The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка нескольких отдельных натов через алиасы ip  на шлюзе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от sergicus (ok) on 05-Янв-11, 09:18 
вот моя проблема, на шлюзе я к основному ип адресу я добавил 2ва алиаса (адреса реальные, пинговались). мне нужно настроить брэндмауэр таким образом,
чтобы трафик, попадая на один из внешних адресов ( 77.37.888.888), перенаправлялся на машину во внутренней сети с ip адресом 172.18.1.18 ,
а поведение трафика, попадающего на другой алиас (77.37.999.999), должно быть таким, чтобы весь трафик с 443 порта внешнего интерфейса перенаправлялся на 443 порт
внутреннего компьютера, с ip адресом 172.18.1.18. Трафик наружу должен выходить через тот же интерфейс через который попал вовнутрь.


К сожалению, мне никак не удается это настроить. Трафик на внутренние интерфейсы не перенаправляется.
Снаружи алиасы не пингуются. Изнутри тоже у этих внутренних компьютеров (172.18.1.20 и 172.18.1.18) доступа в инет нет

То что у меня в конфиге адреса типа 77.37.888.888 и  77.37.999.999 не должно смущать, я просто немного замаскировал реальные ip адреса своего сервера


вот вывод настроек моего брэндмауэра при помощи команды ipfw -at show

    00001  78452 72703089 Mon Jan  3 20:15:20 2011 skipto 3 ip from any to any layer2 in
    00001  77023 72679343 Mon Jan  3 20:15:20 2011 skipto 8 ip from any to any not layer2 in
    00001 105171 73699503 Mon Jan  3 20:15:20 2011 skipto 8 ip from any to any not layer2 out
    00001  81100 72446642 Mon Jan  3 20:15:20 2011 skipto 3 ip from any to any layer2 out
    00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
    00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
    00003      0        0                         deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
    00004  78445 72702661 Mon Jan  3 20:15:20 2011 allow ip from any to any layer2 in
    00005  81096 72445838 Mon Jan  3 20:15:20 2011 allow ip from any to any layer2 out
    00040      0        0                         allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
    00041    225    18000 Mon Jan  3 20:15:19 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
    00042      3      192 Mon Jan  3 20:12:38 2011 allow log logamount 100 ip from 172.18.1.18 to any out via wan_nks
    00043      0        0                         allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
    00050    328    22084 Mon Jan  3 20:15:20 2011 allow ip from any to me dst-port 22
    00051    304    54096 Mon Jan  3 20:15:20 2011 allow ip from me 22 to any
    00054      0        0                         allow ip from any to me dst-port 5222
    00055      0        0                         allow ip from me 5222 to any
    00056      0        0                         allow ip from any to me dst-port 5223
    00057      0        0                         allow ip from me 5223 to any
    00058      0        0                         allow ip from any to me dst-port 5269
    00059      0        0                         allow ip from me 5269 to any
    00060      0        0                         allow ip from any to me dst-port 5280
    00061      0        0                         allow ip from me 5280 to any
    00062     80     5288 Mon Jan  3 20:15:20 2011 allow udp from any to me dst-port 53
    00063     26     3345 Mon Jan  3 20:15:01 2011 allow udp from me to any dst-port 53
    00210     40     1810 Mon Jan  3 20:14:56 2011 queue 22 ip from table(1) to any out via wan_nks
    00211     40     1810 Mon Jan  3 20:14:56 2011 skipto 300 ip from table(1) to any out via wan_nks
    00212      0        0                         queue 33 ip from table(2) to any out via wan_nks
    00213      0        0                         skipto 300 ip from table(2) to any out via wan_nks
    00214      1       40 Mon Jan  3 20:14:37 2011 queue 44 ip from table(3) to any out via wan_nks
    00215      1       40 Mon Jan  3 20:14:37 2011 skipto 300 ip from table(3) to any out via wan_nks
    00216  24422  1292888 Mon Jan  3 20:15:20 2011 queue 11 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any out via wan_nks
    00230     40     1810 Mon Jan  3 20:14:56 2011 queue 2 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
    00231     40     1810 Mon Jan  3 20:14:56 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(1)
