https://opennet.me/openforum/vsluhforumID10/5466.html Здравствуйте.<br>Подскажите пожалуйста правил на ipfw<br>в ситуации:<br>есть 2 интерфейса freebsd (лан-ван)<br>мне надо завернуть все исходящие в мир из внутренней сети и приходящие на ЛАН freebsd все пакеты которые идут на ip в мире x.x.x.x port x<br>на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой машине<br>Спасибо<br> https://opennet.me/openforum/vsluhforumID10/5466.html#10 Sat, 28 Jul 2018 16:36:03 GMT &gt; Я не специалист почерезжопству, но чисто из любопытства- а как вы <br>&gt; в этом случае ОБЯЖЕТЕ клиента воспользоваться именно этим адресом? Вы ему <br>&gt; отдали новый ip- а он проигнорировал и идет по настоящему...например потому <br>&gt; что у него забит ip, <br><br>пользуешься прибитыми гвоздями ip - значит или понимаешь что к чему и не будешь истерить не проведя элеметарных проверок и не сложив 2 и 2, ну или ты ССЗБ.<br><br>&gt; или он пользуется собственным DNS.. гугловским <br>&gt; например а не вашим...<br><br>але, папаша, прочтите условие задачи /*внимательно/*... ч<br><br>ел хочет заруливать юзеров из /*локалки/* топчущих на /*внешний/* адрес на сервак в /*локалке/* куда вы с гуглами, ваши не лезут...<br> https://opennet.me/openforum/vsluhforumID10/5466.html#9 Sat, 28 Jul 2018 15:22:09 GMT &gt;&gt; ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...<br>&gt; Это штатное черезжопство.<br>&gt; Форвардить на шлюзе запросы самому себе, вместо того, чтобы сразу отдать через <br>&gt; ДНС нужный адрес? ну если мсье очень хочется странного, то man <br>&gt; ipfw ему в руки.<br><br> Я не специалист почерезжопству, но чисто из любопытства- а как вы в этом случае ОБЯЖЕТЕ клиента воспользоваться именно этим адресом? Вы ему отдали новый ip- а он проигнорировал и идет по настоящему...например потому что у него забит ip, или он пользуется собственным DNS.. гугловским например а не вашим...<br>Что делать будете? Рвать волосы в междужопстве?<br> https://opennet.me/openforum/vsluhforumID10/5466.html#8 Fri, 27 Jul 2018 14:18:09 GMT &gt; Это штатное черезжопство.<br><br>не ну в принципе можно найти пару-тройку-десяток причин делать именно так, хотя по большей части у меня это все было временно и связано с какимито нештатными ситаациями...<br><br>И да, выход с днс проще и правильней<br> https://opennet.me/openforum/vsluhforumID10/5466.html#7 Fri, 27 Jul 2018 11:38:24 GMT &gt; ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...<br><br>Это штатное черезжопство.<br>Форвардить на шлюзе запросы самому себе, вместо того, чтобы сразу отдать через ДНС нужный адрес? ну если мсье очень хочется странного, то man ipfw ему в руки.<br><br><br> https://opennet.me/openforum/vsluhforumID10/5466.html#6 Fri, 27 Jul 2018 11:00:13 GMT &gt;&gt; мне надо завернуть все исходящие в мир из внутренней сети и приходящие <br>&gt;&gt; на ЛАН freebsd все пакеты которые идут на ip в мире <br>&gt;&gt; x.x.x.x port x <br>&gt;&gt; на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой <br>&gt;&gt; машине <br>&gt; Per rectum ad astra.<br>&gt; Настройте DNS правильно.<br>&gt; Вашим путем теоретически пойти можно, но nat lan-to-lan - это как минимум <br>&gt; странно, а в практической реализации еще и криво.<br><br>ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...<br> https://opennet.me/openforum/vsluhforumID10/5466.html#5 Fri, 27 Jul 2018 10:34:42 GMT &gt; Да, может быть, спасибо.<br>&gt; Только я рулить той зоной изнутри сети я не могу.<br>&gt; У меня один IP, если с мира я <br>&gt; могу прокинуть соединение на внутреннюю <br>&gt; машину, т.е, кто пришел по VPN обращаясь <br>&gt; к DNS получают честный резольв domen-IP и славненько туда бегут и облом, <br>&gt; потому как я снимаю 443 порт и закидываю внутрь сети для тех, <br>&gt; кто пришел снаружи.<br><br>ip vpn-server'а и внешний ip который хочется редиректить часом не один и тот же?<br> https://opennet.me/openforum/vsluhforumID10/5466.html#4 Fri, 27 Jul 2018 06:50:48 GMT &gt; Только я рулить той зоной изнутри сети я не могу.<br><br>Внутренний DNS настраивайте же!<br>Его адрес отдавайте в локалку и тем кто ходит по ВПН, да не забудьте про форвардинг наружу всего, что вне вашей локалки.<br>Если DNS нет - поднимайте, это всяко полезнее, чем извращаться с форвардами на файрволе.<br><br><br><br> https://opennet.me/openforum/vsluhforumID10/5466.html#3 Fri, 27 Jul 2018 06:21:40 GMT Да, может быть, спасибо.<br>Только я рулить той зоной изнутри сети я не могу.<br>У меня один IP, если с мира я<br>могу прокинуть соединение на внутреннюю<br>машину, т.е, кто пришел по VPN обращаясь<br>к DNS получают честный резольв domen-IP и славненько туда бегут и облом,<br>потому как я снимаю 443 порт и закидываю внутрь сети для тех, кто пришел снаружи. <br> https://opennet.me/openforum/vsluhforumID10/5466.html#2 Fri, 27 Jul 2018 06:17:18 GMT &gt; Здравствуйте.<br>&gt; Подскажите пожалуйста правил на ipfw <br>&gt; в ситуации: <br>&gt; есть 2 интерфейса freebsd (лан-ван) <br>&gt; мне надо завернуть все исходящие в мир из внутренней сети и приходящие <br>&gt; на ЛАН freebsd все пакеты которые идут на ip в мире <br>&gt; x.x.x.x port x <br>&gt; на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой <br>&gt; машине <br>&gt; Спасибо <br><br>man ipfw /forward ( - примерно пятое попадание) кто за вас будет? Хотя, значительно лучше будет с самого начала.<br><br>Если с английским совсем туго, начать можно отсюда: https://www.opennet.ru/man.shtml?topic=ipfw&category=8&russian=0. Но ман своей версии *bsd, всё равно, прочитать потом нужно будет - с момента публикации на сайте могли произойти немаленькие изменения.<br>