Объясните, пожалуйста (routing, forwarding, redirect)

[Privet]

Опять я тормознулся. У меня камеры стоят налокальерй сети (зона lan). Сам сервер, который с ними работает стоит на vmware и подключен к некой зоне loc. Мне нужно иметь доступ из loc -> lan по порту 554.
1. Сделал набор настроек полностью симметричных тем, которые обеспечивают соединение lan -> loc. Также изменил для зоны loc настройки:

Input accept
Output accept
Forward accept

Code: Select all

config forwarding
	option dest 'loc'
	option src 'lan'

config redirect
	option target 'SNAT'
	option proto 'all'
	option src 'loc'
	option dest 'lan'
	option src_dip '192.168.0.1'
	option name 'loc-snat'

config rule
	option target 'ACCEPT'
	option src 'loc'
	option dest 'lan'
	option proto 'all'
	option name 'loc-to-lan'
	option dest_ip '192.168.0.1'

Не работает. Т.е. с сервера в зоне loc я не могу достучатся до камеры.

2. Нашёл такую подсказку как сделать доступ dmz -> lan. В сущности то же самое. Дбавил такую настройку (192.168.0.20 - одна из камер):

Code: Select all

config redirect
	option target 'DNAT'
	option proto 'tcpudp'
	option src 'loc'
	option dest 'lan'
	option dest_ip '192.168.0.20'
	option name 'loc-dnat'

Не работает. Пытался выключать первый комплект настроек (последние две из них), оставив только dnat. Ничего не помогает. Пробовал их в разных комбинациях и с разными IP - не работает.

Code: Select all

[root@vpn ~]# telnet 192.168.0.20 80
Trying 192.168.0.20...
telnet: connect to address 192.168.0.20: No route to host

Выяснил также, что я не понимаю базовой терминологии. Документация здесь, но я не всё понимаю.
Что такое external и internal хосты?
Что такое redirect и forward?

И главное. Как мне всё-таки достучаться до моей камеры? Из lan я её, конечно, вижу.

Спасибо большое заранее.

[Privet]

Сделал.
Настройки были правильными, но route я сделал по аналогии с другими записями. Немного подумал и поправил. DNAT там, как я и думал, оказался не нужным.
Однако, хотелось бы получить ответы на теоретические вопросы. В том числе, для чего конкретно нужна каждая из трёх записей, что они делают с пакетом, где и на каком этапе? Я понимаю, как мне кажется, только первую. Вторую - только частично. Понятно, что в пакете подменяется src для отправления ответа в нужном направлении. Почему именно redirect я не понимаю.

[StrangerR]

Про записи не скажу, я этот синтаксис впервые в жизни вижу.

Про остальное - обычно не надо мудрить. Делаете две зоны адресов - внутреннюю приватную (local, lan,home, все включая и DMZ хотя иногда делают две DMZ, nat_DMZ и nonat_DMZ). И внешнюю, на паблик адресах, или OUTSIDE или OUTSIDE и notan_DMZ.

И только при переходе с первых на вторые делаете NAT, наружу GLOBAL (исходящие соединения получают один адрес а порты меппятся) а внутрь только к тем кому нужн о (или IP:IP или IP/tcp/порт на IP/tcp/порт). И все.

Внутри естественно роутинг у всех, но между зонами еше и фильтры по необходимости. Ну или зоны вообще файреволл делит. Но по адресам - именно так обычно делают, внешние и внутренние, не деля дальше (все внутренние взаимно роутятся через фильтры, ну и внешние тоже).

[Privet]

... Внутри естественно роутинг у всех, но между зонами еше и фильтры по необходимости. Ну или зоны вообще файреволл делит. Но по адресам - именно так обычно делают, внешние и внутренние, не деля дальше (все внутренние взаимно роутятся через фильтры, ну и внешние тоже).

В данном случае, вероятно, опыта не хватило. У меня на vmware несколько VM в зоне dmz, а несколько фактически напрямую идёт к lan. Я потом-то понял, что мог просто через отдельный порт или, возможно, отделив по VLAN, прокинуть lan к тем VM, а я вместо этого создал дополнительную зону и из неё стал строить проход в lan, что фактически эквивалентно их соединению. Правда, я ограничил связь между ними только одним портом.