Попробую попонятнее сказать.

Вобщем есть шлюз на FreeBSD, внутренняя сетка 192.... и внешний интерфейс 212.ххх.ххх.ххх.
И есть еще железяка для ИП-телефонная, которая имеет тоже внешний адрес, но внутри локалки. Имеет другую подсеть, чем внешний интерфейс.
Вопрос. Какие нужно правила прописать в ipfw чтобы интерфейс этой приблуды полностью повторялся в интернете.
На внутреннем интерфейсе сервера написал алиас для железки.
Она слушает порт tcp 1720
udp 65000-65535 - это если за натом
и 23 tcp для телнета

• Как сделать внутрений IP внешним?,dz, 13:31 , 10-Янв-06
• Как сделать внутрений IP внешним?,toor99, 13:35 , 10-Янв-06
• Как сделать внутрений IP внешним?,Skif, 13:40 , 10-Янв-06
  • Как сделать внутрений IP внешним?,co6aka, 14:58 , 10-Янв-06
    • Как сделать внутрений IP внешним?,stan, 10:11 , 14-Янв-06
      • Как сделать внутрений IP внешним?,Grey, 11:21 , 14-Янв-06
        • Как сделать внутрений IP внешним?,stan, 06:23 , 16-Янв-06
          • Как сделать внутрений IP внешним?,Grey, 10:02 , 16-Янв-06
            • Как сделать внутрений IP внешним?,stan, 13:34 , 16-Янв-06
              • Как сделать внутрений IP внешним?,Grey, 14:10 , 16-Янв-06
                • Как сделать внутрений IP внешним?,Grey, 14:16 , 16-Янв-06
                  • Как сделать внутрений IP внешним?,stan, 05:25 , 17-Янв-06
                • Как сделать внутрений IP внешним?,stan, 14:19 , 16-Янв-06
                  • Как сделать внутрений IP внешним?,Grey, 14:26 , 16-Янв-06
                    • Как сделать внутрений IP внешним?,stan, 14:53 , 16-Янв-06
                      • Как сделать внутрений IP внешним?,Grey, 15:20 , 16-Янв-06
                        • Как сделать внутрений IP внешним?,stan, 05:26 , 17-Янв-06
                          • Как сделать внутрений IP внешним?,Grey, 09:39 , 17-Янв-06
• Как сделать внутрений IP внешним?,stan, 07:28 , 16-Янв-06
  • Как сделать внутрений IP внешним?,stan, 11:40 , 17-Янв-06
    • Как сделать внутрений IP внешним?,Grey, 11:47 , 17-Янв-06
• Как сделать внутрений IP внешним?,stan, 06:09 , 18-Янв-06
  • Как сделать внутрений IP внешним?,Grey, 09:44 , 18-Янв-06

IP-телефония должна работать на реальном адресе (если не ошибаюсь)

или читай это http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72

>Попробую попонятнее сказать.
>
>Вобщем есть шлюз на FreeBSD, внутренняя сетка 192.... и внешний интерфейс 212.ххх.ххх.ххх.
>
>И есть еще железяка для ИП-телефонная, которая имеет тоже внешний адрес, но
>внутри локалки. Имеет другую подсеть, чем внешний интерфейс.
>Вопрос. Какие нужно правила прописать в ipfw чтобы интерфейс этой приблуды полностью
>повторялся в интернете.

Если у "железяки" публичный IP адрес, нужно настроить маршрутизацию, а не nat/ipfw. ipfw тут совершенно не при чём.

man nat
redirect port
redirect address

А еще лучше поставить простенький свитч и запитать, что сервер, что АТА(или что там у вас) от одного прова. Или настроить маршрутизацию (обговорив с провом и оператором) что путь к aaa.aaa.aaa.aaa/32(железяка) идет через bbb.bbb.bbb.bbb/32 (фряха)

Ну положим если вам на железку звонить не трЭба(входящие через инет), то и реальный адрес ей не кретичен. По поводу портов посмотрите статьи по астериску там описан и перечень портов и зачем и как это работает... И спокойно напишите правила посекьюрнее...

У провайдера прописано что маршрут идет через мой шлюз, но мой сервер не хочет дальше пускать пакеты вовнутрь сети. Прописал в rc.conf
static_routes="net1"
route_net1="-net 212.17.xx.xxx/28 212.17.xx.xxx"

но это не помагает. Что не так?

>У провайдера прописано что маршрут идет через мой шлюз, но мой сервер
>не хочет дальше пускать пакеты вовнутрь сети. Прописал в rc.conf
>static_routes="net1"
>route_net1="-net 212.17.xx.xxx/28 212.17.xx.xxx"
>
>но это не помагает. Что не так?

если на доп.девайс дали белую двуххостовую подсеть, то на внутреннем интерфейсе алиасом прописать один конец двуххостовой сетки, на девайсе второй конец этой сетки, а на роутере в natd указать что unregistered_only
тогда натиться будут только серве адреса (не белые) и всё заработает как надо....

