1. Проверяем, что ядро собрано с опциями «IPDIVERT» и «IPFIREWALL», если нет – пересобираем ядро или добавляем куда-то в стартовые скрипты загрузку модулей ipfw.ko и ipdivert.ko (команда kldload).

2. В файл /etc/rc.conf добавляем следующие строки:
firewall_enable="YES"
firewall_type="OPEN"
gateway_enable="YES"
natd_enable="YES"
natd_interface="xl0"

Здесь «xl0″ указано для примера, вместо него нужно подставить реальное имя внешнего интерфейса (уходя через который пакеты имеют уже другой адрес отправителя).

3. Добавляем правила в ipfw, которые будут заворачивать трафик к natd:
ipfw add 1000 divert natd ip from 192.168.0.0/24 to not 192.168.0.0/24 out xmit xl0
ipfw add 1100 divert ip from not 192.168.0.0/24 to 20.30.40.50 in recv xl0

Можно было и просто написать
ipfw add 1000 divert ip from any to any via xl0
но мне первый вариант кажется более изящным (особенно в случае когда на интерфейсе xl0 висит куча сеток, а мы хотим чтобы натились только некоторые их них).

Номера правил (в примере 1000 и 1100) следует выбирать с учетом взаимного влияния других правил, лучше их ставить где-то в начале. Если, к примеру, у Вас будет что-то типа «allow tcp from any to any established» под номером 500, то с очень большой вероятностью получите грабли, т.к. трафик для установившихся TCP-сессий не будет проходить через natd, поскольку правило с номером 500 сработает раньше правил с номерами 1000 и 1100.

Важное замечание: если шлюз для внутренней сети 192.168.0.1 и внешний адрес 20.30.40.50 висят на одном интерфейсе, то внешний адрес 20.30.40.50 обязательно должен быть первым (основным, который НЕ-alias), а 192.168.0.1 – алиасом (см. man ifconfig). Иначе работать не будет (сам когда-то полчаса ломал голову в такой ситуации, удивляясь почему не работает то, что построено строго в соответствии с рекомендациями признанных гуру).

Вместо «natd» в этих правилах можно писать «8668″ – это «порт», который «слушает» natd. Хотя мне лично непонятно что это за «порт» такой – не в терминах же протокола TCP употребляется здесь слово «порт» (потому что natd работает далеко не только для TCP-трафика, а еще и для UDP, ICMP и др.).

Как построить NAT в другую сторону (извне вовнутрь) описано здесь во второй части статьи.

Похожие заметки:

1. Строим VPN-сервер на основе pptpd PPTP – это Point-to-Point Tunelling Protocol, используется чаще всего для организации защищенного подключения удаленных пользователей во внутреннюю сеть компании через...
2. NAT в linux Исходные данные: есть роутер с двумя физическими интерфейсами – eth0 (внешний) и eth1 (внутренний). На внутреннем интерфейсе прибит ip-адрес 192.168.0.1/24....

1. echo 1 > /proc/sys/net/ipv4/ip_forward

2. /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
3. /sbin/iptables -I FORWARD -d 192.168.0.0/24 -j ACCEPT
4. /sbin/iptables -I FORWARD -s 192.168.0.0/24 -j ACCEPT

Чтобы действие из п.1 не приходилось выполнять каждый раз после перезагрузки роутера, нужно поправить соответствующую опцию в /etc/sysctl.conf

Если требуется построить NAT в другую сторону, известный также как DNAT, то это можно сделать примерно так:

/sbin/iptables -t nat -A PREROUTING -p tcp -d 195.5.5.1 –dport 8182 -j DNAT –to-destination 10.10.10.18:80

Здесь 195.5.5.1 – внешний ip-адрес сервера, попытки установить соединение на 195.5.5.1 tcp-порт 8182 будут перенапрявляться на машину во внутренней сети с ip-адресом 10.10.10.18 на порт 80. При этом 10.10.10.18 должен быть directly-connected для сервера (то есть доступным для нашего сервера с DNAT-ом без использования промежуточных маршрутизаторов). А вот если это условие не выполняется, проброс портов можно сделать с помощью xinetd, создав в директории /etc/xinetd.d файл примерно такого содержания:
service redir8182
{
flags = REUSE
socket_type = stream
wait = no
user = nobody
group = nobody
protocol = tcp
disable = no
port = 8182
redirect = 10.10.10.18 80
}
И в файл /etc/services добавить строку:
redir8182 8182/tcp # access to the internal web-server from the world

Если какая-то машинка за NAT-ом испытывает трудности с подключением к внешнему VPN-серверу и винда показывает ошибку №619, то стоит попробовать включить модуль ядра ip_nat_pptp на linux-роутере, который исполняет NAT:
modprobe ip_nat_pptp

Похожие заметки:

1. Порядок настройки свежеустановленной Linux Здесь описан порядок начальной настройки свежеустановленной операционной системы (на примере RedHat-подобных дистрибутивов, таких как Fedora, CentOS и т.п). Проверить, что...
2. Дисковые квоты в Linux Включение дисковых квот в Linux. Взято с http://www.yolinux.com/TUTORIALS/LinuxTutorialQuotas.html Редактируем файл /etc/fstab, добавляя параметры «usrquota» и/или «grpquota» в строки для нужного...
3. Строим VPN-сервер на основе pptpd PPTP – это Point-to-Point Tunelling Protocol, используется чаще всего для организации защищенного подключения удаленных пользователей во внутреннюю сеть компании через...