80::2e0:18ff:fed0:5814%ng0 prefixlen 64 scopeid 0x8

ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
        inet 217.144.184.64 --> 217.114.0.65 netmask 0xffffffff
        inet6 fe80::2e0:18ff:fed0:5814%ng1 prefixlen 64 scopeid 0x9
##############################################

bfe0 - сетевуха на локальную сеть 192.168.250.0/24

##############################################
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
10.0.0.1           10.0.87.1          UGHS        0    30099    rl2
10.0.31/24         link#2             UC          0        0    rl0
10.0.31.1          00:0e:84:2e:e1:00  UHLW        3        0    rl0    983
10.0.87/24         link#4             UC          0        0    rl2
10.0.87.1          00:15:58:4a:d5:45  UHLW        2        0    rl2    214
87.224.151.109     lo0                UHS         0        0    lo0
localhost          localhost          UH          0       29    lo0
172.30.0.1         87.224.151.109     UH          0        0    ng0
192.168.250        link#1             UC          0        0   bfe0
192.168.250.2      00:80:48:b6:a7:d2  UHLW        1      764   bfe0    949
192.168.250.3      00:0e:2e:64:ef:39  UHLW        1    16814   bfe0    879
217.114.0.2        10.0.31.1          UGHS        0      854    rl0
astra.sky.ru       64.184-144-217.sky UH          0        0    ng1
ns.sky.ru          10.0.31.1          UGHS        0       33    rl0
64.184-144-217.sky lo0                UHS         0        0    lo0
##############################################


подключены два VPNа, >>>дефолтного рутера нету<<<, правила в файрволе такие:


##############################################
00100    371    17681 divert 8668 log logamount 100 ip from any to any via ng0
00300      0        0 allow ip from any to any via lo0
00400   6816  1158448 allow ip from any to any via bfe0
00500    371    17681 allow ip from any to any via ng0
00600      3      144 allow ip from any to any via ng1
65535 326243 34279378 allow ip from any to any
##############################################

все открыто тока для тестов

запущены два НАТа,, описываю тока один, т.к. пока с ним надо разобраться, а со вторым разбирусь по аналогии:

##############################################
firewall# cat /etc/natd.conf
use_sockets yes
same_ports yes
unregistered_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address 87.224.151.109
redirect_port tcp 192.168.250.2:80 87.224.151.109:80
redirect_port tcp 192.168.250.2:21 87.224.151.109:21
redirect_port tcp 192.168.250.2:20 87.224.151.109:20
##############################################

значит, если ставлю деволный рутер в ВПНконекте, все отлично, из вне любого места, я вижу и захожу на сайт на внутрелокальный комп 192.168.250.2:80 (работает NATD+редирект - супер!), если шлюза нет - то пакеты не знают куда идти.

объясните пожалуйста, как (видимо файрволом) сказать пакетам, что им нужно направляться на определенный шлюз, читал про ipfw add fwd - но моих знаней сети не хватает. статей по Source routing не нашел. сказали его использовать.