IPFW & FWD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
openx
рядовой
Сообщения: 17
Зарегистрирован: 2007-07-18 14:59:21

IPFW & FWD

Непрочитанное сообщение openx » 2007-09-17 11:18:57

Хочу чтобы если кто то щемится на вряху, на внешний интерфейс по определенному порту, она кидала его на сервак внутри. Соотв правило

Код: Выделить всё

ipfw add fwd ${xxx},143 tcp from ${NetIn} to ${IpOut} 143 via ${LanIn} setup
но эффекта 0, в логах тоже ничего. Поковыряв man ipfw выяснилось, что если проброс портов идет на другую машину, то фряха пытается действовать согласно таблице маршрутизации.

Вопрос - где ковырять.

Снаружи мап портов работает все ок, с помощью natd, но мне с локалки надо.
Последний раз редактировалось Alex Keda 2007-09-17 19:20:32, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW & FWD

Непрочитанное сообщение dikens3 » 2007-09-17 11:32:40

При команде FWD не происходит замена IP-Адресов.

Т.е. к примеру:
Обычно работает так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза(100.100.100.100) на порт 143

Ты хочешь сделать так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза на порт 143(100.100.100.100) -> Внутренний_ИП2 (192.168.100.1)

А получаешь вот что на Внутренний_ИП2:
1. От Внутренний_ИП(192.168.1.1) пакет идёт на шлюз и адрес назначения у него ИП_Шлюза(100.100.100.100)
2. Ты его форвардишь, но замен ИП никаких не делаешь и что получаешь на выходе?
На Внутренний_ИП2 (192.168.100.1) приходит пакет с IP-Адресом источника Внутренний_ИП(192.168.1.1) и адресом назначения (100.100.100.100).
3. Внутренний_ИП2 (192.168.100.1) его закономерно отбрасывает, т.к. адрес назначения не его.

P.S. Заменами IP-Адресов кто занимается? NAT? Боишься запустить их 2-а, 3-ри?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

openx
рядовой
Сообщения: 17
Зарегистрирован: 2007-07-18 14:59:21

Re: IPFW & FWD

Непрочитанное сообщение openx » 2007-09-17 11:38:26

ок, щя поковыряем.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: IPFW & FWD

Непрочитанное сообщение Morty » 2007-09-17 12:18:37

я вот так пробрасывал

Код: Выделить всё

/etc/rc.conf
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"

Код: Выделить всё

cat /etc/natd.conf
same_ports      yes
use_sockets     yes

redirect_port tcp 192.168.0.251:3389 3389
redirect_port tcp 192.168.0.251:88 88
redirect_port tcp 192.168.0.251:99 99
redirect_port tcp 192.168.0.251:100 100
redirect_port tcp 192.168.0.251:3306 3306
redirect_port tcp 192.168.0.251:90 90
redirect_port tcp 192.168.0.251:98 98
redirect_port tcp 192.168.0.251:3690 3690
и в IPFW правило - открываешь порты
если IPFW type OPEN то ниче в ипфв делать не нада

openx
рядовой
Сообщения: 17
Зарегистрирован: 2007-07-18 14:59:21

Re: IPFW & FWD

Непрочитанное сообщение openx » 2007-09-17 12:30:50

Это у тебя извне. Попробуй законектица из нутри на этот порт по внешнему интерфейсу что будет? :)

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: IPFW & FWD

Непрочитанное сообщение Dolphin_BSD » 2007-09-17 15:34:16

rc.firewall

Код: Выделить всё

$cmd 1010 divert natd tcp from $citrix to any src-port Порт out via $eif
$cmd 1012 allow tcp from $palladina to $citrix dst-port Порт in via $eif
$cmd 1013 allow tcp from $gate to $citrix dst-port Порт in via $eif
$cmd 1016 allow tcp from me to any src-port Порт out via $eif

natd.conf

Код: Выделить всё

interface rl0
use_sockets yes
dynamic yes
same_ports yes
redirect_port tcp IP:Порт Порт
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW & FWD

Непрочитанное сообщение dikens3 » 2007-09-18 12:42:13

Вообщем так:

есть прокся фряха, есть почтовый сервак на винде, с фряхи если пытаются залезть за почтой снаружи, то идет проброс на виндовый почтовый сервак.

У клиентов в качестве почтовых серваков указан внешний ИП фряхи, т.к. многие по командировкам мотаются.

Так вот чтобы не перестраивать каждый раз почтовые серваки у клиента, хотелось бы чтобы если из локалки лезут за почтой (на внешний ИП фряхи) она его также отсылала на виндовый сервак как это делает снаружи
есть проброс портов без natd, к примеру datapipe. Правда у меня он падал периодически.
Я бы на твоём месте перенёс сервак с почтой в DMZ, а потом пофиг на настройки - ВСЕ ОДИНАКОВЫЕ. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: IPFW & FWD

Непрочитанное сообщение Dolphin_BSD » 2007-09-18 13:10:36

Незнаю, так как я показал ... у меня за 4 года ни разу не падал, не считая когда просто нет инета :D
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua