NAT с помощью PF

Список форумов » FreeBSD » Сети и FreeBSD

Часовой пояс: UTC + 4 часа

Страница 1 из 1

[ Сообщений: 8 ]

Автор

Сообщение

WideAreaNetwork

Заголовок сообщения: NAT с помощью PF

Добавлено: Вт 10 янв, 2017 2:34 pm

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 5

подскажите пжл как правильно записать правило в pf.conf для работы ната, на внешнем интерфейсе есть несколько ip адресов, нужно за каждым из них "запрятать" некоторые ip или сети

к примеру, есть адрес 1.2.3.4 надо чтобы он натил сеть 192.168.0.0/24
есть адрес 2.3.4.5 надо чтобы он натил 192.168.0.100
есть адрес 3.4.5.6 надо чтобы он натил 192.168.1.0/24 и 192.168.2.0/24

покажите пжл в примере как должна выглядеть запись для моей хочучки

Вернуться к началу

GreenDragon

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Вт 10 янв, 2017 4:06 pm

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885

Можно только помедитировать над Вашими данными...
что такое 1.2.3.4, 2.3.4.5, 3.4.5.6 - это отдельные GW или это VLAN-s на каком-то одном GW, или еще что?
какие правила в pf.conf у Вас есть ...

Вернуться к началу

AMDmi3

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Вт 10 янв, 2017 5:06 pm

Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5100
Откуда: Москва

Примеры есть в man pf.conf в секции TRANSLATION EXAMPLES. Ваш случай тривиальный, просто нужно несколько nat правил с разными сетями и адресами.

Вернуться к началу

WideAreaNetwork

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Ср 11 янв, 2017 6:05 pm

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 5

GreenDragon писал(а):

компьютер с FreeBSD 11.0, он же GW
1.2.3.4 2.3.4.5 3.4.5.6 айпи адреса на физическом интерфейсе WAN, в будущем эти айпи адреса перенесутся на VLAN который будет поднят на этом же интерфейсе
всего-то одно правило
nat on WAN from LAN:network to any -> WAN
все работает, только задача стоит натить не интерфейс, а конкретные подсети/адреса за конкретным айпи

Вернуться к началу

WideAreaNetwork

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Ср 11 янв, 2017 6:06 pm

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 5

AMDmi3 писал(а):

для кого это ведомо случай всегда будет тривиальным, рано или поздно все становиться тривиальным, ибо знаешь как это делать )

Вернуться к началу

WideAreaNetwork

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Ср 11 янв, 2017 7:06 pm

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 5

AMDmi3
почитал man pf.conf в секции TRANSLATION EXAMPLES, спс за подсказку, действительно достаточно тривиально
сделал вот так:

Код:

nat on $ext_if from 192.168.0.0/24 to any -> 1.2.3.4

все работает

а если мне нужно чтобы адрес 192.168.0.8 натился за 2.3.4.5, покажите пжл пример как правильно это записать? надо просто добавить первым правилом? будет ли так оно работать?

Код:

nat on $ext_if from 192.168.0.8 to any -> 2.3.4.5
nat on $ext_if from 192.168.0.0/24 to any -> 1.2.3.4

если ошибаюсь, то поправьте пожалуйста

Вернуться к началу

GreenDragon

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Чт 12 янв, 2017 12:27 pm

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885

WideAreaNetwork писал(а):

AMDmi3

а если мне нужно чтобы адрес 192.168.0.8 натился за 2.3.4.5, покажите пжл пример как правильно это записать? надо просто добавить первым правилом? будет ли так оно работать?

Исключения из правил трансляции:

Исключения могут быть сделаны к правилам трансляции используя ключевое
слово no. Например:

no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

В этом случае вся сеть 192.168.1.0/24 за исключением 192.168.1.10
будет транслирована на IP адрес 24.2.74.79.

Обратите внимание, что первое правило побеждает, если указано "no", то
пакет не будет транслирован. Ключевое слово "no" нельзя использовать с
правилами with binat и rdr.
https://www.opennet.ru/base/net/pf_faq.txt.html

Вернуться к началу

WideAreaNetwork

Заголовок сообщения: Re: NAT с помощью PF

Добавлено: Чт 06 апр, 2017 11:52 am

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 5

Цитата:

Исключения могут быть сделаны к правилам трансляции используя ключевое
слово no. Например:

no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

В этом случае вся сеть 192.168.1.0/24 за исключением 192.168.1.10
будет транслирована на IP адрес 24.2.74.79.

nat on tl0 from 192.168.1.10 to any -> 46.4.86.90
no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

так правильно будет?

Вернуться к началу

Страница 1 из 1

[ Сообщений: 8 ]

Версия для печати

Пред. тема | След. тема

Список форумов » FreeBSD » Сети и FreeBSD

Часовой пояс: UTC + 4 часа

Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения