Задача, получить доступ из вне, на комп во внутренней сети 192.168.250.2 на апач сервер (порт 80)Имеется "рутер", на котором есть 2 сетевухи:
1. bfe0 - локальная сеть 192.168.250.0
2. rl1 - сетевуха на сеть провайдера для VPN################################
bfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::2e0:18ff:fed0:5814%bfe0 prefixlen 64 scopeid 0x1
inet 192.168.250.1 netmask 0xffffff00 broadcast 192.168.250.255
ether 00:e0:18:d0:58:14
media: Ethernet autoselect (100baseTX <full-duplex>)
status: activerl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet6 fe80::250:bfff:fee7:152d%rl1 prefixlen 64 scopeid 0x3
inet 10.0.87.19 netmask 0xffffff00 broadcast 10.0.87.255
ether 00:05:5d:49:ce:fa
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
################################MPD конектиться и генериться новое соедиение ng1:
################################
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::2e0:18ff:fed0:5814%ng1 prefixlen 64 scopeid 0x7
inet 87.224.151.19 --> 172.30.0.1 netmask 0xffffffff
################################
/etc/rc.conf:################################
hostname="firewall.lalala"firewall_enable="YES"
gateway_enable="YES"ifconfig_bfe0="inet 192.168.250.1 netmask 255.255.255.0"
ifconfig_rl1="inet 10.0.87.19 netmask 255.255.255.0"static_routes="kab_vpn_server"
route_kab_vpn_server="-host 10.0.0.1 10.0.87.1"
################################
правила для файрвола следующие:################################
inet=ng1
home=rl1
inet_ip=87.224.151.19
client_ip=192.168.250.2/sbin/ipfw -f flush
/sbin/ipfw add divert natd ip from ${client_ip} to any out via ${inet}
/sbin/ipfw add divert natd ip from any to ${inet_ip} in via ${inet}/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add allow ip from any to any via ${inet}
/sbin/ipfw add allow ip from any to any via ${home}
################################и запускаю:
natd -n ng1
все. после этого из локалки с компа 192.168.250.2 - я вижу весь интернет! это супер просто. не ужели спустя неделю я настроил НАТ!! ((
проблема в другом.. на этом компе 192.168.250.2 есть APACHE (www) и мне надо из вне к нему достучаться. т.е. на 80 порт
никак не могу сделать, перепробывал все, уже запутался...
файрвол по умолчанию пропускает ВСЕ.
ЛЮДИ ПОМОГИТЕ!!! ГОРИТ. Время ИДЕТ, сервера не доступны (( Спасайте!
смотр natd на предмет ключа redirect_port и будет тебе счастье
имею следующее:2 VPN тунеля
##############################################
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
inet 87.224.151.109 --> 172.30.0.1 netmask 0xffffffff
inet6 fe80::2e0:18ff:fed0:5814%ng0 prefixlen 64 scopeid 0x8ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
inet 217.144.184.64 --> 217.114.0.65 netmask 0xffffffff
inet6 fe80::2e0:18ff:fed0:5814%ng1 prefixlen 64 scopeid 0x9
##############################################bfe0 - сетевуха на локальную сеть 192.168.250.0/24
##############################################
Internet:
Destination Gateway Flags Refs Use Netif Expire
10.0.0.1 10.0.87.1 UGHS 0 30099 rl2
10.0.31/24 link#2 UC 0 0 rl0
10.0.31.1 00:0e:84:2e:e1:00 UHLW 3 0 rl0 983
10.0.87/24 link#4 UC 0 0 rl2
10.0.87.1 00:15:58:4a:d5:45 UHLW 2 0 rl2 214
87.224.151.109 lo0 UHS 0 0 lo0
localhost localhost UH 0 29 lo0
172.30.0.1 87.224.151.109 UH 0 0 ng0
192.168.250 link#1 UC 0 0 bfe0
192.168.250.2 00:80:48:b6:a7:d2 UHLW 1 764 bfe0 949
192.168.250.3 00:0e:2e:64:ef:39 UHLW 1 16814 bfe0 879
217.114.0.2 10.0.31.1 UGHS 0 854 rl0
astra.sky.ru 64.184-144-217.sky UH 0 0 ng1
ns.sky.ru 10.0.31.1 UGHS 0 33 rl0
64.184-144-217.sky lo0 UHS 0 0 lo0
##############################################
подключены два VPNа, >>>дефолтного рутера нету<<<, правила в файрволе такие:
##############################################
00100 371 17681 divert 8668 log logamount 100 ip from any to any via ng0
00300 0 0 allow ip from any to any via lo0
00400 6816 1158448 allow ip from any to any via bfe0
00500 371 17681 allow ip from any to any via ng0
00600 3 144 allow ip from any to any via ng1
65535 326243 34279378 allow ip from any to any
##############################################все открыто тока для тестов
запущены два НАТа,, описываю тока один, т.к. пока с ним надо разобраться, а со вторым разбирусь по аналогии:
##############################################
firewall# cat /etc/natd.conf
use_sockets yes
same_ports yes
unregistered_only yes
deny_incoming no
verbose no
log no
port 8668
alias_address 87.224.151.109
redirect_port tcp 192.168.250.2:80 87.224.151.109:80
redirect_port tcp 192.168.250.2:21 87.224.151.109:21
redirect_port tcp 192.168.250.2:20 87.224.151.109:20
##############################################значит, если ставлю деволный рутер в ВПНконекте, все отлично, из вне любого места, я вижу и захожу на сайт на внутрелокальный комп 192.168.250.2:80 (работает NATD+редирект - супер!), если шлюза нет - то пакеты не знают куда идти.
объясните пожалуйста, как (видимо файрволом) сказать пакетам, что им нужно направляться на определенный шлюз, читал про ipfw add fwd - но моих знаней сети не хватает. статей по Source routing не нашел. сказали его использовать.