NATD проброс портов

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
igorlviv
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-22 11:31:17

NATD проброс портов

Непрочитанное сообщение igorlviv » 2009-12-16 10:50:21

Подскажите пожалуйста мне надо пробросить 2 порта с внешнего адреса в локальную сеть
1. внешний интерфейс:500 --> 192.168.2.253:500
2. внешний интерфейс:7777 --> 192.168.1.105:4899
Для етого я воспользовался возможностями NATD

******* ВОПРОС ***********
Что я сделал неверно? Почему первый проброс работает а второй нет?
*****************************
Мои настройки

Подключение к инету осуществляется через PPPoe (ADSL BRIGE) tun0
/etc/rc.conf

Код: Выделить всё

ifconfig_rl0="inet 192.168.2.254 netmask 255.255.255.0"  ( в этот интерфейс через свич включен АДСЛ и VPN роутер (192.168.2.253) )
ifconfig_rl1="inet 192.168.1.254 netmask 255.255.255.0"
ifconfig_rl1_alias0="inet 192.168.0.254 netmask 255.255.255.0"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"

/etc/natd.conf

Код: Выделить всё

redirect_port tcp 192.168.2.253:500 500
redirect_port tcp 192.168.1.105:4899 7777
Последний раз редактировалось terminus 2009-12-29 12:22:19, всего редактировалось 1 раз.
Причина: Убедительная просьба юзать теги [code] при оформлении листингов.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение schizoid » 2009-12-16 10:56:45

подозреваю, что у вас запущен только 1 НАТ, а как видно из условия задачи, запрос приходит на 2 интерфейса, так?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

igorlviv
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-22 11:31:17

Re: NATD проброс портов

Непрочитанное сообщение igorlviv » 2009-12-16 11:08:48

оба запроса приходят на tun0
tun0 это интерфейс поднятый PPPoE (это внешний реальный динамический IP ОГО Укртелеком)
соответственно на него приходят запросы на порт 500 и 7777

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение schizoid » 2009-12-16 13:05:37

что тогда у вас на обоих интерфейсах висит?
подозреваю, что на одном сетка какая-то, на втором модем. так?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

igorlviv2
проходил мимо

Re: NATD проброс портов

Непрочитанное сообщение igorlviv2 » 2009-12-17 10:17:54

Да на одном АДСЛ модем (192.168.2.1)
на втором локальная сеть 192.168.0.ххх и 192.168.1.ххх

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение schizoid » 2009-12-17 11:14:02

1. по моему на алиас маска /32 прописывается
2. для серваков, на который делаешь проброс, шлюз по-умолчанию 192.168.1.254 и 192.168.0.254 ?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

igorlviv2
проходил мимо

Re: NATD проброс портов

Непрочитанное сообщение igorlviv2 » 2009-12-17 15:34:33

Погуглив по поводу альясов
кажется что у меня верно. Тем более что альяс работает
Будут еще мнения?
почему одна строка работает а вторая нет

igorlviv2
проходил мимо

Re: NATD проброс портов

Непрочитанное сообщение igorlviv2 » 2009-12-17 15:36:30

Да для них шлзом является компютер который пробрасывает порты

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение Zhan » 2009-12-29 8:59:01

Ваще у кого нить работает проброс портов в локалку средствами natd ???
я скока не мучаюсь - не получается. rinetd - конечно быстрое решение, но хочется все таки natd заюзать.
___________________

Код: Выделить всё

ns2# uname -v
FreeBSD 8.0-RELEASE
___________________

Код: Выделить всё

ns2# cat /etc/rc.conf

# -- sysinstall generated deltas -- # Mon Dec 28 16:08:16 2009
# Created: Mon Dec 28 16:08:16 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="xx.xx.x.x"
hostname="ns2.zzz.zz"
ifconfig_le0="inet xx.xx.x.x  netmask 255.255.255.x"
ifconfig_le1="inet 192.168.0.1  netmask 255.255.255.0"
sshd_enable="yes"
gateway_enable="yes"
firewall_enable="yes"
firewall_type="SIMPLE"
firewall_verbose_enable="yes"
natd_enable="yes"
natd_interface="le0"
natd_flags="-f /etc/natd.conf"
sendmail_enable="no"
named_enable="yes"
ns2#
___________________________

Код: Выделить всё

ns2# ipfw show
00100     132      17544 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400       0          0 deny ip from 192.168.2.0/24 to any in via le0
00500       0          0 deny ip from 82.200.156.16/29 to any in via le1
00600      21       1008 deny ip from any to 10.0.0.0/8 via le0
00700       0          0 deny ip from any to 172.16.0.0/12 via le0
00800      12        576 deny ip from any to 192.168.0.0/16 via le0
00900       0          0 deny ip from any to 0.0.0.0/8 via le0
01000       0          0 deny ip from any to 169.254.0.0/16 via le0
01100       0          0 deny ip from any to 192.0.2.0/24 via le0
01200       0          0 deny ip from any to 224.0.0.0/4 via le0
01300       0          0 deny ip from any to 240.0.0.0/4 via le0
01400 2072830 1726290484 divert 8668 ip from any to any via le0
01500       0          0 deny ip from 10.0.0.0/8 to any via le0
01600       0          0 deny ip from 172.16.0.0/12 to any via le0
01700       0          0 deny ip from 192.168.0.0/16 to any via le0
01800       0          0 deny ip from 0.0.0.0/8 to any via le0
01900       0          0 deny ip from 169.254.0.0/16 to any via le0
02000       0          0 deny ip from 192.0.2.0/24 to any via le0
02100       0          0 deny ip from 224.0.0.0/4 to any via le0
02200       0          0 deny ip from 240.0.0.0/4 to any via le0
02300 4061208 3447671020 allow tcp from any to any established
02400       0          0 allow ip from any to any frag
02500       1         48 allow tcp from any to me dst-port 8022 setup
02600       0          0 allow tcp from any to me dst-port 21 setup
02700       1         40 allow tcp from any to me dst-port 53 setup
02800     574      39455 allow udp from any to me dst-port 53
02900     485      76715 allow udp from me 53 to any
03000       3        144 allow tcp from any to me dst-port 80 setup
03100   19351    1041768 deny log logamount 50 tcp from any to any in via le0 setup
03200   34954    1677792 allow tcp from any to any setup
03300    2069     330509 allow udp from me to any dst-port 53 keep-state
03400       0          0 allow udp from me to any dst-port 123 keep-state
03500    1999     143343 allow icmp from any to any
65535   15023    1754808 deny ip from any to any
ns2#
__________________________________________

Код: Выделить всё

ns2# cat /etc/natd.conf
use_sockets
same_ports
redirect_port tcp 192.168.0.2:80        80
redirect_port tcp 192.168.0.2:21        21
ns2#
___________________________________________
итого:
в локалке как вы поняли веб и ftp сервер.
у него шлюзом по умолчанию указан 192.168.0.1

и ни фига не пашет.
сервер FreeBSD - является вторичным ДНС сервером. и хотелось бы чтобы не просто named крутился, но и web с ftp обслуживал.
Просьба: не предлагать поднимать серверы ftp и web на нем же.
не тыкать в сторону ipfw-nat, так как че то я егоне вкурил никак. пробовал - проброс портов работает, а вот с правилами в фаере не смог разобраться. то ли синтаксис другой то ли я "на на лыжах в июле" :(

P.S. кстати хоть в rc.conf и включены логи почему то в security - ничего не появлялось.
опции в ядре:
IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=100
IPFIREWALL_FORWARD
IPDIVERT
DUMMYNET (пока не используется, но на всякий случай включил в ядре)
Знания, которые не пополняются ежедневно, убывают с каждым днем.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: NATD проброс портов

Непрочитанное сообщение mediamag » 2009-12-29 11:20:28

Вечная проблема у новичков...в natd.conf после последнего правила ставтье ЭНТЕР!!!! и уберите табуляции и лишние параметры для отладки пока....

Код: Выделить всё

redirect_port tcp 192.168.0.1:80 80

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение Zhan » 2009-12-29 11:33:47

Enter в конце присутствует! с первых шагов привык чтобы конф кончался пустой строкой.
были испробованы вариации без табуляций и без параметров в первых строках... проблема не в этом!
Знания, которые не пополняются ежедневно, убывают с каждым днем.

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение arkan » 2009-12-29 13:10:43

Буквально с неделю назад тоже пытался нечто подобное сделать
После пары часов танцев с бубном остановился на IPNAT

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение Zhan » 2009-12-29 13:49:04

))) в том то и дело что хочется подручными средствами!!!
Что? неужели никто не знает???
Знания, которые не пополняются ежедневно, убывают с каждым днем.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: NATD проброс портов

Непрочитанное сообщение mediamag » 2009-12-29 13:53:11

В фаерволе разреши ниже ната пробрасываемые порты на внешнем и внутренем интерфейсе

Код: Выделить всё

ipfw add allow tcp from any to 192.168.0.1 80 via le0
ipfw add allow tcp from any to 192.168.0.1 80 via le1

