Re: Probleme mit natd

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Fri, 23 May 2003 14:31:16 +0200

On Fri, May 23, 2003 at 02:11:16PM +0200, Carsten Maul wrote:
> Hi,
>
> mein Problem ist da natd auf meinem FreeBSD 4.8 zwar Adressen richtig
> vom Internen
> Netzwerk zur öffentlichen Adressen umsetzt, anschliessend aber keine
> Rückumsetzung erfolgt.
>
> Ich kann den Rechner 134.91.4.3 ohne Probleme "anpingen".
> Wenn ich dies aber via NAT von einem Rechner im internen Netzwerk
> (194.173.35.0/24)
> tue, dann kann ich via tcpdump sehen wie das ICMP Paket ins Internet
> rausgeht, dann sehe ich den Echo Reply
> von 134.91.4.3. Aber Natd setzt das Echo Reply nicht um.
> (Bitte schlagt mich jetzt nicht wegen 194.173.35.0/24, das war in
> diesem internen Netz schon immer der Adressraum,
> angeblich damals verbockt vom SAP Consultant. Vor SAP hatten die nur
> IPX.)

Solche Fälle kenne ich zur genüge...

> Hier noch die ipfw Regel für Divert dazu:
> 00100 divert 8668 ip from 194.173.35.0/24 to any via dc0
>
> Hier mein tcpdump der externen Schnittstelle dc0 (meine IP habe ich
> gelöscht),
> nachdem ich vom internen Rechner die 134.91.4.3 angepingt habe:

Die arme unidui :)

> 13:57:15.785592 xxx.xxx.xxx.xxx > 134.91.4.3: icmp: echo request
> 13:57:15.827773 134.91.4.3 > xxx.xxx.xxx.xxx: icmp: echo reply (DF)
>
> Das sieht doch gut aus, aber natd will dann nicht:
>
> Hier der output von /sbin/natd -v -n dc0 dazu:
> Out [ICMP] [ICMP] 194.173.35.2 -> 134.91.4.3 8(0) aliased to
> [ICMP] xxx.xxx.xxx.xxx -> 134.91.4.3 8(0)

Dann bleibt nur noch die Erklärung, daß das Packet nicht zur
divert Regel gelangt.
Ist auch kein Wunder, da du oben nur Packete mit Absender
194.173.35.0/24 zum natd schickst - nicht aber die Anworten.
Du brauchst noch eine zweite Regel, die an den gleichen divert Port
schickt und auf die Antworten passt.
In der Regel filtert man auf die offizielle Addresse, also in deinem
Fall Ziel == xxx.xxx.xxx.xxx

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 23 May 2003 - 14:31:27 CEST

search this site