>если на доп.девайс дали белую двуххостовую подсеть, то на внутреннем интерфейсе алиасом
>прописать один конец двуххостовой сетки, на девайсе второй конец этой сетки,
>а на роутере в natd указать что unregistered_only
>тогда натиться будут только серве адреса (не белые) и всё заработает как
>надо....

написал в rc.conf
natd_flags="-f /etc/natd.conf"

в /etc/natd.conf
unregistered_only yes

и сеть 192.168.1.0 перестала видеть инет, что крайне нежелательно по понятным соображениям :)

>написал в rc.conf
>natd_flags="-f /etc/natd.conf"
>
>в /etc/natd.conf
>unregistered_only yes
>
>и сеть 192.168.1.0 перестала видеть инет, что крайне нежелательно по понятным соображениям
>:)

а кроме natd всё остальное сделано верно на тачке? ipfw включён?
настройки дашь - поясню....

>>написал в rc.conf
>>natd_flags="-f /etc/natd.conf"
>>
>>в /etc/natd.conf
>>unregistered_only yes
>>
>>и сеть 192.168.1.0 перестала видеть инет, что крайне нежелательно по понятным соображениям
>>:)
>
>а кроме natd всё остальное сделано верно на тачке? ipfw включён?
>настройки дашь - поясню....

rc.conf:

defaultrouter="212.17.0.ххх"
gateway_enable="YES"

ifconfig_rl0="inet 212.17.0.xxx  netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.1.110  netmask 255.255.255.0"
ifconfig_rl1_alias0="inet 212.17.21.xxx netmask 255.255.255.240"

firewall_enable="YES"
firewall_quiet="YES"
firewall_type="/usr/local/etc/firewall.conf"

natd_enable="YES"
natd_interface="rl0"

static_routes="net1"
route_net1="-net 212.17.21.xxx/28 212.17.21.xxx"

в фаерволе всё открыто и ничто ничего не запрещает ( временно конечно :) )

>rc.conf:
>
>defaultrouter="212.17.0.ххх"
>gateway_enable="YES"
>
>ifconfig_rl0="inet 212.17.0.xxx  netmask 255.255.255.0"
>ifconfig_rl1="inet 192.168.1.110  netmask 255.255.255.0"
>ifconfig_rl1_alias0="inet 212.17.21.xxx netmask 255.255.255.240"
>
>firewall_enable="YES"
>firewall_quiet="YES"
>firewall_type="/usr/local/etc/firewall.conf"
и какой набор правил?
>
>natd_enable="YES"
>natd_interface="rl0"
>
>static_routes="net1"
>route_net1="-net 212.17.21.xxx/28 212.17.21.xxx"
а это ещё зачем?
>
>в фаерволе всё открыто и ничто ничего не запрещает ( временно конечно
>:) )

rc.conf:

defaultrouter="212.17.0.ххх"
gateway_enable="YES"

ifconfig_rl0="inet 212.17.0.xxx  netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.1.110  netmask 255.255.255.0"
ifconfig_rl1_alias0="inet 212.17.21.xxx netmask 255.255.255.240"

firewall_enable="YES"
firewall_type="OPEN"

natd_enable="YES"
natd_interface="rl0"
natd_flags="-config /etc/natd.conf"

/etc/natd.conf

unregistered_only yes

так можно попробовать?

>rc.conf:
>
>defaultrouter="212.17.0.ххх"
>gateway_enable="YES"
>
>ifconfig_rl0="inet 212.17.0.xxx  netmask 255.255.255.0"
>ifconfig_rl1="inet 192.168.1.110  netmask 255.255.255.0"
>ifconfig_rl1_alias0="inet 212.17.21.xxx netmask 255.255.255.240"
>
>firewall_enable="YES"
>firewall_type="OPEN"
>
>natd_enable="YES"
>natd_interface="rl0"
>natd_flags="-config /etc/natd.conf"
>
>/etc/natd.conf
>
>unregistered_only yes
>
>так можно попробовать?

Попробовал. Отвалился инет для сети 192.168.1.0

>>rc.conf:
>>
>>defaultrouter="212.17.0.ххх"
>>gateway_enable="YES"
>>
>>ifconfig_rl0="inet 212.17.0.xxx  netmask 255.255.255.0"
>>ifconfig_rl1="inet 192.168.1.110  netmask 255.255.255.0"
>>ifconfig_rl1_alias0="inet 212.17.21.xxx netmask 255.255.255.240"
>>
>>firewall_enable="YES"
>>firewall_quiet="YES"
>>firewall_type="/usr/local/etc/firewall.conf"
>и какой набор правил?
набор правил такой, что по умолчанию всё открыто. т.е. равносильно "OPEN". Все deny я заремарил временно.
>>
>>natd_enable="YES"
>>natd_interface="rl0"
>>
>>static_routes="net1"
>>route_net1="-net 212.17.21.xxx/28 212.17.21.xxx"
>а это ещё зачем?
А это маршрут для подсети. Указывается подсеть и шлюз (212.17.21.xxx) для нее. Как раз железка в качестве шлюза и использует 212.17.21.xxx
>>
>>в фаерволе всё открыто и ничто ничего не запрещает ( временно конечно
>>:) )

