Почему не пускает на веб из инета или проблема ipfw?

[Hrusha]

Есть сеть согласно рисунка. Сервер - это FreeBSD 6.3, на нем настроено ipfw+natd.
rc.conf:

Код:

ipv6_enable="NO"

gateway_enable="YES"

defaultrouter="aaa.bbb.ccc.2"
ifconfig_fxp0="inet aaa.bbb.ccc.1 netmask 255.255.255.252"
ifconfig_fxp1="inet xxx.yyy.zzz.1 netmask 255.255.255.248"

natd_enable="YES"
natd_flags="-config /etc/natd.conf"
natd_interface="fxp0"

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/home/rc.firewall"

natd.conf:

Код:

same_ports yes
use_sockets yes

rc.firewall:

Код:

${fwcmd} add divert natd all from any to any via fxp0
${fwcmd} add allow all from any to any via fxp0
${fwcmd} add allow all from any to any via fxp1

Сервер1 - это FreeBSD 8.0 на нем стоит ipfw+apache.
rc.conf:

Код:

ipv6_enable="NO"

gateway_enable="YES"

defaultrouter="xxx.yyy.zzz.1"
ifconfig_fxp0="inet xxx.yyy.zzz.2 netmask 255.255.255.248"

firewall_enable="YES"
firewall_type="OPEN"
firewall_script="/home/rc.firewall"

apache22_enable="YES"

rc.firewall:

Код:

${fwcmd} add allow all from any to any via fxp0

Адреса aaa.bbb.ccc.0\30 и xxx.yyy.zzz.0\29 не пересекаются, а так же являются публичными, то есть реальными в инете.

Когда я из инета пытаюсь доступиться к веб на xxx.yyy.zzz.2 пишет time out. При этом пинг на xxx.yyy.zzz.2 работает, но телнетом порт 80 недоступен. Хотя если сделать sockstat на сервер1, показывает, что порт открыт. С консоли Сервер через телнет порт 80 доступен. Как можно сделать, что бы доступиться к вэб через инет?

[FantomIL]

Цитата:

Сообщение от Hrusha

Адреса aaa.bbb.ccc.0\30 и xxx.yyy.zzz.0\29 не пересекаются, а так же являются публичными, то есть реальными в инете.

А зачем вам в таком случае НАТ, позвольте полюбопытствовать?
Собственно в это и проблема. А точнее в отсутствии правила редиректа порта 80 с интерфейса aaa.bbb.ccc.1 на сервере на адрес xxx.yyy.zzz.2 на сервере 1.
Поскольку НАТ-у на сервере глубоко параллельно что именно он транслирует - реальные адреса или приватные. Но вот на правила порт-форвардинга ему не параллельно. А то что вы на файрволле на сервере весь трафик разрешили это не значит, что вы форвардите запросы дальше.
Либо настраивайте порт-форвард и обращайтесь к серверу 2 через "внешний" интерфейс сервера, либо отменяйте НАТ и настройте сервер, как обычный маршрутизатор.