https://slinkov.ru/openforum/vsluhforumID1/84258.html Господа!<br>Имеем следующую проблему.<br>Есть роутер на базе FreeBSD. Соединение с провом - pppoe.<br>За NATом роутера компьютеры с разнообразным виндоуз.<br>Есть сайт который открывается напрямую с роутера (или если подрубать любую виндовую машину напрямую)<br>Но не открывается из внутренней сети.<br><br>router# ifconfig<br>rl0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> ether 00:02:44:2d:8f:86<br> inet 10.19.18.8 netmask 0xfffffc00 broadcast 10.19.19.255<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>rl1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=8&lt;VLAN_MTU&gt;<br> ether 00:c0:0c:72:69:2c<br> inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255<br> media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br> status: active<br>vr0: flags=8802&lt;BROADCAST,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br> options=2808&lt;VLAN_MTU,WOL_UCAST,WOL_MAGIC&gt;<br> ether 0 https://slinkov.ru/openforum/vsluhforumID1/84258.html#35 Sat, 28 Feb 2009 10:40:13 GMT Итак, проблема решена.<br>Спасибо за помощь, друзья! )<br><br>добавил в пакетфильтр строку <br>nat on $ext_if proto tcp from $int_if/24 to 81.9.101.68/32 -&gt; ($ext_if)<br><br>все работает. тема закрыта.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#34 Sat, 28 Feb 2009 10:23:59 GMT А вот пингуем media-portal.ru c опущенным(!!!!) динамическим интерфейсом!!! &gt;=E<br><br>router# ping 81.9.101.68<br>PING 81.9.101.68 (81.9.101.68): 56 data bytes<br>64 bytes from 81.9.101.68: icmp_seq=0 ttl=62 time=0.746 ms<br>64 bytes from 81.9.101.68: icmp_seq=1 ttl=62 time=0.626 ms<br>64 bytes from 81.9.101.68: icmp_seq=2 ttl=62 time=0.702 ms<br>64 bytes from 81.9.101.68: icmp_seq=3 ttl=62 time=0.603 ms<br><br>отсюда делается ясно, почему пакеты не проходят через NAT.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#33 Sat, 28 Feb 2009 09:39:45 GMT &gt;может все же правила pf? <br>&gt;<br>&gt;pfctl -sn <br>&gt;pfctl -sr <br><br>router# pfctl -sn<br>nat-anchor "ftp-proxy/*" all<br>no nat on ng0 inet proto tcp from 192.168.0.3 to any port = aol<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = ssh -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = smtp -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = domain -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = http -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = pop3 -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = https -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = rdp -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = aol -&gt; (ng0) round-robin<br>nat on ng0 inet proto tcp from 192.168.0.0/24 to any port = 49155 -&gt; (ng0) round-robin<br>nat on ng0 inet proto udp from 192.168.0.0/24 to any port = domain - https://slinkov.ru/openforum/vsluhforumID1/84258.html#32 Sat, 28 Feb 2009 09:35:07 GMT &gt;можешь ли ты контролировать названия динамических интерфейсов и, соотвественно опираться на них <br>&gt;в своих правилах? <br><br>Вот, собственно, пакетфильтр в том виде, на котором все и тестируется:<br><br>router# more /etc/pf.conf<br>ext_if = "rl0"<br># внешний интерфейс<br>int_if = "rl1"<br># внутрений интерфейс<br>pppoe_if = "ng0"<br># динамический интерфейс<br>lo_if = "lo0"<br># lo0<br>lan_nets = "{ 192.168/16, 10/8, 172.16/12 }"<br># разрешенные сети<br>nat_allowed_tcp_ports="{ 22, 25, 53, 80, 110, 443, 5190, 49155 }"<br># разрешенные порты TCP<br>nat_allowed_udp_ports="{ 53 }"<br># разрешенные порты UDP<br><br>nat-anchor "ftp-proxy/*"<br>rdr-anchor "ftp-proxy/*"<br># якоря для работы FTP<br><br>no nat on $pppoe_if proto tcp from 192.168.0.3/32 to any port 5190<br># не пускаем icq с определенного ip<br>nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -&gt; ($pppoe_if)<br># пробрасываем через NAT рапзрешенные порты TCP<br>nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -&gt; ($pppoe_if)<br># пробрасываем через NA