ipfw

cani · Непрочитанное сообщение **cani** » 2009-03-16 12:56:30

Понимаю что боян, но...Такой вопрос: есть шлюз FreeBSD который смотрит в нет и в лакалку, есть web-сервер в локалке. В качестве фаервола испльзуется ipfw. Как для него прописать правило(а) чтобы сервер был виден из нета ? Спасибо заранее за ответы, и маленькая просьба: советы типа "погугли " не пишите )).

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hizel · Непрочитанное сообщение **hizel** » 2009-03-16 12:58:39

это функция NAT-а , вы каким пользуетесь НАТ-ом?

cani · Непрочитанное сообщение **cani** » 2009-03-16 13:38:47

ну собсно все стандартно , IPDIVERT

vasilastr

Тебе нужно проброс делать спомощью ната

Создаешь фаил natd.conf

Код: Выделить всё

log yes
log_denied yes
same_ports yes
use_sockets yes
unregistered_only yes
dynamic yes

redirect_port tcp 192.168.0.1:80 80

А потом в ipfw добавляешь правила

Код: Выделить всё

$fwcmd add allow log tcp from any to 192.168.0.1 dst-port 80 in via rl0 setup
$fwcmd add allow log tcp from any to 192.168.0.1 dst-port 80 out via rl1

cani · Непрочитанное сообщение **cani** » 2009-03-16 14:57:31

О ето похоже то что надо

. Большое спасибо за столь развернутый ответ , сичас попробуем

vasilastr

Еще смотри чтобы в rc.conf все прописано про нат было

cani · Непрочитанное сообщение **cani** » 2009-03-16 15:30:44

ок , и в днс наверно алиас какой то прописать надо будет.

vasilastr

Попробуй сначало без днс

cani · Непрочитанное сообщение **cani** » 2009-03-16 15:44:31

а какой ип писать в браузере , внешний шлюза ?

vasilastr

cani · Непрочитанное сообщение **cani** » 2009-03-16 16:01:47

ок, сенкс

cani · Непрочитанное сообщение **cani** » 2009-03-17 16:34:38

Блин столкнулся с такой хренью : как только прописываю в natd.conf redirect начинаются траблы. Сервак перестает пускать в интернет . И при входе по ssh долго тупит , что обычно бывает изза отсутствия связи с ДНС.Редирект все равно не работает. Убираю ету строчку инет работает ((((. Может кто что подскажет ? очень надо.

Непрочитанное сообщение **zingel** » 2009-03-17 16:36:01

какой редирект и куда

cani · Непрочитанное сообщение **cani** » 2009-03-17 16:37:58

почитайте первый пост

Непрочитанное сообщение **zingel** » 2009-03-17 16:41:50

Понимаю что боян, но...Такой вопрос: есть шлюз FreeBSD который смотрит в нет и в лакалку, есть web-сервер в локалке. В качестве фаервола испльзуется ipfw. Как для него прописать правило(а) чтобы сервер был виден из нета ? Спасибо заранее за ответы, и маленькая просьба: советы типа "погугли " не пишите )).

Я ещё раз повторяю свой вопрос:

1)Какой редирект и куда

Варианты ответа:

a)

Код: Выделить всё

uname -a && ifconfig -a && ipfw show && cat /etc/natd.conf && ssh -vv localhost

б)сейчас посмотрю и потом скажу потому, что доступа у меня нет

cani · Непрочитанное сообщение **cani** » 2009-03-17 16:49:18

Код: Выделить всё

ipfw show
00100    86   6792 allow ip from any to any via lo0
00200     0      0 deny ip from any to 127.0.0.0/8
00300     0      0 deny ip from 127.0.0.0/8 to any
04000   678  40684 allow icmp from any to me
04200   136   8031 divert 8668 ip from any to any via rl0
04300     0      0 allow tcp from any to 192.168.1.2 dst-port 80 via rl0
04800   216  18950 allow ip from 192.168.1.4 to any
04900   860  79563 allow ip from any to 192.168.1.4
05000     0      0 allow ip from me to any
05100     0      0 allow udp from any to any dst-port 53
05200     0      0 allow udp from any 53 to any
05300     0      0 allow tcp from any to any dst-port 20,21,25,53,80,81,110,443,3128
05400     0      0 allow tcp from any 20,21,25,53,80,81,110,443,3128 to any
05500     0      0 allow ip from any to me dst-port 22
65535 11806 992122 deny ip from any to any

Код: Выделить всё

cat /etc/natd.conf
interface rl0
same_ports
unregistered_only
use_sockets
redirect_port tcp 192.168.1.2:80 81

Код: Выделить всё

 ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet xxx.xxx.xxx.xxx netmask 0xfffffff8 broadcast xxx.xxx.xxx.xxx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.1.6 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

этого достаточно ?про внешний ип скромно умолчу

cani · Непрочитанное сообщение **cani** » 2009-03-17 17:25:34

настраивал руководствуясь статьей http://www.lissyara.su/?id=1159

Непрочитанное сообщение **zingel** » 2009-03-17 19:33:57

http://forum.lissyara.su/viewtopic.php? ... td#p140679

cani · Непрочитанное сообщение **cani** » 2009-03-17 20:09:26

Код: Выделить всё

redirect_port udp 77.108.110.100:87 192.168.0.222:87

Это поможет? Потому как все остальное я пробовал , не работало . Сейчас у меня нет доступа к серверу чтобы настроить, а завтра нужен результат.

Непрочитанное сообщение **zingel** » 2009-03-17 20:16:48

нужно пробовать

cani · Непрочитанное сообщение **cani** » 2009-03-17 20:18:50

ок, спасибо. завтра поделюсь результатами.

Непрочитанное сообщение **zingel** » 2009-03-17 20:20:45

тоесть там суть в том, что стоит писать полные адреса, тупо *что - куда*

cani · Непрочитанное сообщение **cani** » 2009-03-19 18:04:39

В конечном итоге сделал вот так http://www.opennet.ru/base/net/redirect.txt.html и заработало .

Kos · Непрочитанное сообщение **Kos** » 2009-03-19 22:14:07

в конечном итоге нада сначала глаза открыть, а потом лезть конфиги править, а то нат и правила для одного IP, а у компа совсем другой адрес получаются...

fox · Непрочитанное сообщение **fox** » 2009-03-19 23:18:31

Добрый вечер!
Про натД старая тема и всегда нормально работала без трабл, если не кривые руки настраивали! Но есть ещё такой вариант при помощи SSH!
Привожу пример:
ssh -p 22 -N -f -L 111.222.111.222:80:192.168.100.1:80 fox@192.168.100.254
это значит что все запросы приходящий на ip 111.222.111.222 (внешний ip) по 80 порту и редеректить на внутренний ip 192.168.100.1 на тоже 80 порт…
Можно в шеле скрипт накатать, что при авто загрузке он будет создавать ssh тоннель.
В чем красота этого способа что с любого направления в любое направления не зависимо от того есть нат или нет можно прокинуть любой порт с любого ip на любой!
Остановить можно командой killall ssh
Либо налапатить скрипты…
ВоТь)

forum.lissyara.su

ipfw

ipfw

Услуги хостинговой компании Host-Food.ru

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw

Re: ipfw