Pf: есть недопонимание того, как работает nat и rdr?

Question

[mrpsycho]

привет,

пытаюсь освоить pf под freebsd 9.1

и столкнулся с простейшей проблемой: не получается настроить редирект портов.


вот мой /etc/pf.conf:

### interfaces
int = "ale0"
ext = "vr0"
localnet = $int:network

### servers
mail = "192.168.1.251"
mail_smtp = "192.168.1.250"

### services
mail_services = "{ loc-srv, smtps, submission, imap, imaps }"
icmp_types = "{ echoreq, unreach }"

#nat
nat on $ext from $localnet to any -> ($ext)

rdr pass on $ext proto tcp from any to any port smtp -> $mail_smtp

no rdr

########### filtering
block all
pass inet from { lo0, $localnet } to any keep state
pass in inet proto tcp to port { 10022, http, https }

pass inet proto icmp icmp-type $icmp_types
pass out on $ext inet proto udp to port 33433 >< 33626



Сейчас, если поробовать подключиться к порту 25, телнет выдает это:

telnet: Unable to connect to remote host: No route to host



сама локальная сеть такая: 192.168.0.0/22

роутер имеет адрес 192.168.0.47


буду рад любым подсказкам!

Comments

[mrpsycho]

попробовал я взять рабочий конфиг от www.lissyara.su/articles/openbsd/pf/pf/ и calomel.org/pf_config.html
и всеравно ловлю «no route to host»…

[mrpsycho]

заметил следующее:
если прокинуть порт на сервер, который имеет адрес 192.168.2.xxx — то все работает как надо.
но, почему то с хостами в 192.168.0.xxx и 192.168.1.xxx — no route to host.

очевидно, проблема в маршрутах.
но непонятно, почему при правильнонастроенной локальной сети появилась такая проблема.

Answer 1

[mrpsycho]

кстати, оказывается в работе pf я все понял правильно.

однако, тестируемая машина использовала старый шлюз по умолчанию. оттого и трафик обратный шел через старый шлюз.
когда указал новый гейтвей — все сразу же заработало.

Answer 2

[Sonar]

я в pf не силен, так что сильно не пинайте.

меня смущает вот эта конструкция:

nat on $ext from $localnet to any -> ($ext)

разве не ($int) должно быть?

Comments

[Sonar]

Честно говоря уже сам запутался.
Вам нужно внешние коннекты редиректить на внутренний сервер?
rdr pass on $ext proto tcp from any to $ext port smtp -> $mail_smtp port smtp

[mrpsycho]

да, верно.
надо, чтобы снаружи, например gmail.com, мог спокойно передать письмо на локальный сервер.

данное правило я пробовал, да…
и оно только уточняет что и на почтовом сервере должен быть порт 25.
однако, ошибка таже — «no route to host» ^(

и да, судя по хенд буку — nat on $ext from $localnet to any -> ($ext) — это правильная строка.

[ur3ckr]

«no route to host»

Вы из локальной сети проверяете? Выложите трассировку до 192.168.1.250

[mrpsycho]

заодно и таблицу маршрутов я покажу:

root@gw:/root # netstat -anr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            xx.yy.zz.1       UGS         0   634145    vr0
xx.yy.zz.0/24    link#7             U           0    11216    vr0
xx.yy.zz.c1      link#7             UHS         0        0    lo0
xx.yy.zz.c2      link#7             UHS         0        0    lo0
127.0.0.1          link#11            UH          0       50    lo0
192.168.0.0/22     link#1             U           0   777890   ale0
192.168.1.199      link#1             UHS         0        0    lo0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::/96                             ::1                           UGRS        lo0
::1                               link#11                       UH          lo0
::ffff:0.0.0.0/96                 ::1                           UGRS        lo0
fe80::/10                         ::1                           UGRS        lo0
fe80::%ale0/64                    link#1                        U          ale0
fe80::224:8cff:fedb:c534%ale0     link#1                        UHS         lo0
fe80::%vr0/64                     link#7                        U           vr0
fe80::20d:88ff:feb5:bea6%vr0      link#7                        UHS         lo0
fe80::%lo0/64                     link#11                       U           lo0
fe80::1%lo0                       link#11                       UHS         lo0
ff01::%ale0/32                    fe80::224:8cff:fedb:c534%ale0 U          ale0
ff01::%vr0/32                     fe80::20d:88ff:feb5:bea6%vr0  U           vr0
ff01::%lo0/32                     ::1                           U           lo0
ff02::/16                         ::1                           UGRS        lo0
ff02::%ale0/32                    fe80::224:8cff:fedb:c534%ale0 U          ale0
ff02::%vr0/32                     fe80::20d:88ff:feb5:bea6%vr0  U           vr0
ff02::%lo0/32                     ::1                           U           lo0

root@gw:/etc # traceroute 192.168.1.250
traceroute to 192.168.1.250 (192.168.1.250), 64 hops max, 52 byte packets
 1  iatepus (192.168.1.250)  0.308 ms  0.146 ms  0.179 ms

проверяю я снаружи.