The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw в связке с natd не пускает пакеты на alias сетевого if"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"ipfw в связке с natd не пускает пакеты на alias сетевого if"  
Сообщение от Alex email(??) on 21-Май-08, 09:14 
Исходные данные:
сервер с OS FreeBSD 6.3 должен работать как шлюз меджу ЛВС и интернет  со следующими сервисами:

squid
apache
natd
ipfw

postfix
courier-imap
и т.д. далее не важно

Железо:
1 (!) сетевая карта

Особенности:
Для одного физического интерфейса в rc.conf
прописан реальный адрес и алиас
Код:
ifconfig_em0="inet x.y.z.7 netmask 255.255.255.0"
ifconfig_em0_alias0="x.y.z.3 netmask 255.255.255.255"
  

это сделано для того чтобы снаружи сервер был доступен по двум адресам - почтовому (mail.domain.ru соответствует x.y.z.7) и веб сервер (www.domain.ru соответствует x.y.z.3)

при этом изнутри должен работать прокси и NAT.

Суть проблемы.
при включенном IPFW нет доступа извне к веб серверу, но зато работает NAT
при отключенном IPFW все работает кроме NAT

сервисы запускаются через rc.conf

для простоты в IPFW все разрешено

Код:
add 90  divert 8668 ip from x.y.z.0/24 to any via em0
add 100 divert 8668 ip from any to x.y.z.7 via em0
add 65535 allow ip from any to any
  


1. NAT без IPFW как я понимаю не работает в моем случае, но как их развязать - не знаю
2. Как то перенаправить входящие подключения по 80 порту tcp снаружи на x.y.z.3, но при этом чтобы работали исходящие по 80 порту от squid тоже никак не соображу.

вариант с втыканием в сервер еще одного сетевого интерфейса работать наверняка будет, но сейчас невозможен


Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw в связке с natd не пускает пакеты на alias сетевого if"  
Сообщение от nwton on 22-Май-08, 11:34 
>[оверквотинг удален]
>ifconfig_em0="inet x.y.z.7 netmask 255.255.255.0"
>ifconfig_em0_alias0="x.y.z.3 netmask 255.255.255.255"
>
>
>это сделано для того чтобы снаружи сервер был доступен по двум адресам
>- почтовому (mail.domain.ru соответствует x.y.z.7) и веб сервер (www.domain.ru соответствует x.y.z.3)
>
>
>при этом изнутри должен работать прокси и NAT.
>

...
>Код:
>add 90  divert 8668 ip from x.y.z.0/24 to any via em0
>
>add 100 divert 8668 ip from any to x.y.z.7 via em0
>add 65535 allow ip from any to any
>
>

Читать man natd на предмет опций -unregistered_only, -alias_address и добавить их в rc.conf.
Дальше при необходимости - подкрутить ipfw и разрулить отправку в natd только трафика от локальных пользователей, которые идут в интернет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipfw в связке с natd не пускает пакеты на alias сетевого if"  
Сообщение от lykich99 email(ok) on 23-Май-08, 11:21 
>[оверквотинг удален]
>1. NAT без IPFW как я понимаю не работает в моем случае,
>но как их развязать - не знаю
>2. Как то перенаправить входящие подключения по 80 порту tcp снаружи на
>x.y.z.3, но при этом чтобы работали исходящие по 80 порту от
>squid тоже никак не соображу.
>
>вариант с втыканием в сервер еще одного сетевого интерфейса работать наверняка будет,
>но сейчас невозможен
>
>

Попробуй так
rc.conf
natd_enable="YES"
natd_interface="x.y.z.3 "

В IPFW
divert 8668 ip4 from any to any via x.y.z.3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру