Здравствуйте все!
Такая проблема. Есть файрволл под FreeBSD_6, за ним есть DMZ в которой находится веб-сервер с внутр.айпи(не с инетовским).Нужно из инета пробросить
соединения приходящие на 80 порт к этому серваку в DMZ.на сервере 2 ифейса(предположим)
1(eth1). 10.80.1.1,
alias 10.80.1.2 -этот смотрит в инет2(eth2).192.168.1.1 - этот смотрит в DMZ
правила пока такие (просто для тестирования)
ipfw add 100 divert natd all from 192.168.1.0/24 to any out xmit eth1
ipfw add 200 divert natd all from any to 10.80.1.1 in recv eth1ipfw add 300 fwd ${apache(192.168.1.2)},80 all from any to 10.80.1.2 80
ipfw add allow ip from any to any
ну вот и все...при таком раскладе нат работает.а форвард нет.
подскажите что нет так.?
man natd
ключевое слово -redirect_port
>man natd
>ключевое слово -redirect_port
спасибо за совет-попробую.
но хочется сделать через fwd.
причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний интерфейс файрволла....а вот с файрвола в инет они уже не уходят почему то. И следовательно машина клиент в инете ответа дождаться не может.почему так?может какое правило еще нужно?
>>man natd
>>ключевое слово -redirect_port
>
>
>спасибо за совет-попробую.
>но хочется сделать через fwd.
>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>интерфейс файрволла....а вот с файрвола в инет они уже не
>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>не может.почему так?может какое правило еще нужно?Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно в отличие от NAT не меняет заголовок пакета. Пакет оно отправит куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему не будет.
>>>man natd
>>>ключевое слово -redirect_port
>>
>>
>>спасибо за совет-попробую.
>>но хочется сделать через fwd.
>>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>>интерфейс файрволла....а вот с файрвола в инет они уже не
>>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>>не может.почему так?может какое правило еще нужно?
>
>Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно
>в отличие от NAT не меняет заголовок пакета. Пакет оно отправит
>куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему
>не будет.
ну на это есть такая опция в ядре IPFIREWALL_FORWARD_EXTENDED - это раз.
теперь как я уже сказал- пакеты на apache-сервер в DMZ приходят.и он на них отвечает по назначению, т.е на внешний айпи файрвола -откуда они на него и валятся собственно.т.е тут вроде все нормально.а вот с файрволла эти ответные пакеты не уходят уже к клиенту их запросившему.вот в чем беда и непонятие у меня.
http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72
>http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72да, да.
только это тот же самый способ что предложил alk.
спасибо за пример.