[freebsd] Завернуть запросы по номеру порта в туннел.

[Eugene Grosbein]

07.05.2020 11:15, Nick Kostirya пишет:
> On Wed, 6 May 2020 22:37:48 +0700
> Eugene Grosbein <eugen at grosbein.net> wrote:
> 
>> 06.05.2020 20:02, Nick Kostirya пишет:
>>> Привет.
>>>
>>> Возникла дома задачка.
>>> Есть сервера, на которых висят по два сервера. 
>>> На один нужно ходить на прямую, на второй только через туннель.
>>> Решил звернуть в туннуль по номеру порта.
> ....
>> Во-вторых, нужно уточнить задачу: речь про исходящие коннекты с этой машины
>> к серверу, доступному через туннель? Если да, то нужно не правило ipfw fwd,
>> а маршрут до сервера через туннель. При one_pass=1 после срабатывания
>> трансляции пакет дальше не проходит по правилам ipfw и не попадает в ipfw fwd.
>> Это легко заметно из вывода ipfw show, там показываются счётчики срабатываний правил.
> 
> Да, речь идет об этом варианте.
> 
> Пытаюсь настроить домашний ноутбук (N).
> Есть сервер (S), на котором запущены два сервера: P1 на одном порту и P2 на втором порту.
> Есть сервер (T) к которому с ноута поднят тунель.
> В основном работаю со связкой N - S:P1 напрямую.
> Доступ к S:P2 напрямую закрыт, но возможен через тунель (T).
> 
> Я могу у себе на ноуте (N) в роутинге прописать, что ходить на S через тунель T.
> Все работает, но медленно.
> 
> Поскольку тунель нужен только для S:P2, решил попытаться настроить "роутинго" по номеру порта на N, чтобы ходить  на S:P1 напрямую.
> 
> 
> Получается, что ipfw fwd нельзя использовать для исходящего трафика, а только для входящего?

Можно, нужно лишь отключить one_pass. Но транслировать трафик на tap0 нет никакой необходимости.
Транслировать имеет смысл только на T, чтобы запросы, приходящие из туннеля, уходили на S с подмененным адресом источника.
Ответные пакеты после обратной трансляции будут уходить в туннель просто по роутингу.