https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html Доброго дня.<br>Не получается настроить reverse nat на FreeBSD на основе ipfw.<br>ng8 - внутренний интерфейс<br>em2 - внешний интерфейс<br>конфигурация ipfw<br>nat 1 config if ng8 same_ports reset reverse<br>nat 1 ip from 10.8.0.103 to 194.87.0.50 via ng8<br>nat 1 ip from 194.87.0.50 to any (на примере, на один внешний адрес)<br><br>Пакеты маскирутся, уходят на внешний адрес. Снаружи возвращаются на брандмауэр и дальше проблема. Пакеты не демаскируются.<br><br>Подскажите, в чем может быть проблема?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#9 Fri, 27 May 2011 09:37:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt; а почему пакет должен выйти наружу через внутренний интерфейс? (вернее если быть <br>&gt;&gt; точным пакет уйдет с внутреннего через внешний) маршрутизация подскажет куда нужно <br>&gt;&gt; идти.<br>&gt; Все правильно. для пакета нужно подсказать, что прийти он должен на внутренний <br>&gt; интерфейс как транзитный. Дальше правилом повесить на nat. Работает, если сделать <br>&gt; следующим образом: <br>&gt; ipfw nat 1 config ip &lt;IP&gt; <br>&gt; IP должен быть отличным от ip-адреса внутреннего интерфейса. Например, какой нибудь из <br>&gt; того же диапазона адресов. Ну или собственно вообще какой угодно, главное <br>&gt; чтобы маршруты правильно были настроены.<br><br>сорри <br>ipfw nat 1 config ip &lt;IP&gt; reverse<br>а вот если дальше сделать redirect_addr....<br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#8 Thu, 26 May 2011 04:46:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; все представления входящий/исходящий переворачиваются. По аналогии прямого nat, на nat <br>&gt;&gt;&gt; мы вешаем как исходящий поток, так и входящий, если смотреть со <br>&gt;&gt;&gt; стороны роутера.<br>&gt;&gt; ответный пакет пришел. пришел на внешний интерфейс.<br>&gt; Хорошо, согласен. А есть ли предложения?<br>&gt;&gt; С какой радости он решит выйти наружу из раутера через внутренний интерфейс, <br>&gt;&gt; чтобы его там подхватил нат и сделал обратное преобразование?<br>&gt; а почему пакет должен выйти наружу через внутренний интерфейс? (вернее если быть <br>&gt; точным пакет уйдет с внутреннего через внешний) маршрутизация подскажет куда нужно <br>&gt; идти.<br><br>Все правильно. для пакета нужно подсказать, что прийти он должен на внутренний интерфейс как транзитный. Дальше правилом повесить на nat. Работает, если сделать следующим образом:<br>ipfw nat 1 config ip &lt;IP&gt;<br>IP должен быть отличным от ip-адреса внутреннего интерфейса. Например, какой нибудь из того же диапазона адресов. Ну или собственно вообще какой угодно, главное чтобы маршруты https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#7 Wed, 25 May 2011 19:52:19 GMT &gt;&gt; но в таблице маскировки/демаскировки пакетов должна соответствовать запись?<br>&gt;&gt; согласно описанию reverse nat, нат нужно вешать на внутренний интерфейс и тогда <br>&gt;&gt; все представления входящий/исходящий переворачиваются. По аналогии прямого nat, на nat <br>&gt;&gt; мы вешаем как исходящий поток, так и входящий, если смотреть со <br>&gt;&gt; стороны роутера.<br>&gt; ответный пакет пришел. пришел на внешний интерфейс.<br><br>Хорошо, согласен. А есть ли предложения?<br><br>&gt; С какой радости он решит выйти наружу из раутера через внутренний интерфейс, <br>&gt; чтобы его там подхватил нат и сделал обратное преобразование?<br><br>а почему пакет должен выйти наружу через внутренний интерфейс? (вернее если быть точным пакет уйдет с внутреннего через внешний) маршрутизация подскажет куда нужно идти.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#6 Wed, 25 May 2011 13:57:34 GMT <br>&gt; но в таблице маскировки/демаскировки пакетов должна соответствовать запись?<br>&gt; согласно описанию reverse nat, нат нужно вешать на внутренний интерфейс и тогда <br>&gt; все представления входящий/исходящий переворачиваются. По аналогии прямого nat, на nat <br>&gt; мы вешаем как исходящий поток, так и входящий, если смотреть со <br>&gt; стороны роутера.