>набор правил такой, что по умолчанию всё открыто. т.е. равносильно "OPEN". Все

сделай как я писал.... ранее

>deny я заремарил временно.
>А это маршрут для подсети. Указывается подсеть и шлюз (212.17.21.xxx) для нее.
>Как раз железка в качестве шлюза и использует 212.17.21.xxx
у тебя на роутере есть адрес из подсети в которой находится доп.девайс, значит между роутером и этой железкой нет ещё роутеров (они в одном сегменте) зачем роутеру в таком случае ещё маршрут?

>>набор правил такой, что по умолчанию всё открыто. т.е. равносильно "OPEN". Все
>
>сделай как я писал.... ранее
напиши пожалуйста поконкретнее, что и куда я должен записать
>
>>deny я заремарил временно.
>>А это маршрут для подсети. Указывается подсеть и шлюз (212.17.21.xxx) для нее.
>>Как раз железка в качестве шлюза и использует 212.17.21.xxx
>у тебя на роутере есть адрес из подсети в которой находится доп.девайс,
>значит между роутером и этой железкой нет ещё роутеров (они в
>одном сегменте) зачем роутеру в таком случае ещё маршрут?
Я сделал это исходя из таблицы маршрутов старого сервера. Делаю все идентично. На старом сервере как раз и присутствует маршрут такого рода.

т.е. если я правильно понял, то маскарадинг (натирование) на Linux работает в разных направлениях. А на FreeBSD только в одном и сделать двунаправленный NAT я сделать не могу.

>>>набор правил такой, что по умолчанию всё открыто. т.е. равносильно "OPEN". Все
>>
>>сделай как я писал.... ранее
>напиши пожалуйста поконкретнее, что и куда я должен записать
>>
>>>deny я заремарил временно.
>>>А это маршрут для подсети. Указывается подсеть и шлюз (212.17.21.xxx) для нее.
>>>Как раз железка в качестве шлюза и использует 212.17.21.xxx
>>у тебя на роутере есть адрес из подсети в которой находится доп.девайс,
>>значит между роутером и этой железкой нет ещё роутеров (они в
>>одном сегменте) зачем роутеру в таком случае ещё маршрут?
>Я сделал это исходя из таблицы маршрутов старого сервера. Делаю все идентично.
>На старом сервере как раз и присутствует маршрут такого рода.
>
>т.е. если я правильно понял, то маскарадинг (натирование) на Linux работает в
>разных направлениях. А на FreeBSD только в одном и сделать двунаправленный
>NAT я сделать не могу.

да какой тут к фигам двунаправленный NAT ?!!! тут надо всего навсего чёб натились ТОЛЬКО серые адреса, а белые НЕ натились... для этого unregistered_only в natd прописывается... а маршруты... или ты чего-то не договариваешь или твой линух настраивали через "задний кирильцо".... нафига маршрут если роутер и так напрямую видит сеть назначения?

>/etc/natd.conf
>
>unregistered_only yes
>
>так можно попробовать?

Попробовал. Отвалился инет для сети 192.168.1.0

>>/etc/natd.conf
>>
>>unregistered_only yes
>>
>>так можно попробовать?
>
>Попробовал. Отвалился инет для сети 192.168.1.0

тогда не знаю.... я тебе написал что надо и как прописать в конфигах.... задача плёвая... на фре решается за 6 сек..... рой тогд ахендбук...

Что интересно, адрес железки из инета пингуется, но трасировка до него не идет. На линуксовом старом сервере все работает нормально.

емае.... это ваще попа будет, если вы мне не поможете...
ПОМОГИТЕ!!!!

>емае.... это ваще попа будет, если вы мне не поможете...
>ПОМОГИТЕ!!!!

ну ты хоть приведи кк конкретно не получается... при тех настройках что я давал .... после попыток пропинговаться из серой сети покажи вывод ipfe show
покажи netstat -nr
покажи ifconfig -u

ЕМАЕ!! Думаете чо?! Оказывается эта хренова железка нуждалась в перезапуске.
Всем большое спасибо за помощь! Особенно Грею, что не бросил в такой ситуации!

>ЕМАЕ!! Думаете чо?! Оказывается эта хренова железка нуждалась в перезапуске.
>Всем большое спасибо за помощь! Особенно Грею, что не бросил в такой
>ситуации!

Приятно что помог, но тебе на будущее: хендбук читать в первую очередь! это важно!