    00232      0        0                         queue 3 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
    00233      0        0                         skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(2)
    00234    386    27616 Mon Jan  3 20:15:17 2011 queue 4 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
    00235    386    27616 Mon Jan  3 20:15:17 2011 skipto 300 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to table(3)
    00236  47940 70347926 Mon Jan  3 20:15:20 2011 queue 1 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27
    00300  24028  1081656 Mon Jan  3 20:15:20 2011 fwd 127.0.0.1,3128 tcp from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to any dst-port 80,8080,8081 out via wan_nks
    00403    191    15940 Mon Jan  3 20:15:19 2011 divert 8669 ip from any to 77.37.888.888 in recv wan_nks
    00404     10      520 Mon Jan  3 20:15:03 2011 divert 8670 ip from any to 77.37.999.999 in recv wan_nks
    00405  48770 70930814 Mon Jan  3 20:15:20 2011 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
    00406      0        0                         divert 8669 ip from 172.18.1.20 to any out via wan_nks
    00407      0        0                         divert 8670 ip from 172.18.1.18 to any out via wan_nks
    00408    435   213082 Mon Jan  3 20:15:19 2011 divert 8668 ip from 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24,200.1.1.0/27 out xmit wan_nks
    00560      0        0                         allow ip from any to any via ng*
    00561      0        0                         allow ip from any to any via tun*
    00562      0        0                         allow ip from any to any via wan_comcore_vp1
    00563  77114 72024067 Mon Jan  3 20:15:20 2011 allow ip from any to any via lan
    01500      0        0                         check-state
    01510      0        0                         allow tcp from any to me dst-port 1723 in via wan_nks
    01511      0        0                         allow gre from any to any in via wan_nks
    01511      0        0                         allow tcp from any to 172.18.6.5 dst-port 22 in via wan_nks
    01512    202    17442 Mon Jan  3 20:15:19 2011 allow icmp from any to any in via wan_nks
    01512      0        0                         allow tcp from any to 172.18.6.3 dst-port 22 in via wan_nks
    01513      0        0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
    01514      0        0                         allow tcp from any to 172.18.5.5 dst-port 80 in via wan_nks
    01515      0        0                         allow tcp from any to 172.18.5.5,172.18.5.5 dst-port 25,465,143,993,110,995 in via wan_nks
    01519      0        0                         allow tcp from any to 172.18.6.4 dst-port 22 in via wan_nks
    01525      3      148 Mon Jan  3 20:13:57 2011 allow log logamount 100 ip from any to 172.18.1.20 in via 77.37.888.888
    01526      0        0                         allow log logamount 100 ip from 172.18.1.20 to any out via 77.37.888.888
    01531      0        0                         allow ip from any to me dst-port 30011
    40200  79805 73041848 Mon Jan  3 20:15:20 2011 allow ip from any to any
    65535   1393   686525 Mon Jan  3 20:12:12 2011 allow ip from any to any

Вся проблема , как мне кажется в правилах
00406 0 0 divert 8669 ip from 172.18.1.20 to any out via wan_nks
00407 0 0 divert 8670 ip from 172.18.1.18 to any out via wan_nks

т.е. на исходящее диверт не работает , я пробовал самые разные варианты - но не получилось :(


В чем дело я не понимаю, в правилах под номером 44 и 45 я разрешил трафик к и от внутреннему адресу.


Наты (их у меня три) у меня запущены и работают
вот вывод ps aux | grep nat

    root      675  0,0  0,1 14056  3012  ??  Ss   чт15     21:45,37 /sbin/natd -f /etc/natd.conf -n wan_nks
    root     4632  0,0  0,1 13032  1200  ??  Ss   чт16      0:01,01 natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
    root     4634  0,0  0,1 13032  1276  ??  Is   чт16      0:00,12 natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999


вот содержание
/etc/natd2.conf

    redirect_address 172.18.1.20   77.37.888.888


/etc/natd3.conf

    redirect_port tcp   172.18.1.18:https   https  


дополнительные наты запускаются командами

    natd -p 8669 -f /etc/natd2.conf -a 77.37.888.888
    natd -p 8670 -f /etc/natd3.conf -a 77.37.999.999

