BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: NAT с помощью PF
СообщениеДобавлено: Вт 10 янв, 2017 2:34 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 34
подскажите пжл как правильно записать правило в pf.conf для работы ната, на внешнем интерфейсе есть несколько ip адресов, нужно за каждым из них "запрятать" некоторые ip или сети

к примеру, есть адрес 1.2.3.4 надо чтобы он натил сеть 192.168.0.0/24
есть адрес 2.3.4.5 надо чтобы он натил 192.168.0.100
есть адрес 3.4.5.6 надо чтобы он натил 192.168.1.0/24 и 192.168.2.0/24

покажите пжл в примере как должна выглядеть запись для моей хочучки :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Вт 10 янв, 2017 4:06 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 890
Можно только помедитировать над Вашими данными...
что такое 1.2.3.4, 2.3.4.5, 3.4.5.6 - это отдельные GW или это VLAN-s на каком-то одном GW, или еще что?
какие правила в pf.conf у Вас есть ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Вт 10 янв, 2017 5:06 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5190
Откуда: Москва
Примеры есть в man pf.conf в секции TRANSLATION EXAMPLES. Ваш случай тривиальный, просто нужно несколько nat правил с разными сетями и адресами.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Ср 11 янв, 2017 6:05 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 34
GreenDragon писал(а):
Можно только помедитировать над Вашими данными...
что такое 1.2.3.4, 2.3.4.5, 3.4.5.6 - это отдельные GW или это VLAN-s на каком-то одном GW, или еще что?
какие правила в pf.conf у Вас есть ...


компьютер с FreeBSD 11.0, он же GW
1.2.3.4 2.3.4.5 3.4.5.6 айпи адреса на физическом интерфейсе WAN, в будущем эти айпи адреса перенесутся на VLAN который будет поднят на этом же интерфейсе
всего-то одно правило
nat on WAN from LAN:network to any -> WAN
все работает, только задача стоит натить не интерфейс, а конкретные подсети/адреса за конкретным айпи


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Ср 11 янв, 2017 6:06 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 34
AMDmi3 писал(а):
Примеры есть в man pf.conf в секции TRANSLATION EXAMPLES. Ваш случай тривиальный, просто нужно несколько nat правил с разными сетями и адресами.

для кого это ведомо случай всегда будет тривиальным, рано или поздно все становиться тривиальным, ибо знаешь как это делать )


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Ср 11 янв, 2017 7:06 pm 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 34
AMDmi3
почитал man pf.conf в секции TRANSLATION EXAMPLES, спс за подсказку, действительно достаточно тривиально
сделал вот так:
Код:
nat on $ext_if from 192.168.0.0/24 to any -> 1.2.3.4

все работает

а если мне нужно чтобы адрес 192.168.0.8 натился за 2.3.4.5, покажите пжл пример как правильно это записать? надо просто добавить первым правилом? будет ли так оно работать?
Код:
nat on $ext_if from 192.168.0.8 to any -> 2.3.4.5
nat on $ext_if from 192.168.0.0/24 to any -> 1.2.3.4

если ошибаюсь, то поправьте пожалуйста


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Чт 12 янв, 2017 12:27 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 890
WideAreaNetwork писал(а):
AMDmi3


а если мне нужно чтобы адрес 192.168.0.8 натился за 2.3.4.5, покажите пжл пример как правильно это записать? надо просто добавить первым правилом? будет ли так оно работать?

Исключения из правил трансляции:

Исключения могут быть сделаны к правилам трансляции используя ключевое
слово no. Например:

no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

В этом случае вся сеть 192.168.1.0/24 за исключением 192.168.1.10
будет транслирована на IP адрес 24.2.74.79.

Обратите внимание, что первое правило побеждает, если указано "no", то
пакет не будет транслирован. Ключевое слово "no" нельзя использовать с
правилами with binat и rdr.
https://www.opennet.ru/base/net/pf_faq.txt.html


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: NAT с помощью PF
СообщениеДобавлено: Чт 06 апр, 2017 11:52 am 
Не в сети

Зарегистрирован: Пн 09 янв, 2017 9:03 pm
Сообщения: 34
Цитата:
Исключения могут быть сделаны к правилам трансляции используя ключевое
слово no. Например:

no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

В этом случае вся сеть 192.168.1.0/24 за исключением 192.168.1.10
будет транслирована на IP адрес 24.2.74.79.


nat on tl0 from 192.168.1.10 to any -> 46.4.86.90
no nat on tl0 from 192.168.1.10 to any
nat on tl0 from 192.168.1.0/24 to any -> 24.2.74.79

так правильно будет?


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика