Русский

Здравствуйте.
Имеется система http://code.google.com/p/m0n0wall-mod/ (спасибо за мод!)
с DHCP+PPPoE on WAN interface.
Интерфейсы: WAN - реальный IP; WAN_eth - серый,локалка; LAN.
Для возможности создания своей игры на компьютере в LAN в COD6 и для улучшения вероятности подключения к созданным играм в GTA4 EFLC, необходимо пробросить порты с WAN на LAN.
При запуске игр можно проверить тип NAT, т.е. в COD6 сообщается что тип подключения к сети "Закрытый",  в ГТА4 проверяется через Games for Windows Live - настройки сети.

Открываю нужные порты в firewall, в Inbound NAT перенаправляю порты на компьютер в LAN - тип подключения, по мнению игр - не меняется(Закрытый).
Если включаю NAT 1:1 - тип подключения, по мению игр - становится Открытый. все хорошо. При этом перенаправление порта(WAN->LAN_IP2) torrent клиента, который установлен на другом компьютере, отключается.
Вопрос1: при установке NAT 1:1 ( с WAN на LAN_IP1 ) правила Inbound NAT не работают?
Вопрос2: при  установке NAT 1:1 диапазон или список разрешенных для проброса портов определяется правилами firewall? пробовал закрывать порты - тип подключения(в игре ) менялся(закрытый), открывал нужные порты - становился Открытый.
Т.е. делаю вывод что с правилами firewall все в порядке.
При отключении NAT 1:1( вступают в действие правила inbound(?) ) и тестировании открытости портов с помощью спецпрограммы - вижу что порты открыты. Для опыта отключаю перенаправление в inbound nat - порты закрыты. Т.е. правила работают.
Итого: почемуто не работает перенаправление inbound nat для игр, для torrent клиента работает. При включении режима NAT 1:1 - перенаправление портов для игр работает, но не работает перенаправление порта на другой компьютер(torrent).
Вопрос3: почему так? хотелось бы все настроить правилами inbound nat
 
подобные темы: http://forum.m0n0.ch/index.php/topic,4311.0.html и http://forum.m0n0.ch/index.php?topic=3604.0 - ответов не было.

ИМХО, вы открываете не все нужны для игры порты.
Некоторые игрушки обходятся одним портом для подключения (CS скажем - 27015), а некоторые требуют их достаточно много (эмуль battel.net - 6110-6120, 4000), для начала нужно точно узнать список всех используемых портов.

1:1 NAT, насколько я помню, это точное сопоставление "Внешний IP - Внутренний IP", по этому на втором компьютере NAT-то и отключается - внешний интерфейс уже жестко натится на игровой сервер.

Игровой сервер win\*nix ?

Да, очень похоже на то, что не все порты перенаправлены. Но, с другой стороны, все
Для COD6 делал аналогично http://forum.m0n0.ch/index.php/topic,4311.0.html - много портов, легче ошибиться, реально я все проверял, все открыто верно.
Для ГТА4 - в firewall открыто 2 смежных порта(с типом TCP/UDP), они же перенаправлены на LAN_IP1 ( inbound nat ) - в таком режиме не работает. Прописываю NAT 1:1 - работает, настройки firewall- теже. Т.е. делаю вывод что двух портов для этой игры достаточно.
На LAN перенаправляю на компьютер с Windows ( пробовал и 7 и Vista ).
  

Глупый вопрос - а вы правила NAT И фаервола отдельно составляли, или создавали правило NAT И ставили галку "Auto-add a firewall rule to permit traffic through this NAT rule" &

В NAT --> Outbound что у вас ? м.б. входящие-то есть, а сервер не отвечает ...

вроде бы ставил галку "auto-add...", потом все несколько раз перенастраивал.
в результате
firewall для WAN:
TCP/UDP    *    *    192.168.21.11    3074 - 3075    NAT gta4 incoming

inbound nat:
WAN    TCP/UDP    3074 - 3075    192.168.21.11    3074 - 3075    gta4 port

outbound:
WAN    192.168.21.0/24    *    *    LAN to internet

в такой(вышеописанной) конфигурации не работает.

