Portmap в FreeBSD, Нужно сделать, нехватает МАНов. Опции

[KrivoSoft]

Суть проблемы:
Есть сервер с FreeBSD, на нем ipfw, natd,squid(transparent proxy),named.
Нужно на этой машине сделать портмаппинг.
Т.е. чтобы например все запросы на 443й порт к внешнему интерфейсу BSD перенаправлялись на тот же порт машины во внутренней сети.
Насколько я понимаю задача решаема с помощью одного ipfw,
но после продолжительного гугления не нашел ни одного доступного для понимания МАНа(о примерах даже речи нет)
Хочется решить задачу так, чтобы по возможности не ставить дополнительное ПО, и не нарушить работу существующих сервисов.
Прошу помочь советами/примерами/МАНами.

Заранее благодарен!

[bestia]

natd or ipnat или bounce из портов (не пробовал)
ipfw тоже можно попробовать, но не забыть ядро пересобрать с

options         IPFIREWALL_FORWARD
options         IPFIREWALL_FORWARD_EXTENDED

[KrivoSoft]

Спасибо!

Из предложеных вариантов склоняюсь к реализации сего на natd,
Насколько я понял нужно запустить еще один natd с нужными параметрами,
т.е. сделать паралельно НАТу через который юзера странички тянут,
статический НАТ который будет заниматся портмапом.

параметры конфига приблизительные нашел, идею вроде понял...

-= natd.conf =-
port 8668
interface xl0
log_denied yes
log_ipfw_denied yes
unregistered_only yes
same_ports yes
deny_incoming yes
redirect_port tcp 192.168.192.2:22 8822
redirect_port tcp 192.168.192.2:80 8880

-= ipfw =-
oif="xl0"
serv_port="21,22,25,80,110,443,1723"
lan="192.168.192.0/24"
inner_server="192.168.192.2/32"
inner_serv_port="22,80"

ipfw add pass tcp from any to me ${serv_port} in recv ${oif}

ipfw add divert 8668 all from me to any out xmit ${oif}
ipfw add divert 8668 all from ${lan} to any out xmit ${oif}
ipfw add divert 8668 all from any to me in recv ${oif}

ipfw add pass tcp from any to ${inner_server} ${inner_serv_port} setup
ipfw add pass tcp from any to any established


Но возникает логическийвопрос КАК правильно запустить второй натд,
... и откуда...

[bestia]

Для этой задачи достаточно и одного.
Несколько natd может понадобиться при трансляции в разные ip-адреса (папример по разным интерфейсам)
Но natd — очень нехорошее решение, когда трафика больше единиц мегабит.

[Net-burst]

Лучше юзать pf для таких задач. У меня на серваке именно он и стоит как фаер/нат/портмап. Совершенно дохлая тачка, на которой вин2003 оптимизированя грузилась больше 15 минут, отлично переваривает трафик вплоть до 9 мегабайт/сек включая самбу. Сетевухи у меня хреновые стоят в серваке и десктопе. Они сами по себе фиг потянут чтото выше 10 метров/сек. Хотя при комбинированой нагрузке (+самба) я таки выжимаю почти 100 мегабит. Получается почти 11 метров/сек.

[KrivoSoft]

Спасибо всем за советы!!!

Окончательное решение оказалось элементарным:
в /etc/rc.conf добавил строчку такого вида:
natd_flags="-redirect_port tcp 192.168.0.2:80 8880"

.. и рестартонул сервак и чудо свершилось :-)

Касаемо трафика - то у меня этот вопрос не актуальный.
Трафика через данный портмап будут ити копейки.. в любом случае менее 1Мбит/c.
Поэтому пока пусть работает так, а случай будет нехватать - будем позже разбираться :-)