вот моя проблема, на шлюзе я к основному ип адресу я добавил 2ва алиаса (адреса реальные, пинговались). мне нужно настроить брэндмауэр таким образом,
чтобы трафик, попадая на один из внешних адресов ( 77.37.888.888), перенаправлялся на машину во внутренней сети с ip адресом 172.18.1.18 ,
а поведение трафика, попадающего на другой алиас (77.37.999.999), должно быть таким, чтобы весь трафик с 443 порта внешнего интерфейса перенаправлялся на 443 порт
внутреннего компьютера, с ip адресом 172.18.1.18. Трафик наружу должен выходить через тот же интерфейс через который попал вовнутрь.
К сожалению, мне никак не удается это настроить. Трафик на внутренние интерфейсы не перенаправляется.
Снаружи алиасы не пингуются. Изнутри тоже у этих внутренних компьютеров (172.18.1.20 и 172.18.1.18) доступа в инет нет
То что у меня в конфиге адреса типа 77.37.888.888 и 77.37.999.999 не должно смущать, я просто немного замаскировал реальные ip адреса своего сервера
вот вывод настроек моего брэндмауэра при помощи команды ipfw -at show
00001 78452 72703089 Mon Jan 3 20:15:20 2011 skipto 3 ip from any to any layer2 in
00001 77023 72679343 Mon Jan 3 20:15:20 2011 skipto 8 ip from any to any not layer2 in
00001 105171 73699503 Mon Jan 3 20:15:20 2011 skipto 8 ip from any to any not layer2 out
00001 81100 72446642 Mon Jan 3 20:15:20 2011 skipto 3 ip from any to any layer2 out
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003 0 0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 78445 72702661 Mon Jan 3 20:15:20 2011 allow ip from any to any layer2 in
00005 81096 72445838 Mon Jan 3 20:15:20 2011 allow ip from any to any layer2 out
00040 0 0 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
00041 225 18000 Mon Jan 3 20:15:19 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
00042 3 192 Mon Jan 3 20:12:38 2011 allow log logamount 100 ip from 172.18.1.18 to any out via wan_nks
00043 0 0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
00050 328 22084 Mon Jan 3 20:15:20 2011 allow ip from any to me dst-port 22
00051 304 54096 Mon Jan 3 20:15:20 2011 allow ip from me 22 to any
00054 0 0 allow ip from any to me dst-port 5222
00055 0 0 allow ip from me 5222 to any
00056 0 0 allow ip from any to me dst-port 5223
00057 0 0 allow ip from me 5223 to any
00058 0 0 allow ip from any to me dst-port 5269
00059 0 0 allow ip from me 5269 to any
00060 0 0 allow ip from any to me dst-port 5280
00061 0 0 allow ip from me 5280 to any
00062 80 5288 Mon Jan 3 20:15:20 2011 allow udp from any to me dst-port 53
00063 26 3345 Mon Jan 3 20:15:01 2011 allow udp from me to any dst-port 53
00210 40 1810 Mon Jan 3 20:14:56 2011 queue 22 ip from table(1) to any out via wan_nks
00211 40 1810 Mon Jan 3 20:14:56 2011 skipto 300 ip from table(1) to any out via wan_nks
00212 0 0 queue 33 ip from table(2) to any out via wan_nks
00213 0 0 skipto 300 ip from table(2) to any out via wan_nks
00214 1 40 Mon Jan 3 20:14:37 2011 queue 44 ip from table(3) to any out via wan_nks
00215 1 40 Mon Jan 3 20:14:37 2011 skipto 300 ip from table(3) to any out via wan_nks
00216 24422 1292888 Mon Jan 3 20:15:20 2011 queue 11 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any out via wan_nks
00230 40 1810 Mon Jan 3 20:14:56 2011 queue 2 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00231 40 1810 Mon Jan 3 20:14:56 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
00232 0 0 queue 3 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00233 0 0 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
00234 386 27616 Mon Jan 3 20:15:17 2011 queue 4 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00235 386 27616 Mon Jan 3 20:15:17 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
00236 47940 70347926 Mon Jan 3 20:15:20 2011 queue 1 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27