Добавляю в NAT 1:1 :
WAN    Внешний_IP/32    192.168.21.11/32    

и все хорошо...
Как можно проверить что кривое? руки, софт и т.п.?

Порты пробрасываю не на игровой сервер, а на запущенную игру(cod6, gta4 ).

[Firewall: NAT: OutboundWAN 192.168.21.11/24 * * WAN eth 192.168.21.11/24 * * Firewall: Rules* LAN net * * *]

Порты пробрасываю не на игровой сервер, а на запущенную игру(cod6, gta4 ).

Загадки во тьме ... а зачем ? Для клиента вообще должно хватать:

Firewall: NAT: Outbound
WAN      192.168.21.11/24         *      *
WAN eth      192.168.21.11/24         *      *

Firewall: Rules
*      LAN net      *      *      *


ибо исходящие соединения, это сервер по определенным портам должен быть доступен снаружи. Или я чего-то не понимаю ?

Хотя все становится нормально при 1:1 NAT ... попробуйте поставить какой-нить софтовый фаер и отследить какие соединения процесс игры устанавливает, ну или netstat -a

Проброс портов внутрь нужен для, так сказать, полноценного использования возможности игры(т.е. для COD6 это возможность создавать свою игру(типа сервер-другие могут подключаться), для ГТА4 - это 100% подключение к другим созданным играм(иначе соединение происходит меньше чем к половине серверам и отваливается по таймауту)).

Порты смотрел, кроме тех что описал в правилах - неувидел.
Хотелось бы уточнить:при  установке NAT 1:1 диапазон или список разрешенных для проброса внутрь портов определяется правилами firewall?Т.е. только разрешенные порты прокидываются внутрь?

Спасибо за ответы. Буду копать дальше.

Если ктото настраивал примерно такую-же схему: сообщите пожалуйста название игры  и правила NAT & firewall.

должно быть так:
пример:

NAT: Inbound

WAN  TCP/UDP  33333  192.168.1.250  33333  comment  

Firewall: Rules Wan

TCP/UDP  *  *  192.168.1.250  33333  comment

автоматическое правило иногда добавляется криво, поэтому необходимо его править вручную

ну и правило по-умолчанию
Outbond

WAN  192.168.1.0/28  *  * 

у вас все правильно было

на винде в фаирволе тоже необходимо открыть входящие порты для игр

все это проверить можно telnetом с мира

Проверял открытость портов спец прогой simple_port_tester - все нужные порты были открыты.
Нашел тему http://forum.pfsense.org/index.php/topic,25547.0.html - решил попробовать сделать аналогично и обратил внимание на
"""Set "Static Port" on the subnet hosting the xbox360 to "Yes."  My rules look like this:
 WAN   192.168.243.0/24  *  *  *  *  *  YES
"""
когда то ставил pfsense, но удалил всвязи с WAN_eth, поствил m0n0. Посмотрел туда же(в вышеуказанные слова) повнимательней  и обнаружил в m0n0wall для outbound NAT опцию Disable port mapping, т.е. перенаправление портов одинВодин, включил и ... все заработало ( т.е. NAT по сообщение игр стал открытый )
Обнаружил что надо после каждого измениния firewall или nat настроек или перегружать m0n0wall, или нажимать Reset State( обнаружил позже ) для того чтобы настройки вступили в силу.
Т.о. проблема скорее всего решена, завтра будет тестировать сын(для него и всё и делалось:)). если испытания пройдут успешно - сообщу. спасибо за помощь.

итого проблема решена. Так же обнаружилось поиском по форуму ( по словам "disable port mapping" )несколько тем с похожим вопросом и ответом.
Итого:
ответ: 1.прописать в inbound nat необходимые порты для их перенаправления на конкретный IP в LAN
2. для outbound nat для сети LAN указать "disable port mapping"
результат: удалось узобразить что один IP в LAN как будто напрямую подключен к WAN, что дает некоторые возможности