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение Zhan » 2009-12-29 14:00:14

а причем тут 192.168.0.1 ?
это же IP адрес самого шлюза, смотрящий в локалку !
возможно ты имел ввиду 192.168.0.2 ?
Последний раз редактировалось Zhan 2009-12-29 14:06:10, всего редактировалось 1 раз.
Знания, которые не пополняются ежедневно, убывают с каждым днем.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: NATD проброс портов

Непрочитанное сообщение mediamag » 2009-12-29 14:05:18

я пример дал...айпи поставте хоста на который пробрасываете

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: NATD проброс портов

Непрочитанное сообщение Zhan » 2009-12-29 14:24:01

Спасибо mediamag!!!
итог! проброс работает!
отпадает надобность в правилах:
02600 0 0 allow tcp from any to me dst-port 21 setup
03000 3 144 allow tcp from any to me dst-port 80 setup
их заменяем на правила от mediamag:
01500 585 45581 allow tcp from any to 192.168.0.2 dst-port 80,21 via le0
01600 585 45581 allow tcp from any to 192.168.0.2 dst-port 80,21 via le1
Знания, которые не пополняются ежедневно, убывают с каждым днем.

CepeLLlka
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-31 11:50:00

Re: NATD проброс портов

Непрочитанное сообщение CepeLLlka » 2013-04-02 23:19:03

MEDIMAG! Жив ты или нет.. поклон тебе до земли! Везде пишут.. пробуюю.. не работает.. а тут... как рукой сняло :) ОГРОМНОЕ СПАСИБО!

lcnet
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-03-13 21:57:07

NATD проброс портов

Непрочитанное сообщение lcnet » 2015-03-13 22:29:11

Коллеги, доброго времени.
Помогите решить загадку...

Нужно сделать проброс средствами IPFW NAT. (FreeBSD 10.1)
В ядре все опции включены и оно пере собрано:

Код: Выделить всё

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"
Что есть:
rc.conf

Код: Выделить всё

hostname="bsd.lan.local"
ifconfig_em0="inet 192.168.11.7 netmask 255.255.255.0"
defaultrouter="192.168.11.1"
ifconfig_le0="inet 192.168.99.1 netmask 255.255.255.0"
local_unbound_enable="YES"
sshd_enable="YES"
moused_enable="YES"
ntpd_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/ipfw.conf"
firewall_nat_enable="YES"
natd_enable="YES"
natd_interface="em0"
#natd_flags="-f /etc/natd.conf"
gateway_enable="YES"
ftpd_enable="YES" 
sysctrl.conf

Код: Выделить всё

net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=100
net.inet.ip.fw.one_pass=1
ipfw.conf

Код: Выделить всё

#!/bin/sh

### Команда для общения с ipfw
fwcmd="/sbin/ipfw -q"

### le0 - это внутренний сетевой интерфейс
### с IP-адресом 192.168.99.1
iip="192.168.99.1"
imask="255.255.255.0"
inet="192.168.99.0"
iif="le0"

### em0 - это интерфейс интернета
### IP, маска, подсеть и т.д. - чисто для примера
oip="192.168.11.7"
omask="255.255.255.0"
onet="192.168.11.0"
oif="em0"

### Очищаем текущий набор правил
${fwcmd} -f flush

### Правила до NAT

### Через em0 не может быть трафика с серыми IP
${fwcmd} add deny all from 10.0.0.0/8 to any in via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any in via ${oif}
#${fwcmd} add deny all from 192.168.0.0/16 to any in via ${oif}
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
#${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
### Ну и на внутреннем интерфейсе - откуда взяться внешнему трафику
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
### Позволяем ходить трафику внутри наших сетей
${fwcmd} add allow all from ${inet}:${imask} to ${inet}:${imask}

### NAT

### Исходящий трафик в интернет - пропускаем через NAT
${fwcmd} add divert natd ip from ${inet}:${imask} to any out via ${oif}
### Входящий трафик на ${oip} - т.е. на IP адрес самого маршрутизатора
### тоже загоняем в NATD - для демаскировки
${fwcmd} add divert natd ip from any to ${oip} in via ${oif}

