• Где найти информацию по ipfw nat global?

    @res2001
    Developer, ex-admin
    Встроенные балансировщики есть в iptable и pf. Но они, так сказать, высокоуровневые.
    С помощью ipfw можно сделать систему исключительно гибкую.
    Я делал балансировку и резервирование с помощью ipfw. Уже несколько лет - полет нормальный.
    Лучший справочник по ipfw - это man ipfw без него все равно никуда.
    В балансировке основное это не nat global, а несколько таблиц маршрутизации.
    Переключение между таблицами осуществляете в общем случае с помощью ipfw prob.
    Мне в свое время очень помогло, что в ipfw появились процедуры:
    ipfw call и ipfw return
    Активно их использую.
    Так же свой конфиг делал на основе "улучшенного фаервола": www.opennet.ru/base/net/advanced_ipfw.txt.html
    Такой конфиг получается более структурированным и легче читаемым, хотя и нужна некоторая вводная.
    Вообще сколько не искал нормальной howoto по построению балансировщика на основе ipfw - не нашел. Везде были только идеи и мысли. Так что пришлось много самому додумывать, но результатом доволен. Сам так и не разродился на статью, хотя можно было бы.
    Если нужна помощь, то в профиле есть мыло. Правда я сейчас в отпуске поэтому оперативность гарантировать не могу :)
    Ответ написан
    Комментировать
  • Как сделать проброс портов в Mikrotik при обращении из локалки?

    EvilMan
    @EvilMan
    Маскардинг не работает в вашем случае. Добавляйте явное правило SNAT для таких пакетов.
    В общем, всё выглядит примерно так.
    1. LAN client -> Mikrotik, 192.168.0.100:4555 -> 1.2.3.4:87 (на роутере у этого пакета будет in-interface ether2, так как пакет действительно прилетел из локальной сети) - если в правиле указано сопоставление пакета по входящему интерфейсу для dst-nat (логичнее предположить, что он у вас указан как ether1), то никакого перенаправления не будет. Либо заводите два правила, либо не проверяете для перенаправляемых пакетов входящий интерфейс, а только адрес назначения, протокол и порт. Двигаемся дальше.

    2. Mikrotik -> LAN server, 192.168.0.100:4555 -> 192.168.0.2:87 (output-interface ether2) - Победили перенаправление и пакеты теперь успешно улетают в локалку после замены адреса назначения (в том-то и суть dst-nat). Но что будет дальше? Локальный сервак получает перенаправленный через роутер пакет и отвечает на него напрямую в обход роутера.

    3. LAN server -> LAN client, 192.168.0.2:87 -> 192.168.0.100:4555 - Это ответный пакет от сервера. Но клиент ожидает пакеты с адресом источника 1.2.3.4, а не эти, и отбрасывает их. Либо молча, либо явно с посылкой ICMP-сообщения.

    Вот такие дела. Отсюда решение. Правила ната на микротике.
    1. Правило для проброса портов из интернета:
    chain = nat/prerouting,
      input-interface = ether1, 
      dst-ip = 1.2.3.4, 
      protocol = tcp, 
      dst-port = 87, 
      action = dst-nat, 
      dst-nat-address = 192.168.0.2, 
      dst-nat-port = 87.

    2. Правило для проброса портов из локалки:
    chain = nat/prerouting
      input-interface = ether2, 
      dst-ip 1.2.3.4, 
      src-ip = 192.168.0.0/24, 
      protocol = tcp, 
      dst-port = 87, 
      action = dst-nat, 
      dst-nat-address = 192.168.0.2, 
      dst-nat-port = 87.

    3. Правило для source-nat, чтобы ответные пакеты сервера так же пошли через роутер:
    chain = nat/postrouting,
      output-interface = ether2, 
      dst-ip = 192.168.0.2, 
      src-ip = 192.168.0.0/24, 
      protocol = tcp, 
      dst-port = 87, 
      action = src-nat, 
      src-nat-address = 192.168.0.1

    Вот как-то так. Можно, кстати, пакеты из локалки в локалку метить в цепочке FORWARD и уже на основе метки делать src-nat.
    Ответ написан
    7 комментариев