= Сообщение: 1345 из 10763 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 09 Apr 14 13:47:06 Кому : Vassily Kiryanov 09 Apr 14 13:47:06 Тема : Re: Снимите с ручника на счёт natd FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+8491ceec На : area://RU.UNIX.BSD?msgid=2:5054/36+5344478b = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.UNIX.BSD?msgid=2:5054/36+534551b7 ============================================================================== 08 апр 2014, вторник, в 16:49 NOVT, Vassily Kiryanov написал(а):
VK> Торможу что-то, а нужно сделать побыстрее.
Hе надо так писать, тут не платная поддержка по решению чужих проблем :-)
VK> Локалка работает через сервак со VK> сквидом. Hо некоторый особо уродский софт умеет из локалок работать только через VK> natd. В данном случае этот софт - прошивка сбербанковского картоплатёжника (для VK> нашей ведомственной столовой). Т.е. нужно пару внутренних клиентов выпустить VK> напрямую на пару внешних серверов. Файрволом у меня ipfw. VK> Таблица 26 это внешние сервера, таблица 16 это внутренние клиенты. VK> Для пробы включил в список клиентов свой рабочий комп и с него пингую некий VK> внешний сервак. Hа удалённом серваке отслеживаю обстановку через tcpdump. В VK> режиме verbose мой natd показывает мне, что исходящие пинги к нему попадают и VK> транслируются во внеший адрес сервера. Hо на удалённый сервак они не приходят. VK> Счётчик пакетов растёт только у правила 1091. Где я косячу, ткните пожалуйста.
VK> add 1090 divert ${natd_i} ip from 'table(26)' to me in via ${ext_if} VK> add 1091 divert ${natd_o} ip from 'table(16)' to 'table(26)' in via ${int_if}
После этого правила пакет, который был from 'table(1)' to 'table(26)', стал from me to 'table(26)' и идёт дальше по списку правил файрвола, оставаясь при этом in. Есть ли правило, которое его пропустит или он убъется последним deny ip from any to any ещё будучи in и без шансов пройти по списку правил второй раз в качестве out?
VK> add 1092 allow ip from 'table(26)' to 'table(16)' out via ${int_if} VK> add 1093 allow icmp from me to 'table(26)' out via ${ext_if}
