https://www.opennet.me/openforum/vsluhforumID1/84924.html Доброго времени суток!<br>Возникла проблемка с перенаправлением трафика.<br>Есть такая ситауция:<br>локалка - AD, mail на Win2k3; firewall на FreeBSD (ipwf). Инетернет через ADSL (pppoe). У пользователей в настройках почтовых клиентов сервера pop и smtp записаны как ip-адрес внешнего интерфейса машины с FreeBSD (т.е. реальный ip).<br>Вопрос: как перенаправить трафик, идущий из локальной сети на адрес внешнего интерфейса (на порты 995 и 465) роутера назад в локальную сеть?<br><br>на данный момент перенаправление частично работает - пакет уходит с FreeBSD назад в локальную сеть, но к клиенту уже не возвращается. точнее он то приходит, "SYN ACK" но с Seq=0 и Ack=0. Соответственно, клиент посилает серверу Rst.<br><br>10.0.0.2 - mail-server<br>10.0.0.205 - client<br>12.34.56.78 - ip внешнего интерфейса на FreeBSD<br><br>в конфиге ipfw для почты записано:<br><br>${fw} add divert natd tcp from 10.0.0.205 to 12.34.56.78 pop3s<br>${fw} add divert natd tcp from 10.0.0.2 pop3s to 10.0.0.205 <br><br><br>natd.conf:<br><br>use_sockets yes<br>same_ports https://www.opennet.me/openforum/vsluhforumID1/84924.html#10 Tue, 28 Apr 2009 21:39:02 GMT &gt;Доброго времени суток! <br>&gt;Возникла проблемка с перенаправлением трафика. <br>&gt;Есть такая ситауция: <br><br>Исходя из постановки вопроса не вполне понятно зачем все это нагорожено. <br>Есть подозрение что можно все сделать проще. Например почему бы клиентам внутри сети не соединяться напрямую с 10.0.0.2 ?<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#9 Thu, 16 Apr 2009 13:16:10 GMT &gt;попробуй поднять второй нат на внутреннем интерфесе со своим конфигом и сделать <br>&gt;редирект <br><br>с самого начала такое пробовал - не получилось. либо я че-то напутал. ещё буду работать в этом направлении.<br><br>&gt;иии на будущее - прописывай в клиентах не айпи а имена, тогда <br>&gt;подняв днс сервак можно гибко манипулировать айпишниками для клиентов не меня <br>&gt;собственно последние на самих клиентах <br><br>конечно по именам легче, но у меня кроме как по айпишке к внешнему интерфейсу извне не доступишься.<br><br>&gt;ЗЫ про алиас я такто прикололся ) глупый вариант )<br><br>глупый, но как временный - сойдет.<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#8 Thu, 16 Apr 2009 09:52:16 GMT &gt;спасибо, этот вариант работает. но хотелось бы без алиасов. должно же быть <br>&gt;решение... <br><br>я так понимаю нат у тебя поднят на внешнем интерфейси<br>попробуй поднять второй нат на внутреннем интерфесе со своим конфигом и сделать редирект<br>думаю сработает<br>хотя блин к чему такие танцы ...<br>иии на будущее - прописывай в клиентах не айпи а имена, тогда подняв днс сервак можно гибко манипулировать айпишниками для клиентов не меня собственно последние на самих клиентах<br><br>ЗЫ про алиас я такто прикололся ) глупый вариант )<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#7 Thu, 16 Apr 2009 09:46:06 GMT предыдущие два сообщения гон - темы перепутал<br><br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#6 Thu, 16 Apr 2009 09:43:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;если через fwd, то комп 10.0.0.2 получит пакет с адресом получателя 12.34.56.78. <br>&gt;&gt;&gt;&gt;результата никакого <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;заведите алиас на 12.34.56.78 на 10.0.0.2 ))) <br>&gt;&gt;<br>&gt;&gt;спасибо, этот вариант работает. но хотелось бы без алиасов. должно же быть <br>&gt;&gt;решение... <br>&gt;<br>&gt;ааа попробуйка ты то что уходит с соурс айпи второго интерфейса (который <br>&gt;у тебя не дефаулт роут) форвардить на шлюз этого интерфейса <br><br>я просто подобную хему собираюсь мострячить поэтому тож интересно знать теоретически все гладко или нет так что ты не ленися отпеши потом<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#5 Thu, 16 Apr 2009 09:42:20 GMT &gt;&gt;&gt;&gt;ipfw fwd ? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;если через fwd, то комп 10.0.0.2 получит пакет с адресом получателя 12.34.56.78. <br>&gt;&gt;&gt;результата никакого <br>&gt;&gt;<br>&gt;&gt;заведите алиас на 12.34.56.78 на 10.0.0.2 ))) <br>&gt;<br>&gt;спасибо, этот вариант работает. но хотелось бы без алиасов. должно же быть <br>&gt;решение... <br><br>ааа попробуйка ты то что уходит с соурс айпи второго интерфейса (который у тебя не дефаулт роут) форвардить на шлюз этого интерфейса<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#4 Thu, 16 Apr 2009 08:58:26 GMT &gt;&gt;&gt;ipfw fwd ? <br>&gt;&gt;<br>&gt;&gt;если через fwd, то комп 10.0.0.2 получит пакет с адресом получателя 12.34.56.78. <br>&gt;&gt;результата никакого <br>&gt;<br>&gt;заведите алиас на 12.34.56.78 на 10.0.0.2 ))) <br><br>спасибо, этот вариант работает. но хотелось бы без алиасов. должно же быть решение...<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#3 Thu, 16 Apr 2009 08:25:24 GMT &gt;&gt;ipfw fwd ? <br>&gt;<br>&gt;если через fwd, то комп 10.0.0.2 получит пакет с адресом получателя 12.34.56.78. <br>&gt;результата никакого <br><br>заведите алиас на 12.34.56.78 на 10.0.0.2 )))<br> https://www.opennet.me/openforum/vsluhforumID1/84924.html#2 Thu, 16 Apr 2009 08:22:43 GMT &gt;ipfw fwd ? <br><br>если через fwd, то комп 10.0.0.2 получит пакет с адресом получателя 12.34.56.78. результата никакого<br>