00300 24028 1081656 Mon Jan 3 20:15:20 2011 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_nks
00403 191 15940 Mon Jan 3 20:15:19 2011 divert 8669 ip from any to 77.37.888.888 in recv wan_nks
00404 10 520 Mon Jan 3 20:15:03 2011 divert 8670 ip from any to 77.37.999.999 in recv wan_nks
00405 48770 70930814 Mon Jan 3 20:15:20 2011 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nks
00408 435 213082 Mon Jan 3 20:15:19 2011 divert 8668 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 out xmit wan_nks
00560 0 0 allow ip from any to any via ng*
00561 0 0 allow ip from any to any via tun*
00562 0 0 allow ip from any to any via wan_comcore_vp1
00563 77114 72024067 Mon Jan 3 20:15:20 2011 allow ip from any to any via lan
01500 0 0 check-state
01510 0 0 allow tcp from any to me dst-port 1723 in via wan_nks
01511 0 0 allow gre from any to any in via wan_nks
01511 0 0 allow tcp from any to 172.18.6.5 dst-port 22 in via wan_nks
01512 202 17442 Mon Jan 3 20:15:19 2011 allow icmp from any to any in via wan_nks
01512 0 0 allow tcp from any to 172.18.6.3 dst-port 22 in via wan_nks
01513 0 0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01514 0 0 allow tcp from any to 172.18.5.5 dst-port 80 in via wan_nks
01515 0 0 allow tcp from any to 172.18.5.5,172.18.5.5 dst-port 25,465,143,993,110,995 in via wan_nks
01519 0 0 allow tcp from any to 172.18.6.4 dst-port 22 in via wan_nks
01525 3 148 Mon Jan 3 20:13:57 2011 allow log logamount 100 ip from any to 172.18.1.20 in via 77.37.888.888
01526 0 0 allow log logamount 100 ip from 172.18.1.20 to any out via 77.37.888.888
01531 0 0 allow ip from any to me dst-port 30011
40200 79805 73041848 Mon Jan 3 20:15:20 2011 allow ip from any to any
65535 1393 686525 Mon Jan 3 20:12:12 2011 allow ip from any to any
Вся проблема , как мне кажется в правилах
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nks
т.е. на исходящее диверт не работает , я пробовал самые разные варианты - но не получилось :(
В чем дело я не понимаю, в правилах под номером 44 и 45 я разрешил трафик к и от внутреннему адресу.
Наты (их у меня три) у меня запущены и работают
вот вывод ps aux | grep nat
root 675 0,0 0,1 14056 3012 ?? Ss чт15 21:45,37 /sbin/natd -f /etc/natd.conf -n wan_nks
root 4632 0,0 0,1 13032 1200 ?? Ss чт16 0:01,01 natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
root 4634 0,0 0,1 13032 1276 ?? Is чт16 0:00,12 natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999
вот содержание
/etc/natd2.conf
redirect_address 172.18.1.20 77.37.888.888
/etc/natd3.conf
redirect_port tcp 172.18.1.18:https https
дополнительные наты запускаются командами
natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999
Вот что в логах tail -f /var/log/security
Jan 3 20:58:46 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan 3 20:58:49 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
Jan 3 21:04:38 gw kernel: ipfw: 1525 Accept TCP 203.170.22.40:80 172.18.1.20:26550 in via wan_nks
Jan 3 21:06:24 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan 3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
Jan 3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan 3 21:06:30 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
Jan 3 21:07:32 gw kernel: ipfw: 1525 Accept TCP 61.14.177.27:80 172.18.1.20:17068 in via wan_nks
Jan 3 21:09:06 gw kernel: ipfw: 1525 Accept TCP 61.147.68.211:6000 172.18.1.20:1080 in via wan_nks
Jan 3 21:10:57 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan 3 21:11:00 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
Jan 3 21:11:46 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
Jan 3 21:11:49 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
буду очень благодарен за помощь , уже почти неделю бьюсь над этой задачей.
P.S.
Если нужно уточнить какие либо параметры , что то проверить - пишите - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ
Вариант для распечатки
