https://www.opennet.ru/openforum/vsluhforumID1/97683.html Добрый день.<br>Можете поделится примерным конфигом ipfw c двумя NAT.<br><br>Ситуация такая<br>Есть диапазон ip выданный провайдером.<br>Есть две локальные сети (10.0.0.0/24, 10.0.1.0/24).<br>Примерно так:<br>defaultrouter="192.168.100.1"<br>ifconfig_ae0="192.168.100.2/29"<br>ifconfig_ae0_alias0="192.168.100.3/24"<br>ifconfig_re0="10.0.0.1/24"<br>ifconfig_re1="10.0.1.1/24"<br><br>Почтовый сервер 10.0.0.2<br>веб сервер - 10.0.0.3, 10.0.1.3.<br>Пользователи - 10.0.0.0/24<br><br>Заранее спасибо.<br>PS:Извините если тема поднималась. По поиску не нашел<br><br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#11 Mon, 11 Jan 2021 12:06:44 GMT <br>&gt; Удаленно крутить фаер с таким скилом? Ой не советую.<br><br>В общем все получилось. Всем спасибо! <br><br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#10 Mon, 11 Jan 2021 11:41:03 GMT &gt; А вы крайне приятный человек.<br>&gt; Я вам даже не отвечал т.к. из вашего первого ответа было понятно <br>&gt; что вы здесь не для помощи.<br><br>Я рад что тебе понравился мой стиль. Помощь и сделать все за тебя - две большие разницы. Переход на личности еще один повод усомнится в компетенции. <br><br>&gt; Можете только так, причем не попробовав что-то понять.<br><br>Было бы что понимать. Ты даже листинг фаревола ни разу не показал - а телепаты еще не вышли из запоя.<br><br><br>&gt; А вот после такого есть сомнение в ваших знаниях.<br>&gt; И кстати не "тыкал" хоть мы и примерного возраста.<br><br>А я тыкал, и тыкал в откровенные косяки конфига, а если открыть глаза, то можно заметить, что не я один обратил на них внимание - https://www.opennet.ru/openforum/vsluhforumID1/97683.html#3.<br>Но мусье продолжает проверять что крепче: рога или ворота. Весьма тупиковый путь.<br>Например появление natd вообще феерично - но опять же мусье игнорит все замечания.<br><br>&gt; тогда был сервер физически доступен. Сейчас только удаленно. Завтра попробую.<br><br>Удаленно крутить фае https://www.opennet.ru/openforum/vsluhforumID1/97683.html#9 Mon, 11 Jan 2021 10:53:24 GMT &gt; Четыре дня собирать типовой фришный кернел-нат?<br><br>А вы крайне приятный человек.<br>Я вам даже не отвечал т.к. из вашего первого ответа было понятно что вы здесь не для помощи.<br><br>Можете только так, хотя проблема описана в общем верно:<br><br>&gt; отдает шизой<br>&gt; Что пил афтор<br>&gt; полное непонимания азов<br>&gt; Ключевое слово "бредовые"<br>&gt; ты когда это копипастил пытался понять<br>&gt; не понятные (для тебя точно) косяки <br><br>Косяки конечно могут быть в таком примере, поэтому я на этом форуме. <br><br>И кстати не "тыкал" хоть мы и примерного возраста.<br><br>&gt; Четыре дня собирать типовой фришный кернел-нат?<br><br>тогда был сервер физически доступен. Сейчас только удаленно. Завтра попробую. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#8 Mon, 11 Jan 2021 10:15:44 GMT &gt;&gt; Пусть адреса бы были в одной и той-же сети /24, было бы <br>&gt;&gt; понятно.<br>&gt; Не совсем понимаю почему такое внимание к ip на внешнем интерфейсе. Все пингуется. <br>&gt; ifconfig_ae0="xxx.xxx.185.210 netmask 255.255.255.248" <br>&gt; ifconfig_ae0_alias0="xxx.xxx.185.211 netmask 255.255.255.255" <br><br>Да потому что это граблии - характерный и яркий пример, который гарантированно выстрелит.<br>Твой алиас является частью уже прописанной сети. Да пингуется, да работает.<br>Но когда начнется реальное конфигурирование фаервола такими "методами", то начнут вылазить внезапные и не понятные (для тебя точно) косяки, ибо данные косяки позволяют для того же ip xxx.xxx.185.211 как минимум двояко трактовать его принадлежность. <br><br>&gt; Но второй экземпляр natd не хочется запускать.<br><br>Ээээээ .... natd???????? Ты серьезна или опять опИсался?<br><br>&gt;&gt; Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT <br>&gt;&gt; на том-же адресе. Потом добавьте второй адрес и сделайте на нём <br>&gt;&gt; третий NAT.<br>&gt; Да. Так и делаю.<br><br>Четыре дня собира https://www.opennet.ru/openforum/vsluhforumID1/97683.html#7 Mon, 11 Jan 2021 09:48:59 GMT <br>&gt; Пусть адреса бы были в одной и той-же сети /24, было бы <br>&gt; понятно.<br><br>да, с маской alias0 ошибся. Потом исправился. Не совсем понимаю почему такое внимание к ip на внешнем интерфейсе. Все пингуется. Работает через natd. Но второй экземпляр natd не хочется запускать.<br>Вот так сейчас выглядит.<br>defaultrouter="xxx.xxx.185.209"<br>ifconfig_ae0="xxx.xxx.185.210 netmask 255.255.255.248"<br>ifconfig_ae0_alias0="xxx.xxx.185.211 netmask 255.255.255.255" <br><br>&gt; Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT <br>&gt; на том-же адресе. Потом добавьте второй адрес и сделайте на нём <br>&gt; третий NAT.<br><br>Да. Так и делаю.<br>Спасибо.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#6 Mon, 11 Jan 2021 09:30:03 GMT &gt;&gt; ipfw -q nat 1 config ip 192.168.100.2 reset same_ports deny_in unreg_only \ <br>&gt;&gt; redirect_port tcp 10.0.0.3:443 443 \ <br>&gt;&gt; redirect_port tcp 10.0.0.3:80 80 \ <br>&gt;&gt; redirect_port tcp 10.0.0.2:25 25 <br>&gt;&gt; ipfw -q nat 2 config ip 192.168.100.3 same_ports reset deny_in unreg_only \ <br>&gt;&gt; redirect_port tcp 10.0.1.3:80 80 <br>&gt; кто на ком стоял? так куда 80й то?<br><br>192.168.100.2, 192.168.100.3 - гипотетические ip выданные провайдером по одному кабелю.<br><br>Хочется что б примерно так было:<br>1) 192.168.100.2:80 =&gt; 10.0.0.3:80<br>2) 192.168.100.3:80 =&gt; 10.0.1.3:80<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#5 Sun, 10 Jan 2021 21:46:38 GMT &gt; ipfw -q nat 1 config ip 192.168.100.2 reset same_ports deny_in unreg_only \ <br>&gt; redirect_port tcp 10.0.0.3:443 443 \ <br>&gt; redirect_port tcp 10.0.0.3:80 80 \ <br>&gt; redirect_port tcp 10.0.0.2:25 25 <br>&gt; ipfw -q nat 2 config ip 192.168.100.3 same_ports reset deny_in unreg_only \ <br>&gt; redirect_port tcp 10.0.1.3:80 80 <br><br>кто на ком стоял? так куда 80й то? <br> https://www.opennet.ru/openforum/vsluhforumID1/97683.html#4 Sun, 10 Jan 2021 19:32:16 GMT &gt; Спасибо что отозвались.<br>&gt; 1) Адреса приведены в качестве примера для наглядности. Мои выглядят по другому. <br><br>Дак ты и пЕши что у тебя есть - достаточно скрыть первые пару октетов - а не бредовые примеры. Ключевое слово "бредовые".<br>&gt; Но смысл в том что их несколько на одном интерфейсе.<br><br>Ёп. Уже несколько?<br>&gt; 2) defrouter один и тот же, все верно.<br><br>Обоснуй смысл разделения при одном defrouter.<br><br>&gt; 3) Опишу по другому <br>&gt; ifconfig_ae0="192.168.100.2 netmask 255.255.255.248" <br>&gt; ifconfig_ae0_alias0="192.168.100.3 netmask 255.255.255.255" <br><br>Опять те же грабли. Эти грабли выдают полное непонимания азов.<br><br>&gt; 4) Разное пил. Nat не причем. Извините если не правильно описал.<br>&gt; Имел ввиду что есть две локальные подсети и вопрос в том как <br>&gt; правильно сделать редирект.<br>&gt; В сети 10.0.0.0/24 есть почтовый сервер 10.0.0.2 и веб сервер 10.0.0.3.<br>&gt; У меня просто не работало правило.<br>&gt; nat 1 config log if ae0 reset same_ports deny_in \ <br>&gt; redirect_port tcp 10.0.0.3:80 80 \ <br>&gt; redirect_port tcp 10.0.0.3:443 443 https://www.opennet.ru/openforum/vsluhforumID1/97683.html#3 Sat, 09 Jan 2021 18:22:32 GMT &gt; 3) Опишу по другому <br>&gt; ifconfig_ae0="192.168.100.2 netmask 255.255.255.248" <br>&gt; ifconfig_ae0_alias0="192.168.100.3 netmask 255.255.255.255" <br><br>Дак не в том дело, КАК вы описываете, а ЧТО вы описываете.<br>Пусть адреса бы были в одной и той-же сети /24, было бы понятно.<br>Или в разных непересекающихся сетях, тоже имело бы смысл.<br>Но в разных, пересекающихся, и собственно на пересечении, это либо ошибка, либо роскошные грабли. Может быть это имеет отношение к вашей проблеме, может быть нет.<br><br>Сделайте один адрес и один NAT, пусть заработает. Потом добавьте второй NAT на том-же адресе. Потом добавьте второй адрес и сделайте на нём третий NAT.<br>