Вот что в логах tail -f /var/log/security

    Jan  3 20:58:46 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
    Jan  3 20:58:49 gw kernel: ipfw: 1525 Accept TCP 95.25.79.208:2239 172.18.1.20:445 in via wan_nks
    Jan  3 21:04:38 gw kernel: ipfw: 1525 Accept TCP 203.170.22.40:80 172.18.1.20:26550 in via wan_nks
    Jan  3 21:06:24 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
    Jan  3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 81.198.242.243:4044 172.18.1.20:445 in via wan_nks
    Jan  3 21:06:27 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
    Jan  3 21:06:30 gw kernel: ipfw: 1525 Accept TCP 77.36.98.84:1049 172.18.1.20:445 in via wan_nks
    Jan  3 21:07:32 gw kernel: ipfw: 1525 Accept TCP 61.14.177.27:80 172.18.1.20:17068 in via wan_nks
    Jan  3 21:09:06 gw kernel: ipfw: 1525 Accept TCP 61.147.68.211:6000 172.18.1.20:1080 in via wan_nks
    Jan  3 21:10:57 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
    Jan  3 21:11:00 gw kernel: ipfw: 1525 Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
    Jan  3 21:11:46 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
    Jan  3 21:11:49 gw kernel: ipfw: 1525 Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks


буду очень благодарен за помощь , уже почти неделю бьюсь над этой задачей.

P.S.
Если нужно уточнить какие либо параметры , что то проверить - пишите - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от de_mone (??) on 05-Янв-11, 16:01 

Как вариант, могу посоветовать следующее:
1. Убрать проброс из IPFW и сделать с помощью rintetd (есть в портах).
2. Понять почему алиасы снаружи не пингуются. Убрать все запрещаюшие правила на них, временно.
3. Неплохо бы было показать ifconfig
4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.
Удачи.


>[оверквотинг удален]
> Accept TCP 74.82.163.3:3329 172.18.1.20:445 in via wan_nks
>     Jan  3 21:11:46 gw kernel: ipfw: 1525
> Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
>     Jan  3 21:11:49 gw kernel: ipfw: 1525
> Accept TCP 88.50.67.7:2956 172.18.1.20:445 in via wan_nks
> буду очень благодарен за помощь , уже почти неделю бьюсь над этой
> задачей.
> P.S.
> Если нужно уточнить какие либо параметры , что то проверить - пишите
> - ОБЯЗАТЕЛЬНО УТОЧНЮ И ПРОВЕРЮ

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от sergicus (ok) on 05-Янв-11, 21:38 
Большое спасибо за ответ

> Как вариант, могу посоветовать следующее:
> 1. Убрать проброс из IPFW и сделать с помощью rintetd (есть в
> портах).

но он вроде не может  udp перебрасывать ,  я тут изучаю http://www.opennet.me/openforum/vsluhforumID1/85701.html&nbs...и здесь http://linux.die.net/man/8/rinetd
а у меня на том интерфейсе должен быть переброс интерфейса на интерфейс   ms sharepoint сервер (т.е. sip )

Я сейчас думаю об ipnate - вроде он лучше natd, единственное что боюсь - дело в том что если напортачу с настройками к серверу (физически) я смогу добратся только после праздников а проблема в том что надо все настроить во время праздников :(((((((

> 2. Понять почему алиасы снаружи не пингуются. Убрать все запрещаюшие правила на
> них, временно.