### Правила после NAT

### Весь трафик, исходящий с этого роутера - разрешен. Это же правило
### срабатывает при маскировке - если его отключить, что в интернет после
### NAT ничего улетать не будет
${fwcmd} add allow all from me to any
### Не проверяем пакеты, проходящие по уже установленному, соответственно,
### проверенному соединению TCP
${fwcmd} add allow all from any to any established
### Запрещаем длинные фрагментированые эхо-запросы
${fwcmd} add deny icmp from any to any frag
### Разрешаем проходить вторым и более частям фрагментированных пакетов
### (их заголовки мы уже проверили)
${fwcmd} add allow all from any to any frag
### Разрешаем пользователям ломиться на почту по SMTP и получать ее по
### POP3, IMAP
${fwcmd} add allow tcp from ${inet}:${imask} to any dst-port 25,110,143,465,99
${fwcmd} add allow tcp from any 25,110,143,465,995 to ${inet}:${imask}
### Разрешаем резолвить DNS-имена
${fwcmd} add allow all from any to any dst-port 53
${fwcmd} add allow all from any 53 to any
### Разрешаем ходить по SSH
${fwcmd} add allow all from any to any dst-port 22
${fwcmd} add allow all from any 22 to any
### Разрешаем обновление времени через NTP
${fwcmd} add allow all from any to any dst-port 123
${fwcmd} add allow all from any 123 to any
### Разрешаем ходить по FTP только определенным IP
${fwcmd} add allow all from 192.168.99.2 to any dst-port 20,21,49152-65535
${fwcmd} add allow all from any 20,21,49152-65535 to 192.168.99.2
### Разрешаем подключаться через RDP (Windows Terminals)
${fwcmd} add allow all from any to any dst-port 3389
${fwcmd} add allow all from any 3389 to any
### Разрешаем ходить по HTTP/S
${fwcmd} add allow all from any to any dst-port 80,443
${fwcmd} add allow all from any 80,443 to any
### Разрешаем все пинги изнутри
${fwcmd} add allow icmp from any to any icmptypes 0,8,11
### И запрещаем некоторые типы пингов снаружи
${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,11,12 via ${oif}
### Разрешаем ICQ
${fwcmd} add allow all from any to any dst-port 5190
${fwcmd} add allow all from any 5190 to any
###Разрешаем UDP
${fwcmd} add allow udp from ${inet}:${imask} to any
### Запрещаем IDENT
${fwcmd} add reset tcp from any to any 113 in via ${oif} setup
${fwcmd} nat 1 config log if ${oif} reset same_ports deny_in redirect_port tcp
### Запрещаем все установления связи из-вне
${fwcmd} add deny tcp from any to any in via ${oif} setup
### Запрещаем broadcast через внешний интерфейс
${fwcmd} add deny ip from any to 0.0.0.255:0.0.0.255 in via ${oif}
### Запрещаем SMB соединения из-вне
${fwcmd} add deny udp from any to any 137-139 via ${oif}
### Запрещаем все остальное из-вне
${fwcmd} add deny ip from any to any via ${oif}
В общем, работает все, кроме проброса. И не могу понять почему...
Помогите разобраться пожалуйста, ткните носом, только попроще, я не спец...

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

NATD проброс портов

Непрочитанное сообщение Bayerische » 2015-03-14 10:02:55

Вы что делаете вообще? Какой natd? Закопайте его уже.

lcnet
проходил мимо
Сообщения: 2
Зарегистрирован: 2015-03-13 21:57:07

NATD проброс портов

Непрочитанное сообщение lcnet » 2015-03-14 10:34:17

т.е. из rc.conf надо убрать запуск NATD?

Отправлено спустя 5 минут 46 секунд:
Все опции убрать?
Иниерфейс НАТД тоже?

Отправлено спустя 10 минут 39 секунд:
закомментировал строки с NATD и добавил в rc.conf строку
firewall_nat_interface="em0"
система стала долго грузиться и не дает подключаться по SSH,,,

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

NATD проброс портов

Непрочитанное сообщение kharkov_max » 2015-04-09 6:55:38

Все уже на ядерный нат перешли, а Вы до сих пор NATD курите ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

NATD проброс портов

Непрочитанное сообщение Alex Keda » 2015-04-10 12:28:39

нк не то что бы прям все...
у меня гд еоно работало - так и работает.

ни на какие ядерные я не переходил.
на новых, когда не лень - сижу разбираюсь.
а в большинстве случаев - копирую со старых и не парюсь =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Witt
мл. сержант
Сообщения: 73
Зарегистрирован: 2010-01-12 14:01:48

NATD проброс портов

Непрочитанное сообщение Witt » 2015-04-22 23:24:59

pf вас выручит.
Одна строчка проброс, вторая - нат.
Просто и со вкусом!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

NATD проброс портов

Непрочитанное сообщение Alex Keda » 2015-04-29 12:32:07

и полста строк исключений и вариантов.
проще уж натить в две строки, через natd и не мучаться с синтаксисом остальных
Убей их всех! Бог потом рассортирует...