Уважаемые коллеги,
Возникли трудности с пробросом портов на сервера находящиеся за натом (ipnat).
Схема следующая:
На входе стоит маршрутизатор Cisco 3825 который держит внешний сетевой адрес "х.х.х.х", за маршрутизатором стоит мой роутер FreeBSD 8.1+ipnat+ipfw с сетевым адресом 10.212.11.3 и шлюзом 10.212.11.1(коммутатор ядра). Уже за роутером находятся пользовательские и серверные подсети, моя серверная подсеть 10.212.9.0/24 со шлюзом 10.212.9.1 (мой BSD).Так вот в чем проблема!!! На циске мне прокидывают порт 22 с внешнего адреса "х.х.х.х" на внутренний адрес 10.212.9.5 (SSH), проброс идет сразу напрямую на сервер 10.212.9.5, и соотвенно проброс не работает, так как подсеть 10.212.9.5 за натом 10.212.11.3
Получается что пакет приходит с адреса "х.х.х.х" на порт 22 адреса 10.212.9.5 и затем ответные пакеты уходят по нату через адрес 10.212.11.3, из-за чего не устанавливается ssh сессия.
В IPNAT прописаны следующее правила.
#NAT
map bce2 10.212.9.0/24 -> 10.212.11.3/32
Если добавить правило для адреса 10.212.9.5
map bce2 10.212.9.5/32 -> 0.0.0.0/0
то проброс работает, но перестает работать интернет на данном сервере ( это очень критично для почтовых и прокси серверов), видимо потому что я на нем закрываю НАТ данным правилом.
Возможно в ipnat можно как-то закрыть НАТ для определенных портов ?
Подскажите мне пожалуйста как настроить трансляцию для того , чтобы все пробросы работали правильно ?