Здравствуйте все!
Такая проблема. Есть файрволл под FreeBSD_6, за ним есть DMZ в которой находится веб-сервер с внутр.айпи(не с инетовским).Нужно из инета пробросить
соединения приходящие на 80 порт к этому серваку в DMZ.

на сервере 2 ифейса(предположим)
1(eth1). 10.80.1.1,
alias 10.80.1.2 -этот смотрит в инет

2(eth2).192.168.1.1 - этот смотрит в DMZ  

правила пока такие (просто для тестирования)
ipfw add 100 divert natd all from 192.168.1.0/24 to any out xmit eth1
ipfw add 200 divert natd all from any to 10.80.1.1 in recv eth1

ipfw add 300 fwd ${apache(192.168.1.2)},80 all from any to 10.80.1.2 80

ipfw add allow ip from any to any

ну вот и все...при таком раскладе нат работает.а форвард нет.
подскажите что нет так.?

  

• FreeBSD, ipfw + fwd,alk, 19:03 , 22-Дек-05
  • FreeBSD, ipfw + fwd,Evgen, 11:48 , 23-Дек-05
    • FreeBSD, ipfw + fwd,idle, 14:19 , 23-Дек-05
      • FreeBSD, ipfw + fwd,Evgen, 17:12 , 23-Дек-05
        • FreeBSD, ipfw + fwd,dz, 22:48 , 23-Дек-05
          • FreeBSD, ipfw + fwd,Evgen, 11:28 , 26-Дек-05

man natd
ключевое слово -redirect_port

>man natd
>ключевое слово -redirect_port

спасибо за совет-попробую.
но хочется сделать через fwd.
причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний интерфейс файрволла....а  вот с файрвола в инет они уже не уходят почему то. И следовательно машина клиент в инете ответа дождаться не может.почему так?может какое правило еще нужно?

>>man natd
>>ключевое слово -redirect_port
>
>
>спасибо за совет-попробую.
>но хочется сделать через fwd.
>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>интерфейс файрволла....а  вот с файрвола в инет они уже не
>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>не может.почему так?может какое правило еще нужно?

Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно в отличие от NAT не меняет заголовок пакета. Пакет оно отправит куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему не будет.

>>>man natd
>>>ключевое слово -redirect_port
>>
>>
>>спасибо за совет-попробую.
>>но хочется сделать через fwd.
>>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>>интерфейс файрволла....а  вот с файрвола в инет они уже не
>>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>>не может.почему так?может какое правило еще нужно?
>
>Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно
>в отличие от NAT не меняет заголовок пакета. Пакет оно отправит
>куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему
>не будет.

ну на это есть такая опция в ядре IPFIREWALL_FORWARD_EXTENDED - это раз.
теперь как я уже сказал- пакеты на apache-сервер в DMZ приходят.и он на них отвечает по назначению, т.е на внешний айпи файрвола -откуда они на него и валятся собственно.т.е тут вроде все нормально.а вот с файрволла эти ответные пакеты не уходят уже к клиенту их запросившему.вот в чем беда и непонятие у меня.

http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72

>http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72

да, да.
только это тот же самый способ что предложил alk.
спасибо за пример.