форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Проблема с пробросом портов во внутреннюю сеть за  (ipnat+ipfw)"	+/–
Сообщение от ramdell (ok) on 08-Янв-11, 00:01
Уважаемые коллеги, Возникли трудности с  пробросом портов на сервера находящиеся за натом (ipnat). Схема  следующая: На входе стоит маршрутизатор Cisco 3825 который держит внешний сетевой адрес "х.х.х.х", за маршрутизатором стоит мой роутер FreeBSD 8.1+ipnat+ipfw с сетевым адресом 10.212.11.3 и шлюзом 10.212.11.1(коммутатор ядра). Уже за роутером находятся пользовательские и серверные подсети, моя серверная подсеть 10.212.9.0/24 со шлюзом 10.212.9.1 (мой BSD). Так вот в чем проблема!!! На циске мне прокидывают порт 22 с внешнего адреса "х.х.х.х" на внутренний адрес 10.212.9.5 (SSH), проброс идет сразу напрямую на сервер 10.212.9.5, и соотвенно проброс не работает, так как подсеть 10.212.9.5 за натом 10.212.11.3 Получается что пакет приходит с адреса "х.х.х.х" на порт 22 адреса 10.212.9.5 и затем ответные пакеты уходят по нату через адрес 10.212.11.3, из-за чего не устанавливается ssh сессия. В IPNAT прописаны следующее правила. #NAT map bce2 10.212.9.0/24 -> 10.212.11.3/32 Если добавить правило для адреса 10.212.9.5 map bce2 10.212.9.5/32 -> 0.0.0.0/0 то проброс работает, но перестает работать интернет на данном сервере ( это очень критично для почтовых и прокси серверов), видимо потому что я на нем закрываю НАТ данным правилом. Возможно в ipnat можно как-то закрыть НАТ для определенных портов ? Подскажите мне пожалуйста как  настроить трансляцию для того , чтобы все пробросы работали правильно ?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с пробросом портов во внутреннюю сеть за  (ipnat+ipfw)"	+/–
Сообщение от ramdell (ok) on 08-Янв-11, 00:06
>[оверквотинг удален] > #NAT > map bce2 10.212.9.0/24 -> 10.212.11.3/32 > Если добавить правило для адреса 10.212.9.5 > map bce2 10.212.9.5/32 -> 0.0.0.0/0 > то проброс работает, но перестает работать интернет на данном сервере ( это > очень критично для почтовых и прокси серверов), видимо потому что я > на нем закрываю НАТ данным правилом. > Возможно в ipnat можно как-то закрыть НАТ для определенных портов ? > Подскажите мне пожалуйста как  настроить трансляцию для того , чтобы все > пробросы работали правильно ? При попытке соединения вижу примерно следующее: ipnat -l | grep 10.212.9.5 10.212.9.5 22 <-> 10.212.11.3 <-> 22 95.223.11.45   Но соединение не происходит Если добавлено второе правило (map bce2 10.212.9.5/32 -> 0.0.0.0/0 ) , то видно следующее 10.212.9.5 22 <-> 10.212.9.5 <-> 22 95.223.11.45 Соединение устанавливается успешно !, но инет на сервере пропадает :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проблема с пробросом портов во внутреннюю сеть за  (ipnat+ipfw)"	+/–
	Сообщение от AdVv (ok) on 08-Янв-11, 02:48
	>>[оверквотинг удален] >> #NAT >> map bce2 10.212.9.0/24 -> 10.212.11.3/32 > Но соединение не происходит > Если добавлено второе правило (map bce2 10.212.9.5/32 -> 0.0.0.0/0 ) > , то видно следующее > 10.212.9.5 22 <-> 10.212.9.5 <-> 22 95.223.11.45 > Соединение устанавливается успешно !, но инет на сервере пропадает :( Если честно, то навскидку непонятно НИФИГА. Разрисуйте хоть схемку чтоль ...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Проблема с пробросом портов во внутреннюю сеть за  (ipnat+ipfw)"	+/–
	Сообщение от ramdell (ok) on 08-Янв-11, 08:24
	>>>[оверквотинг удален] >>> #NAT >>> map bce2 10.212.9.0/24 -> 10.212.11.3/32 >> Но соединение не происходит >> Если добавлено второе правило (map bce2 10.212.9.5/32 -> 0.0.0.0/0 ) >> , то видно следующее >> 10.212.9.5 22 <-> 10.212.9.5 <-> 22 95.223.11.45 >> Соединение устанавливается успешно !, но инет на сервере пропадает :( > Если честно, то навскидку непонятно НИФИГА. Разрисуйте хоть схемку чтоль ...                                 Cisco 3825                                (x.x.x.x) -внешний IP                                 __________                                |__________| if0(10.212.11.1) -внутренний интерфейс                                   /    \       Коммутатор ядра Cisco [1]  /      \   Коммутатор ядра Cisco [2]                                 /        \             if(10.212.12.2)|:::::::|   |:::::::| if(10.212.11.2)                                 \        /                                  \      /                                   \    /                bce1(10.212.12.1)|-------| bce2(10.12.11.3) - NAT                                 | BSD   | gw 10.212.11.1                                 |_______|                                     |                                     | bce0 (10.212.9.2)                                     |                              Подсеть:10.212.9.0/24 gw:10.212.9.2                              Подсеть:10.212.0.0/23 gw:10.212.12.1
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема