Meine FAQ ;) - ipfw/nat/jail

From: Oskar Eyb <oskar(at)solls.net>
Date: Thu, 4 Sep 2003 03:44:01 +0200

guten Morgen,

ich komme wieder mal nicht weiter. Das Thema natd hat mich schon einige
Nerven und ausgesperrte ssh-sessions gekostet ;) Nun habe ich mir hier
eine Testumgebung aufgebaut in der ich die gewünschte Funktionalität
gerne erstmal hinbekommen würde.

Auf 127.0.0.11 läuft eine Jail, in ihr der Apache-Webserver auf Port 80.
Ich möchte nun erreichen das Anfragen auf Port 80 an 10.0.0.1 aus dem
LAN an die Jail weitergereicht werden (soweit bin ich laut natd schon)
und auch beantwortet werden. Wenn dann auch noch Verbindungen aus der
Jail raus (z. B. DNS-Anfragen an lokalen DNS-cache) möglich wären bin
ich glücklich:) Es müsste also reinwärts mit "port forwarding" und
rauswärts mit (P)NAT (127.0.0.11 hinter 10.0.0.1 verbergen) funktionieren.

Hier die relevante config:

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255

lo0: flags=8149<UP,LOOPBACK,RUNNING,PROMISC,MULTICAST> mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 127.0.0.1 netmask 0xff000000
        inet 127.0.0.11 netmask 0xffffffff

/etc/rc.firewall:
## DIVERT-Regel für NATd
ipfw add 00050 divert 8668 ip from any to any via fxp0

ipfw list:
00050 divert 8668 ip from any to any via fxp0
65535 allow ip from any to any

rc.conf:
## firewall
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"

#natd_enable="YES"
#natd_flags="-f /etc/natd.conf"
#natd_interface="fxp0"

Den natd habe ich so gestartet (auch mit kleineren Variantionen bei -a,
-t und mit -n)

natd -log -v -redirect_port tcp 127.0.0.11:80 80 -a 10.0.0.1 -t 10.0.0.1

Die Ausgabe sieht dann so aus (abgeschrieben...)

In [TCP] [TCP] 10.0.0.30:40007 -> 10.0.0.1:80 aliased to
         [TCP] 10.0.0.30:40007 -> 127.0.0.11:80

tcpdump -ni lo0 bleibt stumm.

Wie macht mans nun richtig?

-- 
Oskar
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 04 Sep 2003 - 03:44:56 CEST

search this site