я убираю все свои нововедения (наты) и пингуются

> 3. Неплохо бы было показать ifconfig

Уж извините но реальные ip адреса сервера я замаскировал

lan: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
    ether 00:14:d1:15:3b:d9
    inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
    inet 192.168.254.2 netmask 0xffffff00 broadcast 192.168.254.255
    inet 172.18.1.1 netmask 0xffffff00 broadcast 172.18.1.255
    inet 172.18.2.1 netmask 0xffffff00 broadcast 172.18.2.255
    inet 172.18.3.1 netmask 0xffffff00 broadcast 172.18.3.255
    inet 172.18.4.1 netmask 0xffffff00 broadcast 172.18.4.255
    inet 172.18.5.1 netmask 0xffffff00 broadcast 172.18.5.255
    inet 192.168.86.1 netmask 0xffffff00 broadcast 192.168.86.255
    inet 192.168.206.1 netmask 0xffffff00 broadcast 192.168.206.255
    inet 192.168.89.1 netmask 0xffffff00 broadcast 192.168.89.255
    inet 192.168.253.2 netmask 0xfffffffc broadcast 192.168.253.3
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
wan_nks: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
    ether 00:14:d1:15:38:af
    inet 95.84.777.777 netmask 0xffffff80 broadcast 95.84.777.777
    inet 77.37.999.999 netmask 0xfffffff8 broadcast 77.37.999.999
    inet 77.37.888.888 netmask 0xfffffff8 broadcast 77.37.888.999
    inet 77.37.777.777 netmask 0xfffffff8 broadcast 77.37.777.777
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active


> 4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.

что то не очень понятно :( в логах. пробую


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от de_mone (??) on 06-Янв-11, 09:35 
Доброе утро.
Вы же не написали, что Вам надо UDP :)
Я бы, на вашем месте попробовал это реализовать на pf вмето ipfw. В свое время, аналогичную задачу я смог решить только так.
Правила будут выглядеть где-то так:

#redirect ports in PF
rdr on tun0 proto { tcp, udp } from any to реальный_адрес  -> серый адрес
nat on tun0 proto { tcp, udp } from  to any серый_адрес-> реальный_адрес
pass in log on внешний_интерфейс proto { tcp, udp } from any to серый_адрес keep state

>[оверквотинг удален]
>  options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
>  ether 00:14:d1:15:38:af
>  inet 95.84.777.777 netmask 0xffffff80 broadcast 95.84.777.777
>  inet 77.37.999.999 netmask 0xfffffff8 broadcast 77.37.999.999
>  inet 77.37.888.888 netmask 0xfffffff8 broadcast 77.37.888.999
>  inet 77.37.777.777 netmask 0xfffffff8 broadcast 77.37.777.777
>  media: Ethernet autoselect (100baseTX <full-duplex>)
>  status: active
>> 4. tcpdump иди trafshow (есть в портах) посмотреть состояние пакетов. Увидите причину.
> что то не очень понятно :( в логах. пробую

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от sergicus (ok) on 06-Янв-11, 20:44 
Большое спасибо за ответ

> Доброе утро.
> Вы же не написали, что Вам надо UDP :)

да моя вина :(


> Я бы, на вашем месте попробовал это реализовать на pf вмето ipfw.

может и сделаю , НО все это мне нужно настроить что бы хоть как то работало во время праздников. Дело в том что я бывало с ipfw попадал что во время настройки брэндмауэра наглухо блокировал доступ к серверо и мне приходилось топать и вручную разблокировать. к сожелению  у меня нет доступа (физического) к серверу (и не будет до окончания  праздников) , я очень боюсь наглухо заблокировать сервак.

Я тут использовал немного другую конфигурацию брэндмауэра, тоже не работает :((( , хотя немного по другому

