https://www.opennet.ru/openforum/vsluhforumID1/92712.html Добрый день!<br>В *nix системах еще новичок, так что не судите строго!<br>Появилась потребность отделить один отдел организации в отдельную подсеть - 192.168.10.0/24 и объединить со старой сетью(192.168.1.0/24), чтобы обе сети видели друг друга и могли свободно "общаться". Схема сети(http://s2.ipicture.ru/uploads/20111207/FBUyCqms.jpg). Cети объединены маршрутизатором на FreeBSD 7.1. <br>А Необходимо осуществить перенаправление портов таким образом, чтобы компьютеры из подсети 192.168.10.0/24 обращаясь к адресу http://192.168.1.85 попадали на 192.168.11.254(здесь установлен Redmine). Сразу скажу что прямое обращение не подходит, потому что раньше компьютер 192.168.11.254 был в подсети 192.168.1.0/24 и задачи Redmine сохранились в БД с адресом 192.168.1.85.<br>Сделал redirect_port 192.168.11.254:80 80<br>Фаервол сделал открытым: firewall_type="OPEN".<br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#11 Wed, 07 Dec 2011 09:40:41 GMT <br><br>&gt; fwd меняет адрес назначения, но не адрес источника <br>&gt; можно поднять вторую копию natd на этой машине, "замаскировать" им адрес сервера <br>&gt; по порту 80, запросы от раб.станций к адресу шлюза по 80 <br>&gt; порту заворачивать во вторую копию natd ..... ход мысли понятен?<br><br>Не совсем, то есть запустить еще один демон natd на том же внешнем IP и на него перенаправлять уже натированные пакеты?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#10 Wed, 07 Dec 2011 09:04:45 GMT &gt;[оверквотинг удален]<br>&gt; локальной сети (обратный адрес пакета - 192.168.0.333) и пытается передать данные <br>&gt; напрямую клиенту, в обход шлюза <br>&gt; клиент игнорирует ответ, потому что он приходит не <br>&gt; с 1.2.3.4, а с 192.168.0.22 <br>&gt; клиент и сервер ждут, ведут себя как &#171;две <br>&gt; целки на морозе&#187;, связи и обмена данными нет <br>&gt; Решение: <br>&gt; iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j <br>&gt; SNAT --to-source $INT_IP <br>&gt; А вот как тоже самое сделать средствами IPFW?<br><br>fwd меняет адрес назначения, но не адрес источника<br>можно поднять вторую копию natd на этой машине, "замаскировать" им адрес сервера по порту 80, запросы от раб.станций к адресу шлюза по 80 порту заворачивать во вторую копию natd ..... ход мысли понятен?<br>НО, не лучше ли сделать всё по уму а не городить эти огороды? если для этого надо поправить данные в БД - дык поправьте в раз и на всегда и не мучайте роутер :) или такие огороды городят исключительно для красоты? ;)<br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#9 Wed, 07 Dec 2011 09:04:43 GMT на шлюзе, который между сетями стоит, проброс портов через redirect_port tcp 192.168.11.254:80 80<br>не получается сделать так чтобы клиенты из локальной сети при вводе в браузере out_ip_шлюза попадали на 192.168.11.254, чего к сожалению не происходит.<br><br>чтобы сети увидели друг друга я статический маршрут прописал на главном шлюзе!!!<br>а NAT использую чтобы хотя бы одна часть сети могла обращаться к Redmine(который перекочевал на 192,168,11,254) по старому IP(192.168.1.85)<br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#8 Wed, 07 Dec 2011 08:47:17 GMT &gt;[оверквотинг удален]<br>&gt; nmbd_enable="YES" <br>&gt; smbd_enable="YES" <br>&gt; samba_config="/usr/local/etc/smb.conf" <br>&gt; sshd_enable="YES" <br>&gt; Соответственно, когда подсеть 192.168.10.0/24 выходит в инет, то на IP-адресе срабатывает <br>&gt; NAT.<br>&gt; Интерфейс re1(192.168.1.85) смотрит в основную сеть организации(192.168.1.0/24), а интерфейс <br>&gt; re2(192.168.10.1) смотрит в недавно организованную сеть 192.168.10.0/24. Чтобы сеть 192.168.1.0/24 <br>&gt; виде сеть 192.168.10.0/24 прописал на главном шлюзе(192.168.1.2) статический маршрут <br>&gt; - route add -net 192.168.10.0/24 192.168.1.85 <br><br>сеть 192.168.1.0/24 не увидит напрямую хосты из сети 192.168.10.0/24, потому что их (хосты сети 192.168.10.0/24) закрывает nat.