>Есть банка FreeBSD 4.7 с тремя сетевыми картами:
>ed0 - локалка,
>ed1 - инет,
>ed2 - апач.
>На банке стоит непрозрачный squid+ipfw. Появилась необходимость в вэб-сервере.
>
>На ed1 запустил над:
>redireсt_port tcp APACHE_SERV:80 80 redirect_port tcp apache_privat_ip:80 gateway_public_ip:80
>redirect_address APACHE_SERV INET
второе правило не надо - обратно все уйдет нормально через нат
>
>
>fw:
># squid
>add deny tcp from any to 192.168.200.1 8080 in via ed1 это правило имеет смысл только после дайверта
>add allow all from 192.168.200.1 to any out via ed1
это парвило вообще не имеет смысла
>[оверквотинг удален]
>
>add allow tcp from any 1024-65535 to 192.168.200.1 1024-65535 in via ed1
>established
>add allow tcp from 192.168.200.0/18 to 192.168.200.1 8080 in via ed0
>add allow tcp from 192.168.200.1 8080 to 192.168.200.0/18 out via ed0 established
>
># web
>add divert natd all from 192.168.221.2 to any out via ed1
>add divert natd all from any to INET in via ed1
>add allow all from 85.202.1.34 to any out via ed1
как я понял INET это внешний айпи - логи фильтрации мне слабо понятна
>add allow all from any to 192.168.221.2 in via ed1
>add allow tcp from any to 192.168.221.2 via ed2
>add allow tcp from 192.168.221.2 to any via ed2
>
>
>Внутри сетки по адресу 192.168.221.2 сайт доступен, а с внешней нет.
>Проблема думаю в том, что данные из внешки приходят на сквид и бред - как вообще данные из внешки (вход коннекты) могут приходить на сквид?
>нат на 80 порт и нат их не ловит.
вы помоему серъезно путаете направления соединений 80 порта
>У кого-н есть советы?
бери в руки tcpdump и вперед