https://slinkov.ru/openforum/vsluhforumID1/84258.html#31 Sat, 28 Feb 2009 01:34:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;02:03:00.109992 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br>&gt;&gt;02:03:00.119460 213.180.204.8 -&gt; 81.222.235.35 ICMP Echo (ping) reply<br>&gt;&gt;02:03:01.120416 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br>&gt;<br>&gt;может все же правила pf? <br>&gt;<br>&gt;pfctl -sn <br>&gt;pfctl -sr <br>&gt;<br>&gt;а, через pfctl -ss смотрите текущие соединения, или pftop <br><br>nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -&gt; ($pppoe_if)<br>nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -&gt; ($pppoe_if)<br><br>а как это прокоментируете? тут все нормально?<br><br>прилепил не туда вопрос ((. но если ответите буду очень благодарен.<br><br>кстати pppoe интерфейс - динамический. отсуда вопросы:<br>1)<br>$pppoe_if и $int_if - это адреса или названия интерфейсов?<br>2)<br>можешь ли ты контролировать названия динамических интерфейсов и, соотвественно опираться на них в своих правилах?<br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#30 Sat, 28 Feb 2009 01:30:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;именно, поэтому и хочется видеть что творится при этом на rl0 <br>&gt;&gt;<br>&gt;&gt;23:56:59.016026 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;&gt;23:57:02.010820 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;&gt;23:57:08.015479 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;&gt;<br>&gt;&gt;на rl0 при запросе из внутренней сети (192.168.0.3) <br>&gt;<br>&gt;если это действительно на rl0, то NAT похоже не отработал, по моему <br>&gt;тут уже должен быть 10.19.18.8, а не 192.168.0.3 <br><br>однозначно не отработал. если это ловится снифером на выходе интерфейса. если ловится на уровне ядра... хотя нет - такой бред бсд бы не позволила... стало быть не работает нат<br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#29 Sat, 28 Feb 2009 01:26:26 GMT &gt;<br>&gt;&gt;именно, поэтому и хочется видеть что творится при этом на rl0 <br>&gt;<br>&gt;23:56:59.016026 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;23:57:02.010820 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;23:57:08.015479 192.168.0.3 -&gt; 81.9.101.68 TCP 53931 &gt; http [SYN] Seq=0 Win=8192 Len=0 MSS=1460<br>&gt;<br>&gt;на rl0 при запросе из внутренней сети (192.168.0.3) <br><br>я просто линуксоид. так что мне ориентироваться в названиях интерфейсов и правил пакетного фильтра только по интуиции приходится )<br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#28 Sat, 28 Feb 2009 00:16:59 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;ага. так оно и есть ( <br>&gt;<br>&gt;причем только для этого сайта. ( <br>&gt;а вот, например, пингуем ya.ru -- смотрим непосредственно на pppoe-интерфейсе: <br>&gt;router# tshark -i ng0 -t a host 213.180.204.8 <br>&gt;Capturing on ng0 <br>&gt;02:03:00.109992 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br>&gt;02:03:00.119460 213.180.204.8 -&gt; 81.222.235.35 ICMP Echo (ping) reply<br>&gt;02:03:01.120416 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br><br>может все же правила pf?<br><br>pfctl -sn<br>pfctl -sr<br><br>а, через pfctl -ss смотрите текущие соединения, или pftop<br> https://slinkov.ru/openforum/vsluhforumID1/84258.html#27 Fri, 27 Feb 2009 23:14:54 GMT &gt;если это действительно на rl0, то NAT похоже не отработал, по моему <br>&gt;тут уже должен быть 10.19.18.8, а не 192.168.0.3 <br><br>ага. так оно и есть (<br><br>причем только для этого сайта. (<br>а вот, например, пингуем ya.ru -- смотрим непосредственно на pppoe-интерфейсе:<br>router# tshark -i ng0 -t a host 213.180.204.8<br>Capturing on ng0<br>02:03:00.109992 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br>02:03:00.119460 213.180.204.8 -&gt; 81.222.235.35 ICMP Echo (ping) reply<br>02:03:01.120416 81.222.235.35 -&gt; 213.180.204.8 ICMP Echo (ping) request<br><br><br><br><br>