<br><br>ответный пакет пришел. пришел на внешний интерфейс.<br>С какой радости он решит выйти наружу из раутера через внутренний интерфейс, чтобы его там подхватил нат и сделал обратное преобразование?<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#5 Wed, 25 May 2011 10:02:37 GMT сорри<br>nat 1 config if em2 same_ports reset <br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#4 Wed, 25 May 2011 10:01:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt; nat 1 config if ng8 same_ports reset reverse <br>&gt;&gt; nat 1 ip from 10.8.0.103 to 194.87.0.50 via ng8 <br>&gt;&gt; nat 1 ip from 194.87.0.50 to any (на примере, на один внешний <br>&gt;&gt; адрес) <br>&gt;&gt; Пакеты маскирутся, уходят на внешний адрес. Снаружи возвращаются на брандмауэр и дальше <br>&gt;&gt; проблема. Пакеты не демаскируются.<br>&gt;&gt; Подскажите, в чем может быть проблема?<br>&gt; AFAIK, nat учитывает направление движения пакета. по признаку "входящий/исходящий" по <br>&gt; отношению к рутеру.<br>&gt; У вас получается, что он попадает в нат оба раза как входящий. <br><br>но в таблице маскировки/демаскировки пакетов должна соответствовать запись?<br>согласно описанию reverse nat, нат нужно вешать на внутренний интерфейс и тогда все представления входящий/исходящий переворачиваются. По аналогии прямого nat, на nat мы вешаем как исходящий поток, так и входящий, если смотреть со стороны роутера.<br>Т.е. согласно этого примера повесить nat:<br>nat 1 config if ng8 same_ports reset<br>nat 1 ip from 10.8.0.103 to 194.87.0.50 via em2<br>nat 1 https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#3 Wed, 25 May 2011 09:54:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; адрес) <br>&gt;&gt;&gt; Пакеты маскирутся, уходят на внешний адрес. Снаружи возвращаются на брандмауэр и дальше <br>&gt;&gt;&gt; проблема. Пакеты не демаскируются.<br>&gt;&gt;&gt; Подскажите, в чем может быть проблема?<br>&gt;&gt; AFAIK, nat учитывает направление движения пакета. по признаку "входящий/исходящий" по <br>&gt;&gt; отношению к рутеру.<br>&gt;&gt; У вас получается, что он попадает в нат оба раза как входящий.<br>&gt; nat 1 ip from 194.87.0.50 to any (на примере, на один внешний <br>&gt; адрес)?<br>&gt; что такое один внешний интерфейс?<br><br>не интерфейс, а адрес. т.е. делаю все телодвижения с nat на один внешний адрес в интернете. я думаю это не критично. можно было собственно сделать <br>nat 1 ip from any to any - результат тотже<br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#2 Wed, 25 May 2011 06:16:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt; nat 1 config if ng8 same_ports reset reverse <br>&gt;&gt; nat 1 ip from 10.8.0.103 to 194.87.0.50 via ng8 <br>&gt;&gt; nat 1 ip from 194.87.0.50 to any (на примере, на один внешний <br>&gt;&gt; адрес) <br>&gt;&gt; Пакеты маскирутся, уходят на внешний адрес. Снаружи возвращаются на брандмауэр и дальше <br>&gt;&gt; проблема. Пакеты не демаскируются.<br>&gt;&gt; Подскажите, в чем может быть проблема?<br>&gt; AFAIK, nat учитывает направление движения пакета. по признаку "входящий/исходящий" по <br>&gt; отношению к рутеру.<br>&gt; У вас получается, что он попадает в нат оба раза как входящий. <br><br>nat 1 ip from 194.87.0.50 to any (на примере, на один внешний адрес)?<br><br>что такое один внешний интерфейс?<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/91636.html#1 Wed, 25 May 2011 04:55:51 GMT &gt;[оверквотинг удален]<br>&gt; ng8 - внутренний интерфейс <br>&gt; em2 - внешний интерфейс <br>&gt; конфигурация ipfw <br>&gt; nat 1 config if ng8 same_ports reset reverse <br>&gt; nat 1 ip from 10.8.0.103 to 194.87.0.50 via ng8 <br>&gt; nat 1 ip from 194.87.0.50 to any (на примере, на один внешний <br>&gt; адрес) <br>&gt; Пакеты маскирутся, уходят на внешний адрес. Снаружи возвращаются на брандмауэр и дальше <br>&gt; проблема. Пакеты не демаскируются.<br>&gt; Подскажите, в чем может быть проблема?<br><br>AFAIK, nat учитывает направление движения пакета. по признаку "входящий/исходящий" по отношению к рутеру.<br>У вас получается, что он попадает в нат оба раза как входящий.<br><br>