https://www.opennet.dev/openforum/vsluhforumID1/95970.html Ситуевина: есть веб ресурс внутри сетки. Отзывается на IP, скажем, 192.168.0.50. Извне к нему настроен доступ вида www.mydomain.ru:1234 (80 порт занят другим ресурсом). Как настроить доступ изнутри сетки по этому адресу: www.mydomain.ru:1234<br><br>ОС шлюза FreeBSD 9.0<br>В ядро добавлено:<br><br>options PERFMON<br>options IPFIREWALL <br>options IPFIREWALL_VERBOSE <br>options IPFIREWALL_VERBOSE_LIMIT=100 <br>options IPFIREWALL_FORWARD<br>options IPFILTER<br>options IPFILTER_LOG<br>options IPDIVERT <br>options IPSTEALTH<br>options DUMMYNET<br>options IPFIREWALL_DEFAULT_TO_ACCEPT<br><br>ipfw:<br><br> ${fwcmd} add 4 allow tcp from 192.168.0.18 to me 22<br> ${fwcmd} add 5 reject all from any to me 22,3128,3306,5038 via fxp0<br><br> ${fwcmd} add 6 reject all from any to me dst-port 123<br><br> ${FwCMD} add 10 allow ip from any to any via lo0<br> ${FwCMD} add 11 deny ip from any to 127.0.0.0/8<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#12 Thu, 05 Feb 2015 06:13:27 GMT &gt;[оверквотинг удален]<br>&gt; ipfw: <br>&gt; ${fwcmd} add 373 allow ip from any to ${IpOut} 1234 in via <br>&gt; ${LanOut} setup //разрешаем порт на внешней сетевухе <br>&gt; ipnat: <br>&gt; rdr re1 0.0.0.0/0 port 1234 -&gt; 192.168.0.50 port 80 tcp/udp //пробрасываем порт <br>&gt; Ну это уже не суть - проблему решили, пусть и не очень <br>&gt; изящно, через view в ДНС <br>&gt;&gt; Знания маршрутизации, схема сети, tcpdump вам могут помочь.<br>&gt; Универсальный ответ. Зачем вообще воротить форумы если можно поставить на главной странице <br>&gt; баннер "курите маны"?<br><br>Ну а кто кроме вас это сможет сделать?<br>Схема сети не видна. Приведена портянка скрипта, в котором не видны значения переменных, в котором половина переменных имеют неверные имена (другой регистр).<br>Часть правил переменные вообще не используют. <br>Для "упрощения понимания" приведены также (вероятно) закомментированные строки.<br><br>Нет ни одного комментария, поясняющего цель приведенных команд.<br><br>Скрипт содержит явные ошибки:<br><br>&gt;${fwcmd} add 92 divert natd ip from 192.168.0.249 to any dst-port 8585 https://www.opennet.dev/openforum/vsluhforumID1/95970.html#11 Wed, 04 Feb 2015 16:22:35 GMT &gt;&gt; настроить view в ДНС сервере, я так подозреваю что bind <br>&gt; Настройка view оказалась не такой тривиальной, как сперва показалось. Пришлось почти весь named.conf переписывать. <br><br>no comments<br><br>&gt; Здесь проблема решилась, правда не так изящно как хочется - пришлось перенастроить 80 порт на внутреннем ресурсе на 1234.<br><br>зачем? На роутере ставите тот же nginx и свободно расбрасываете сайты. Без всяких пробросов на фаерволе<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#10 Wed, 04 Feb 2015 05:15:33 GMT Может не правильно понята проблема, я бы поставил frontend сервер, например nginx.<br>Сдается мне что потом появится еще несколько портов и придется опять думать как.<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#9 Tue, 03 Feb 2015 22:51:04 GMT &gt;&gt; Жесть какая. Вы правда думаете, что кому-то хочется вместо вас распарсить всю <br>&gt;&gt; эту _кривую_ портянку в _своей голове_?<br>&gt; Я это выложил, прозревая последующие вопросы о конфигах. Вместо меня не надо <br>&gt; - я эту "кривую портянку" сам писал и знаю вдоль и <br>&gt; поперек.<br><br>эта портянка не кривая, хуже, это уже что-то из квантовой физики<br>natd в 21м веке?<br>эх, млин, таких одминов надо сразу на колыму<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#8 Tue, 03 Feb 2015 15:05:43 GMT &gt;&gt;firewall_type="ZALUPA" <br>&gt; Сразу видно профи.<br><br>Я на профи и не претендую. Какая разница, как называется фаерволл, если он работает?<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#7 Tue, 03 Feb 2015 15:04:36 GMT &gt; Вот точно так же (и, вероятно, там же_, как оно было настроено <br>&gt; для "извне", так же и надо настроить, только "изнутри".<br><br>Ну что ж, для извне:<br><br>ipfw:<br>${fwcmd} add 373 allow ip from any to ${IpOut} 1234 in via ${LanOut} setup //разрешаем порт на внешней сетевухе<br><br>ipnat:<br>rdr re1 0.0.0.0/0 port 1234 -&gt; 192.168.0.50 port 80 tcp/udp //пробрасываем порт<br><br>Ну это уже не суть - проблему решили, пусть и не очень изящно, через view в ДНС<br><br>&gt; Знания маршрутизации, схема сети, tcpdump вам могут помочь.<br><br>Универсальный ответ. Зачем вообще воротить форумы если можно поставить на главной странице баннер "курите маны"?<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#6 Tue, 03 Feb 2015 14:55:15 GMT &gt; Жесть какая. Вы правда думаете, что кому-то хочется вместо вас распарсить всю <br>&gt; эту _кривую_ портянку в _своей голове_?<br><br>Я это выложил, прозревая последующие вопросы о конфигах. Вместо меня не надо - я эту "кривую портянку" сам писал и знаю вдоль и поперек.<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#5 Tue, 03 Feb 2015 14:52:52 GMT &gt; настроить view в ДНС сервере, я так подозреваю что bind <br><br>Настройка view оказалась не такой тривиальной, как сперва показалось. Пришлось почти весь named.conf переписывать. Здесь проблема решилась, правда не так изящно как хочется - пришлось перенастроить 80 порт на внутреннем ресурсе на 1234.<br> https://www.opennet.dev/openforum/vsluhforumID1/95970.html#4 Tue, 03 Feb 2015 08:39:07 GMT &gt;firewall_type="ZALUPA"<br><br>Сразу видно профи.<br>