https://opennet.ru/openforum/vsluhforumID1/83481.html Приветствую всех.<br>Сразу задам вопрос - ибо если это невозможно, то нет смысла просматривать конфиги, которые приведу ниже.<br>Вопрос: Может ли один NATD (привязанный к внешнему интерфейсу) транслировать пакеты на несколько public IP (алиасов на этом же внешнем интерфейсе). Или же для этого нужно поднимать еще natd - для каждого алиаса и привязывать по ним. <br>Если возможно, то продолжаю. <br>Для трансляции использую опцию redirect_adress и разрешающие правила в фаерволе на вход пакетов на определ порт на каждый алиас. Например<br>add allow tcp from any to ${IpOut} 80 via ${NIC_Out} <br>add allow tcp from any to ${IpOutAlias1} 80 via ${NIC_Out}<br>add allow tcp from any to ${IpOutAlias2} 80 via ${NIC_Out}<br> но эта конструкция не работает. <br>И толька при замене этих правил другим <br>add allow tcp from any to any 80 via ${NIC_Out}<br>пакеты ходят как нужно. <br>Подозреваю что возможно намудрил в фаерволе - но не могу определить где именно.<br>Для решивших поучавстовать в решении проблемы привожу конфиги<br><br>rc.conf<br><br>gateway_ena https://opennet.ru/openforum/vsluhforumID1/83481.html#6 Fri, 26 Dec 2008 09:35:33 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;потом правила divert <br>&gt;<br>&gt;потом <br>&gt;${FwCMD} add deny ip from ${NetIn} to any via ${NIC_Out} <br>&gt;${fwcmd} add deny all from 10.0.0.0/8 to any via ${NIC_Out} <br>&gt;${fwcmd} add deny all from 172.26.0.0/12 to any via ${NIC_Out} <br>&gt;${fwcmd} add deny all from 192.168.0.0/16 to any via ${NIC_Out} <br>&gt;<br>&gt;Удачи! <br><br>Спасибо за советы - учел.<br>Проблему решил.<br>просто после правил диверта поставил разрешения с внешнего интерфейса на private IP.<br>${FwCMD} add allow tcp from any to 10.0.1.10 80 in via sk0<br>${FwCMD} add allow tcp from any to 10.0.1.11 80 in via sk0<br><br>еше раз спасибо за помощь.<br> https://opennet.ru/openforum/vsluhforumID1/83481.html#5 Fri, 26 Dec 2008 08:04:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Такое правило точно не безопасно! Злоумышленник легко подделает порт отправки! <br>&gt;&gt;Сделай только одно правило. <br>&gt;&gt;${FwCMD} add allow udp from any to any 53 via ${NIC_Out} keep-state <br>&gt;&gt;<br>&gt;&gt;Ключевое тут keep-state <br>&gt;&gt;<br>&gt;&gt;Я думаю что Вам необходимо правило: <br>&gt;<br>&gt;Спасибо за рекомендацию - учту. А какое правило Вы хотели предложить в <br>&gt;конце? <br><br>${FwCMD} add allow tcp from any to any established<br>${FwCMD} add allow tcp from ${NetIn} to any setup<br>${FwCMD} add allow udp from ${NetIn} to any keep-state<br>То есть без указания интерфейса!<br><br>Попробуй закоментировать правила:<br>${FwCMD} add deny ip from ${NetIn} to any in via ${NIC_Out}<br>${FwCMD} add deny ip from ${NetOut} to any in via ${NIC_In}<br><br>а поставь<br><br>${FwCMD} add deny ip from any to ${NetIn} via ${NIC_Out}<br>${fwcmd} add deny all from any to 10.0.0.0/8 via ${NIC_Out}<br>${fwcmd} add deny all from any to 172.16.0.0/12 via ${NIC_Out}<br>${fwcmd} add deny all from any to 192.168.0.0/16 via ${NIC_Out}<br><br>потом правила divert<br><br>потом<br> https://opennet.ru/openforum/vsluhforumID1/83481.html#4 Thu, 25 Dec 2008 17:39:00 GMT &gt;Пригляделся я и увидел, вот что! <br>&gt;${FwCMD} add allow udp from any 53 to any via ${NIC_Out} <br>&gt;${FwCMD} add allow udp from any to any 53 via ${NIC_Out} <br>&gt;Такое правило точно не безопасно! Злоумышленник легко подделает порт отправки! <br>&gt;Сделай только одно правило. <br>&gt;${FwCMD} add allow udp from any to any 53 via ${NIC_Out} keep-state <br>&gt;<br>&gt;Ключевое тут keep-state <br>&gt;<br>&gt;Я думаю что Вам необходимо правило: <br><br>Спасибо за рекомендацию - учту. А какое правило Вы хотели предложить в конце?<br><br> https://opennet.ru/openforum/vsluhforumID1/83481.html#3 Thu, 25 Dec 2008 15:54:01 GMT Пригляделся я и увидел, вот что!<br>${FwCMD} add allow udp from any 53 to any via ${NIC_Out}<br>${FwCMD} add allow udp from any to any 53 via ${NIC_Out}<br>Такое правило точно не безопасно! Злоумышленник легко подделает порт отправки!<br>Сделай только одно правило.<br>${FwCMD} add allow udp from any to any 53 via ${NIC_Out} keep-state<br>Ключевое тут keep-state<br><br>Я думаю что Вам необходимо правило:<br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/83481.html#2 Thu, 25 Dec 2008 15:30:11 GMT &gt;[оверквотинг удален]<br>&gt;${FwCMD} add allow ip from any to ${NetIn} in via ${NIC_In} <br>&gt;${FwCMD} add allow ip from ${NetIn} to any out via ${NIC_In} <br>&gt;<br>&gt;Мне кажется должно быть так: <br>&gt;${FwCMD} add allow ip from ${NetIn} to any in via ${NIC_In} <br>&gt;${FwCMD} add allow ip from any to ${NetIn} out via ${NIC_In} <br>&gt;<br>&gt;Хотя и эти правила мне кажуться не безопастными! <br>&gt;<br>&gt;Удачи! <br><br>Спасибо за ответ. Но к сожалению он не смог помочь. Такая же картина. ((<br> https://opennet.ru/openforum/vsluhforumID1/83481.html#1 Thu, 25 Dec 2008 14:13:14 GMT Извиняюсь, точно не скажу.<br>Посмотри правила:<br>${FwCMD} add allow ip from any to ${NetIn} in via ${NIC_In}<br>${FwCMD} add allow ip from ${NetIn} to any out via ${NIC_In}<br><br>Мне кажется должно быть так:<br>${FwCMD} add allow ip from ${NetIn} to any in via ${NIC_In}<br>${FwCMD} add allow ip from any to ${NetIn} out via ${NIC_In}<br><br>Хотя и эти правила мне кажуться не безопастными!<br><br>Удачи!<br>