ipfw -a show

00001   902   825579 allow ip from any to any via lo*
00001    38     3344 allow ip from 192.168.254.0/24 to 192.168.254.0/24
00001 35659 13926580 skipto 3 ip from any to any layer2 in
00001 32364 13761059 skipto 8 ip from any to any not layer2 in
00001 29979 14719424 skipto 8 ip from any to any not layer2 out
00001 30136 14725806 skipto 3 ip from any to any layer2 out
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
00003     0        0 deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
00004 35643 13925624 allow ip from any to any layer2 in
00005 30126 14724232 allow ip from any to any layer2 out
00010  5740   532464 allow ip from any to me dst-port 22
00011  4803  1059984 allow ip from me 22 to any
00013     0        0 allow ip from any to me dst-port 2007
00014     0        0 allow ip from me 2007 to any
00400     0        0 allow ip from any to any via ng*
00400     0        0 allow ip from any to any via tun*
00406     0        0 queue 7 ip from me 3128 to table(3) out via lan
00407     0        0 queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
00408     0        0 queue 5 ip from me 3128 to table(2) out via lan
00409     0        0 queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
00410     0        0 queue 3 ip from me 3128 to table(1) out via lan
00411    39     3876 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
00420    16    14714 queue 1 ip from me 3128 to any out via lan
00421 10066  9952990 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
00539  6963  1376843 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
00540 25848 14058661 allow ip from any to any via lan
01000   216    17928 divert 8669 log logamount 100 ip from any to 77.37.999.999 in recv wan_nks
01001     0        0 divert 8670 log logamount 100 ip from any to 77.37.888.888 in recv wan_nks
01002  9815  9391409 divert 8668 ip from any to 95.84.777.777 in recv wan_nks
01500     0        0 check-state
01592   216    17928 allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
01592   278    21600 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
01592     0        0 allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
01592     0        0 allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
01593     0        0 allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
01594     0        0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01595     0        0 allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
01596     0        0 allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
01597     0        0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
01598     0        0 allow tcp from any to me dst-port 1723 in via wan_nks
01598     0        0 allow gre from any to any in via wan_nks
01599     7      455 allow icmp from any to any in via wan_nks
01599     0        0 allow tcp from any 20 to any in via wan_nks
01599     0        0 allow udp from any to me dst-port 53 in via wan_nks
01599     0        0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
01599     0        0 allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
01600   210    26745 deny log logamount 100 ip from any to any in via wan_nks
02000     0        0 skipto 40000 ip from 172.18.1.20 to any out via wan_nks keep-state
02000     3      879 skipto 40000 ip from 172.18.1.18 to any out via wan_nks keep-state
02000 18272 11379989 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
02000     0        0 skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
02003     0        0 deny ip from any to any out via wan_nks
40001    51     2814 queue 4 ip from table(1) to any out via wan_nks
40002    10     2030 queue 8 ip from table(3) to any out via wan_nks
40003  8651  2015379 queue 2 ip from any to any out via wan_nks
40098     3      879 divert 8670 log logamount 100 ip from 172.18.1.18 to any out via wan_nks
40099     0        0 divert 8669 log logamount 100 ip from 172.18.1.20 to any out via wan_nks
40100  8651  2015379 divert 8668 ip from any to any out via wan_nks
40200 18275 11380870 allow ip from any to any
65535  1522   702305 allow ip from any to any
[root@gw] 01/06/11 /usr/home/serge $

вот вывод tcpdump host 172.18.1.20
когда я с адреса  172.18.1.20 пингую яндекс

20:28:00.018629 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 53773, length 40

а вот выод tcpdump host 172.18.1.20
когда я из дома пингую адрес 77.37.999.999

20:29:24.055828 IP 89.208.244.218 > 172.18.1.20: ICMP echo request, id 22972, seq 7, length 64


больше ничего не выводится,

пинги не проходят

Все остальное по прежнему,

ps aux | grep nat
root      675  0,0  0,1 14056  3008  ??  Ss   30дек10  33:35,89 /sbin/natd -f /etc/natd.conf -n wan_nks
root     4632  0,0  0,1 13032  1196  ??  Ss   30дек10   0:01,29 natd -p 8669 -f /etc/natd2.conf -a 77.37.999.999
root     4634  0,0  0,1 13032  1272  ??  Is   30дек10   0:00,23 natd -p 8670 -f /etc/natd3.conf -a 77.37.888.888

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Настройка нескольких отдельных натов через алиасы ip  на шлюзе"  +/
Сообщение от sergicus (ok) on 08-Янв-11, 15:40 

До сих пор бьюсь не получается :( :( :(

Вот решил убрать natd и использовать ipnat


    $ipfw -at show
    00001  835546  172092829 Sat Jan  8 15:20:36 2011 skipto 3 ip from any to any layer2 in
    00001  806814  174181305 Sat Jan  8 15:20:36 2011 skipto 8 ip from any to any not layer2 in
    00001  991057 1124616689 Sat Jan  8 15:20:36 2011 skipto 8 ip from any to any not layer2 out
    00001  987261 1120645608 Sat Jan  8 15:20:36 2011 skipto 3 ip from any to any layer2 out
    00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:24:8c:76:07:28 in layer2
    00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:22:41:f6:bd:8f in layer2
    00003       0          0                         deny log logamount 100 ip from any to any MAC any 00:22:15:40:f7:4f in layer2
    00004  835533  172090652 Sat Jan  8 15:20:36 2011 allow ip from any to any layer2 in
    00005  987245 1120638943 Sat Jan  8 15:20:36 2011 allow ip from any to any layer2 out
    00009    6604    7421195 Sat Jan  8 15:20:35 2011 allow ip from any to any via lo*
    00010    2018     149831 Sat Jan  8 15:20:36 2011 allow ip from any to me dst-port 22
    00011    1705     292240 Sat Jan  8 15:20:36 2011 allow ip from me 22 to any
    00013       0          0                         allow ip from any to me dst-port 2007
    00014     430      37840 Sat Jan  8 15:20:29 2011 allow ip from me 2007 to any
    00017       0          0                         allow log logamount 100 ip from any to 172.18.1.20 in via wan_nks
    00018    3987     334908 Sat Jan  8 15:20:36 2011 allow log logamount 100 ip from 172.18.1.20 to any out via wan_nks
    00019       0          0                         allow log logamount 100 ip from any to 172.18.1.18 dst-port 443 in via wan_nks
    00020       0          0                         allow log logamount 100 ip from 172.18.1.18 443 to any out via wan_nks
    00021     206      11880 Sat Jan  8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state
    00400       0          0                         allow ip from any to any via ng*
    00400       0          0                         allow ip from any to any via tun*
    00408       0          0                         queue 7 ip from me 3128 to table(3) out via lan
    00408       0          0                         queue 5 ip from me 3128 to table(2) out via lan
    00409       0          0                         queue 7 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(3) out via lan
    00409       0          0                         queue 5 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(2) out via lan
    00410       0          0                         queue 3 ip from me 3128 to table(1) out via lan
    00411   26908   36890859 Sat Jan  8 15:20:36 2011 queue 3 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to table(1) out via lan
    00420       0          0                         queue 1 ip from me 3128 to any out via lan
    00421  139657  121058572 Sat Jan  8 15:20:36 2011 queue 1 ip from not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 to any out via lan
    00539   85360   15570255 Sat Jan  8 15:20:36 2011 fwd 127.0.0.1,3128 ip from not me to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 dst-port 80,8080,8081 in via lan
    00540 1427487 1141886530 Sat Jan  8 15:20:36 2011 allow ip from any to any via lan
    01500       0          0                         check-state
    01593       0          0                         allow tcp from any to 172.18.2.201 dst-port 3389 in via wan_nks
    01594       0          0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
    01595       0          0                         allow tcp from any to 172.18.5.6 dst-port 22 in via wan_nks
    01596       0          0                         allow tcp from any to 172.18.5.5 dst-port 22 in via wan_nks
    01597       0          0                         allow tcp from any to 172.18.6.253 dst-port 22 in via wan_nks
    01598       0          0                         allow tcp from any to me dst-port 1723 in via wan_nks
    01598       0          0                         allow gre from any to any in via wan_nks
    01599     415      50706 Sat Jan  8 15:20:36 2011 allow icmp from any to any in via wan_nks
    01599       0          0                         allow tcp from any 20 to any in via wan_nks
    01599       0          0                         allow udp from any to me dst-port 53 in via wan_nks
    01599       0          0                         allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3 dst-port 80 in via wan_nks
    01599       0          0                         allow tcp from any to 172.18.5.5,172.18.5.4,172.18.5.3,172.18.5.5,172.18.5.4,172.18.5.3 dst-port 25,465,143,993,110,995 in via wan_nks
    01600    1890     419975 Sat Jan  8 15:20:36 2011 deny log logamount 100 ip from any to any in via wan_nks
    02000  266742  132367267 Sat Jan  8 15:20:36 2011 skipto 40000 ip from any to any not dst-port 25,465 out via wan_nks keep-state
    02000       0          0                         skipto 40000 ip from 172.18.5.5,172.18.5.4,172.18.5.3,172.18.3.110 to any out via wan_nks keep-state
    02003       0          0                         deny ip from any to any out via wan_nks
    40001       0          0                         queue 4 ip from table(1) to any out via wan_nks
    40002       0          0                         queue 8 ip from table(3) to any out via wan_nks
    40003  121955   21422992 Sat Jan  8 15:20:36 2011 queue 2 ip from any to any out via wan_nks
    40200  265957  132317013 Sat Jan  8 15:20:36 2011 allow ip from any to any
    65535     145      19964 Sat Jan  8 14:08:06 2011 allow ip from any to any

