ipfw+nat+ssh

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
petr_al
проходил мимо
Сообщения: 1
Зарегистрирован: 2018-01-25 23:27:47

ipfw+nat+ssh

Непрочитанное сообщение petr_al » 2018-01-25 23:50:04

Всем привет!!!! Стоит шлюз FreeBSD (ipfw, dhcp и.т.д) внешний ip (10.1.1.20) Lan (192.168.10.0/24). Вопрос такой, настраивал ipfw по этой статье Пример файла правил #2: https://www.freebsd.org/doc/ru/books/ha ... -ipfw.html. Стоит natd.

Код: Выделить всё

natd.conf
same_ports
unregistered_only

redirect_port tcp 192.168.10.2:5960 5960

Проблема в том, что если применить эти правила https://www.freebsd.org/doc/ru/books/ha ... -ipfw.html , то c портом в nat не соединяет (5960), но если разрешить все, то естественно все без проблем работает. Клиенты инет видят.
Закрываю сеть.Пишу разрешающие правила
$cmd 381 allow tcp from any to 192.168.10.2 5960 in via $LanOut
$cmd 382 allow tcp 192.168.10.2 5960 to any out via $LanOut

Проверяю tcpdump выдает из инета в сеть [S] и [S.] из локалки в инет, и дальше тишина. Что еще для него нужно не пойму.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Даниил
проходил мимо

ipfw+nat+ssh

Непрочитанное сообщение Даниил » 2018-03-02 15:09:50

выбрось натд нах. пользуй пф или ипфв нат

Аватара пользователя
ommm
рядовой
Сообщения: 41
Зарегистрирован: 2011-01-28 15:18:48

ipfw+nat+ssh

Непрочитанное сообщение ommm » 2018-03-04 23:49:43

2 Даниил +1

2 petr_al
конфига для pf + mpd5(который тоже натит)

Код: Выделить всё

LAN0="int0"
WAN="ext0"
VPN="ng0"
icmp_types="{echoreq,echorep,unreach}"

set limit { states 40000, src-nodes 20000, frags 20000 }
set block-policy drop
set skip on {lo0,$LAN0}
set optimization normal
scrub in all

nat on $WAN from $LAN0:network to any -> ($WAN)

antispoof quick for {$WAN,$LAN0}

block all
block quick inet6 all

pass in quick on $VPN inet proto tcp from any to ($VPN) port {22} keep state label "ssh"
#pass in quick on $VPN inet proto tcp from any to ($VPN) port {80} keep state label "www"
#pass in quick on $VPN inet proto tcp from any to ($VPN) port {22000} keep state label "syncthing"
pass in inet proto icmp all icmp-type $icmp_types

pass out on {$WAN,$VPN} inet all