natd+ipfw проброс порта 1723 и протокола gre

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

natd+ipfw проброс порта 1723 и протокола gre

Непрочитанное сообщение andy3000 » 2007-03-16 12:26:58

Имеем машинку с двумя интерфейсами rl0-внешний fxp0-внутренний.
Задача сделать переброс средствами natd порта 1723 и протокола gre на внутреннюю машинку с адресом 192.168.0.24 VPN сервер

rc.conf

Код: Выделить всё


gateway_enable="YES"
samba_enable="YES"
winbindd_enable="YES"
apache_enable="YES"
squid_enable="YES"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/script/rc.firewall"
sshd_enable="YES"

natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
unregistered_only yes
deny_incoming no
verbose no
port 8668
interface rl0
redirect_port tcp 192.168.0.24:1723 1723
на время проверки работоспособности в IPFW следующие правила

100 allow ip from any to any
200 divert 8668 ip from any to any

команда ps auxw | grep natd выдает следующее:

root 591 0.0 0.2 1484 984 ?? Ss 12:08PM 0:00.02 /sbin/natd -f /etc/natd.conf
root 1036 0.0 0.2 1552 1020 p0 R+ 12:21PM 0:00.00 grep natd

пытаюсь подключиться с помощью созданного VPN соединения с удаленной машины не коннектит.

мож кто знает в чем грабли? :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-16 12:31:03

Код: Выделить всё

100 allow ip from any to any
200 divert 8668 ip from any to any 
Странные строки, ей богу.

ipfw -a list
И смотри сколько пакетов прошло через правило под номером 200 :-)

1. Если не работает, действие log никто не отменял.
2. Если логов нет, файрвол написан неверно.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

Непрочитанное сообщение andy3000 » 2007-03-16 12:45:17

ipfw -a list
И смотри сколько пакетов прошло через правило под номером 200
все по нулям :(

Код: Выделить всё

00100 3848 691498 allow ip from any to any
00200    0      0 divert 8668 log logamount 100 ip from any to any
65535 6475 635186 deny ip from any to any

Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

Непрочитанное сообщение andy3000 » 2007-03-16 13:19:06

Вот лог

Код: Выделить всё

Mar 16 13:13:02 inet kernel: ipfw: 100 Divert 8668 TCP 81.208.14.250:54426 83.52.96.182:1723 in via rl0
 

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-16 13:59:38

Поменял местами, гений просто.
100 divert 8668 ip from any to any via rl0
200 allow ip from any to any
так сделай.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

Непрочитанное сообщение andy3000 » 2007-03-16 14:46:55

не получается приконнектится все равно... :(

Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

Непрочитанное сообщение andy3000 » 2007-03-16 15:04:25

Причем rinetd работает на ура, ток при коннекте с удаленной машины, зависает окно проверки логина и пароля, и так и висит пока сервак не рубанет клиента :(

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-03-16 15:05:40

gre через NAT по моему впечатлению пробросить не получится... как вариант - alias на rl0 и в NAT -redirect_address
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
andy3000
рядовой
Сообщения: 12
Зарегистрирован: 2007-03-13 13:16:26
Откуда: Питер

Непрочитанное сообщение andy3000 » 2007-03-16 15:11:08

А вообще есть способ помимо ната, как разрулить такую ситуацию?
Ктонить занимался подобным?

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-16 17:44:43

:?: :?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-03-16 18:02:27

andy3000 писал(а):А вообще есть способ помимо ната, как разрулить такую ситуацию?
Ктонить занимался подобным?
Нет невозможного. Прыгай от этого.
Сам не делал.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.