[root@gw] 01/08/11 /usr/home/serge $ipnat -l

    List of active MAP/Redirect filters:
    map wan_nks 172.18.1.20/32 -> 77.37.999.999/32
    map wan_nks 172.18.1.18/32 -> 77.37.888.888/32
    map wan_nks 172.18.1.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.2.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.3.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.4.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.5.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.6.0/24 -> 95.84.777.777/32
    map wan_nks 172.18.7.0/24 -> 95.84.777.777/32
    rdr wan_nks 95.84.777.777/32 port 80 -> 172.18.5.5 port 80 tcp
    rdr wan_nks 95.84.777.777/32 port 443 -> 172.18.5.5 port 443 tcp
    rdr wan_nks 95.84.777.777/32 port 143 -> 172.18.5.5 port 143 tcp
    rdr wan_nks 95.84.777.777/32 port 993 -> 172.18.5.5 port 993 tcp
    rdr wan_nks 95.84.777.777/32 port 110 -> 172.18.5.5 port 110 tcp
    rdr wan_nks 95.84.777.777/32 port 995 -> 172.18.5.5 port 995 tcp
    rdr wan_nks 95.84.777.777/32 port 25 -> 172.18.5.5 port 25 tcp
    rdr wan_nks 95.84.777.777/32 port 2525 -> 172.18.5.5 port 2525 tcp
    rdr wan_nks 95.84.777.777/32 port 465 -> 172.18.5.5 port 465 tcp
    rdr wan_nks 95.84.777.777/32 port 30021 -> 172.18.5.5 port 22 tcp
    rdr wan_nks 95.84.777.777/32 port 30022 -> 172.18.5.6 port 22 tcp
    rdr wan_nks 95.84.777.777/32 port 30023 -> 172.18.6.253 port 22 tcp
    rdr wan_nks 95.84.777.777/32 port 30024 -> 172.18.2.201 port 3389 tcp
    rdr wan_nks 77.37.888.888/32 port 443 -> 172.18.1.18 port 443 tcp
    bimap wan_nks 77.37.999.999/32 -> 172.18.1.20/32


    List of active sessions:
    здесь есть
    ****
    BIMAP 77.37.999.999    <- -> 172.18.1.20     [89.208.216.52]
    ****

Я пробовал вот еще что
особое внимание на правило 21

00021 206 11880 Sat Jan 8 15:20:35 2011 fwd 77.37.999.999 ip from 172.18.1.20 to not 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 keep-state

если его включаю просмотр страниц отключается, но пинг наружу идет

хотя если не включаю это правило (т.е. брэндмауэр работает без него) пинг тоже идет НО когда я в браузере захожу на 2ip.ru (что бы определить свой адрес) у меня показывается адрес 95.84.777.777 - т.е. основной адрес чего быть не должно - так как весь трафик с компа с адресом 172.18.1.20 должен идти в инет через ip 77.37.999.999

Вот при этом правиле (21 правиле) запускаю tcpdump host 172.18.1.20


    15:22:49.767319 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 46110, length 40
    15:22:49.767343 IP 172.18.1.1 > 172.18.1.20: ICMP echo reply, id 512, seq 46110, length 40

если 21 правила нет то tcpdump host 172.18.1.20 выводит

    15:28:56.597364 IP 172.18.1.20 > www.yandex.ru: ICMP echo request, id 512, seq 24607, length 40


снаружи алиас 77.37.999.999 ни в каком случае не пингуется

Помогите пожалуйста кто межет - уже запутался   , ну где я ошибся не понимаю :(

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру