- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. ,
 Pahanivo пробегал, 22:20 , 08-Янв-21 (1)> Добрый день.
> Можете поделится примерным конфигом ipfw c двумя NAT.Это примерно как один NAT, только два надо. Во фре есть пример. > Ситуация такая
> Есть диапазон ip выданный провайдером.
> Есть две локальные сети (10.0.0.0/24, 10.0.1.0/24).
> Примерно так:
> defaultrouter="192.168.100.1"
> ifconfig_ae0="192.168.100.2/29"
> ifconfig_ae0_alias0="192.168.100.3/24"
> ifconfig_re0="10.0.0.1/24"
> ifconfig_re1="10.0.1.1/24" У мну есть вопросы:
1) "2 белых IP на одном интерфейсе" - которые из вышеприведенных по вашим понятиям белые?
2) defrouter один и тот же, зачем два айпи наружу?
3) Если афтор вдруг не в курсе (а ИМХО не в курсе совсем) - то вот это
> ifconfig_ae0="192.168.100.2/29"
> ifconfig_ae0_alias0="192.168.100.3/24" отдает шизой.
4) Что пил афтор с первого числа и сколько? > Почтовый сервер 10.0.0.2
> веб сервер - 10.0.0.3, 10.0.1.3.
> Пользователи - 10.0.0.0/24 Мда. А при чем тут NAT? > Заранее спасибо.
> PS:Извините если тема поднималась. По поиску не нашел Тема жеваная и не раз, и не только тут. Тут просто понимать надо хотя бы что такое ip и как оно ходит.
Афтор решил по быстрому рецептик получить ибо лень даже в конфигах фри посмотреть примеры. Ага.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , yanos, 14:52 , 09-Янв-21 (2)
Спасибо что отозвались.
1) Адреса приведены в качестве примера для наглядности. Мои выглядят по другому. Но смысл в том что их несколько на одном интерфейсе.2) defrouter один и тот же, все верно. 3) Опишу по другому
ifconfig_ae0="192.168.100.2 netmask 255.255.255.248"
ifconfig_ae0_alias0="192.168.100.3 netmask 255.255.255.255" 4) Разное пил. Nat не причем. Извините если не правильно описал.
Имел ввиду что есть две локальные подсети и вопрос в том как правильно сделать редирект. В сети 10.0.0.0/24 есть почтовый сервер 10.0.0.2 и веб сервер 10.0.0.3. У меня просто не работало правило.
nat 1 config log if ae0 reset same_ports deny_in \
redirect_port tcp 10.0.0.3:80 80 \
redirect_port tcp 10.0.0.3:443 443 \
redirect_port tcp 10.0.0.2:25 25 Поэтому просил конфиг чтобы посмотреть очередность прохождения правил, а если бы кто-то делал с двумя nat было бы просто супер. Пока писал появилась мысль что возможно правильнее указывать не интерфейс, а адрес ipfw -q nat 1 config ip 192.168.100.2 reset same_ports deny_in unreg_only \
redirect_port tcp 10.0.0.3:443 443 \
redirect_port tcp 10.0.0.3:80 80 \
redirect_port tcp 10.0.0.2:25 25 ipfw -q nat 2 config ip 192.168.100.3 same_ports reset deny_in unreg_only \
redirect_port tcp 10.0.1.3:80 80 > Афтор решил по быстрому рецептик получить ибо лень даже в конфигах фри
> посмотреть примеры. Ага. Да. Просил помощи (рецептик) думал можно спросить на профильном форуме. Если нельзя, удалите тему. Спрашивал конфиг примерный для того чтобы посмотреть очередность правил, да и вообще сравнить с своим и понять ошибки.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , Licha Morada, 21:22 , 09-Янв-21 (3)
> 3) Опишу по другому
> ifconfig_ae0="192.168.100.2 netmask 255.255.255.248"
> ifconfig_ae0_alias0="192.168.100.3 netmask 255.255.255.255" Дак не в том дело, КАК вы описываете, а ЧТО вы описываете.
Пусть адреса бы были в одной и той-же сети /24, было бы понятно.
Или в разных непересекающихся сетях, тоже имело бы смысл.
Но в разных, пересекающихся, и собственно на пересечении, это либо ошибка, либо роскошные грабли. Может быть это имеет отношение к вашей проблеме, может быть нет. Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT на том-же адресе. Потом добавьте второй адрес и сделайте на нём третий NAT.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , yanos, 12:48 , 11-Янв-21 (7)
> Пусть адреса бы были в одной и той-же сети /24, было бы
> понятно.да, с маской alias0 ошибся. Потом исправился. Не совсем понимаю почему такое внимание к ip на внешнем интерфейсе. Все пингуется. Работает через natd. Но второй экземпляр natd не хочется запускать.
Вот так сейчас выглядит.
defaultrouter="xxx.xxx.185.209"
ifconfig_ae0="xxx.xxx.185.210 netmask 255.255.255.248"
ifconfig_ae0_alias0="xxx.xxx.185.211 netmask 255.255.255.255" > Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT
> на том-же адресе. Потом добавьте второй адрес и сделайте на нём
> третий NAT. Да. Так и делаю.
Спасибо.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , Pahanivo, 13:15 , 11-Янв-21 (8)
>> Пусть адреса бы были в одной и той-же сети /24, было бы
>> понятно.
> Не совсем понимаю почему такое внимание к ip на внешнем интерфейсе. Все пингуется.
> ifconfig_ae0="xxx.xxx.185.210 netmask 255.255.255.248"
> ifconfig_ae0_alias0="xxx.xxx.185.211 netmask 255.255.255.255" Да потому что это граблии - характерный и яркий пример, который гарантированно выстрелит.
Твой алиас является частью уже прописанной сети. Да пингуется, да работает.
Но когда начнется реальное конфигурирование фаервола такими "методами", то начнут вылазить внезапные и не понятные (для тебя точно) косяки, ибо данные косяки позволяют для того же ip xxx.xxx.185.211 как минимум двояко трактовать его принадлежность. > Но второй экземпляр natd не хочется запускать. Ээээээ .... natd???????? Ты серьезна или опять опИсался? >> Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT
>> на том-же адресе. Потом добавьте второй адрес и сделайте на нём
>> третий NAT.
> Да. Так и делаю. Четыре дня собирать типовой фришный кернел-нат?
> Спасибо.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , yanos, 13:53 , 11-Янв-21 (9)
> Четыре дня собирать типовой фришный кернел-нат?А вы крайне приятный человек.
Я вам даже не отвечал т.к. из вашего первого ответа было понятно что вы здесь не для помощи. Можете только так, хотя проблема описана в общем верно: > отдает шизой
> Что пил афтор
> полное непонимания азов
> Ключевое слово "бредовые"
> ты когда это копипастил пытался понять
> не понятные (для тебя точно) косяки Косяки конечно могут быть в таком примере, поэтому я на этом форуме. И кстати не "тыкал" хоть мы и примерного возраста. > Четыре дня собирать типовой фришный кернел-нат? тогда был сервер физически доступен. Сейчас только удаленно. Завтра попробую.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , Pahanivo, 14:41 , 11-Янв-21 (10)
> А вы крайне приятный человек.
> Я вам даже не отвечал т.к. из вашего первого ответа было понятно
> что вы здесь не для помощи.Я рад что тебе понравился мой стиль. Помощь и сделать все за тебя - две большие разницы. Переход на личности еще один повод усомнится в компетенции. > Можете только так, причем не попробовав что-то понять. Было бы что понимать. Ты даже листинг фаревола ни разу не показал - а телепаты еще не вышли из запоя.
> А вот после такого есть сомнение в ваших знаниях.
> И кстати не "тыкал" хоть мы и примерного возраста.
А я тыкал, и тыкал в откровенные косяки конфига, а если открыть глаза, то можно заметить, что не я один обратил на них внимание - https://www.opennet.ru/openforum/vsluhforumID1/97683.html#3.
Но мусье продолжает проверять что крепче: рога или ворота. Весьма тупиковый путь.
Например появление natd вообще феерично - но опять же мусье игнорит все замечания. > тогда был сервер физически доступен. Сейчас только удаленно. Завтра попробую. Удаленно крутить фаер с таким скилом? Ой не советую.
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , Pahanivo пробегал, 22:32 , 10-Янв-21 (4)
> Спасибо что отозвались.
> 1) Адреса приведены в качестве примера для наглядности. Мои выглядят по другому. Дак ты и пЕши что у тебя есть - достаточно скрыть первые пару октетов - а не бредовые примеры. Ключевое слово "бредовые".
> Но смысл в том что их несколько на одном интерфейсе. Ёп. Уже несколько?
> 2) defrouter один и тот же, все верно. Обоснуй смысл разделения при одном defrouter. > 3) Опишу по другому
> ifconfig_ae0="192.168.100.2 netmask 255.255.255.248"
> ifconfig_ae0_alias0="192.168.100.3 netmask 255.255.255.255" Опять те же грабли. Эти грабли выдают полное непонимания азов. > 4) Разное пил. Nat не причем. Извините если не правильно описал.
> Имел ввиду что есть две локальные подсети и вопрос в том как
> правильно сделать редирект.
> В сети 10.0.0.0/24 есть почтовый сервер 10.0.0.2 и веб сервер 10.0.0.3.
> У меня просто не работало правило.
> nat 1 config log if ae0 reset same_ports deny_in \
> redirect_port tcp 10.0.0.3:80 80 \
> redirect_port tcp 10.0.0.3:443 443 \
> redirect_port tcp 10.0.0.2:25 25 А ты когда это копипастил пытался понять ВСЕ параметры?
Ты это "правило" видишь в листинге? )) > Поэтому просил конфиг чтобы посмотреть очередность прохождения правил, а если бы кто-то
> делал с двумя nat было бы просто супер. Какую очередность? Каких правил? )) > Пока писал появилась мысль что возможно правильнее указывать не интерфейс, а адрес
> Да. Просил помощи (рецептик) думал можно спросить на профильном форуме. Если нельзя,
> удалите тему. Спрашивал конфиг примерный для того чтобы посмотреть очередность правил,
> да и вообще сравнить с своим и понять ошибки. Рецептик без понимания и чтения доков бесполезен. - FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , Ann None, 00:46 , 11-Янв-21 (5)
> ipfw -q nat 1 config ip 192.168.100.2 reset same_ports deny_in unreg_only \
> redirect_port tcp 10.0.0.3:443 443 \
> redirect_port tcp 10.0.0.3:80 80 \
> redirect_port tcp 10.0.0.2:25 25
> ipfw -q nat 2 config ip 192.168.100.3 same_ports reset deny_in unreg_only \
> redirect_port tcp 10.0.1.3:80 80 кто на ком стоял? так куда 80й то?
- FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , yanos, 12:30 , 11-Янв-21 (6)
>> ipfw -q nat 1 config ip 192.168.100.2 reset same_ports deny_in unreg_only \
>> redirect_port tcp 10.0.0.3:443 443 \
>> redirect_port tcp 10.0.0.3:80 80 \
>> redirect_port tcp 10.0.0.2:25 25
>> ipfw -q nat 2 config ip 192.168.100.3 same_ports reset deny_in unreg_only \
>> redirect_port tcp 10.0.1.3:80 80
> кто на ком стоял? так куда 80й то?192.168.100.2, 192.168.100.3 - гипотетические ip выданные провайдером по одному кабелю. Хочется что б примерно так было:
1) 192.168.100.2:80 => 10.0.0.3:80
2) 192.168.100.3:80 => 10.0.1.3:80
|
Версия для распечатки
FreeBSD:IPFW+NAT. 2 белых IP на одном интерфейсе. , 