<br>для прохода снаружи к хосту 192.168.11.х - надо в нате сделать проброс порта. если фаервол OPEN, то дополнительно ничего делать не надо.<br><br>P.S. не совсем понятно зачем в одной организации закрывать натом часть сети... :)<br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#7 Wed, 07 Dec 2011 05:15:27 GMT нашел статью - http://www.it-simple.ru/?p=2250<br>Цитирую:<br><br>Допустим, 192.168.0.333 - ip-адрес клиента внутри локальной сети.<br><br> сотрудник вводит в адресную строку браузера адрес webname.dom<br> компьютер обращается к DNS и разрешает имя webname.dom в адрес 1.2.3.4<br> маршрутизатор понимает, что это внешний адрес и отправляет пакет на шлюз<br> шлюз, в соответствии с нашим правилом, подменяет в пакете адрес 1.2.3.4 на 192.168.0.22, после чего отправляет пакет серверу<br> веб-сервер видит, что клиент находится в этой же локальной сети (обратный адрес пакета - 192.168.0.333) и пытается передать данные напрямую клиенту, в обход шлюза<br> клиент игнорирует ответ, потому что он приходит не с 1.2.3.4, а с 192.168.0.22<br> клиент и сервер ждут, ведут себя как &#171;две целки на морозе&#187;, связи и обмена данными нет<br>Решение:<br>iptables -t nat -A POSTROUTING --dst $LAN_IP -p tcp --dport $SRV_PORT -j SNAT --to-source $INT_IP<br><br>А вот как тоже самое сделать средствами IPFW?<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#6 Wed, 07 Dec 2011 04:50:13 GMT re1 - внешний интерфейс с IP-адресом 192.168.1.85<br>re2 - внутренний интерфейс с IP-адресом 192.168.10.1<br>на интерфейсе re2 сделан alias - 192.168.11.1, сделано для того чтобы компьютер с Redmine находился в 11-ой подсети и все пакеты от него и к нему ходили через данный шлюз(назовем его Ш2).<br>В организации есть еще один шлюз(назовем его Ш1), через который ВСЕ выходят в инет, он имеет IP-адрес 192.168.1.2.<br>Конфигурационный файл шлюза который я настраиваю(Ш2) rc.conf:<br><br>defaultrouter="192.168.1.2"<br>gateway_enable="YES"<br>hostname="rots.ues"<br>ifconfig_re1="inet 192.168.1.85 netmask 255.255.255.0"<br>ifconfig_re2="inet 192.168.10.1 netmask 255.255.255.0"<br>ifconfig_re2_alias0="inet 192.168.11.1 netmask 255.255.255.0"<br>inetd_enable="YES"<br>keymap="ru.koi8-r"<br>linux_enable="YES"<br>saver="logo"<br>firewall_enable="YES"<br>firewall_type="OPEN"<br>#firewall_script="/usr/local/etc/ipfw.rules"<br>natd_enable="YES"<br>natd_interface="re1"<br>natd_flags="-f /etc/natd.conf"<br>dhcpd_enable="YES"<br>dhcpd_ifaces="re2"<br>dhcpd_conf="/usr/local https://www.opennet.ru/openforum/vsluhforumID1/92712.html#5 Wed, 07 Dec 2011 04:28:36 GMT &gt; Забыл сказать, что на интерфейсе 192.168.1.85 поднят NAT, чтобы 10-я подсеть выходила <br>&gt; в инет.<br><br>поточнее задачу сформулируйте, где внешний интерфейс, где внутренний, какие подсети на них, откуда куда запросы идут и т.п.<br><br>вместо fwd можно пользовать nat с пробросом порта, но как это всё оформить - надо думать после того как будет вся инфа ...<br><br>P.S. ... а вообще, чем городить огород и костыли, не лучше ли привести все адреса к норме? может стоит перепланировать адресное пространство и следовать этому плану всегда в дальнейшем?<br>... и ещё, где у вас внешний интерфейс? nat надо поднимать именно на внешнем интерфейсе ,а не на том, который смотрит в ЛВС. (это для выхода всей ЛВС в вышестоящую сеть)<br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#4 Wed, 07 Dec 2011 04:22:20 GMT Забыл сказать, что на интерфейсе 192.168.1.85 поднят NAT, чтобы 10-я подсеть выходила в инет. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92712.html#3 Wed, 07 Dec 2011 04:16:41 GMT Я уже NAT вещал на интерфейс re2 и все равно без толку.<br><br><br>