не получается natd -redirect_port

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: не получается natd -redirect_port

Непрочитанное сообщение vygov » 2007-10-23 14:15:06

угу. Сам-то пробовал? Я вот пробовал. 2 раза за последний год тупил по часу - почему это у меня согласно ману не работает? Наверно тупой сильно. Надо мозги допилить.
--
ну в смысле входящие-то пакеты он пробросит. А дальше? Обратка после натда идет с тем портом, который внутре, а не с тем, который охота получить.
Бред какой-то. У меня работает редирект на радминовский 4489 и почтовые 110 c 25 с тех портов, какие я укажу. Волшебник, наверное.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение Alex Keda » 2007-10-23 15:33:27

просто в статье подразумевалось что обратный траффик разрешён.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение abanamat » 2007-10-23 16:49:27

ну х.з. у меня не работает. Может потому что это каждый раз - шлюз и каждый раз там ng_nat.

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: не получается natd -redirect_port

Непрочитанное сообщение mod » 2007-10-25 12:10:41

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
у меня такое в конфиги..и всё работет..
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: не получается natd -redirect_port

Непрочитанное сообщение vygov » 2007-10-25 13:05:09

Вероятно не в конфиге дело. Хотелось бы на ядро взглянуть...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение dikens3 » 2007-10-25 14:04:40

mod писал(а):

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
у меня такое в конфиги..и всё работет..
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)
Твоя мою понимать. Любишь в Warcraft игры создавать? Дота?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение abanamat » 2007-10-25 14:53:09

mod писал(а):у меня такое в конфиги..и всё работет..
так это симметричные порты. симметрия и у меня работает..

Код: Выделить всё

# MyOptions
options         PANIC_REBOOT_WAIT_TIME=16

options         IPFIREWALL
options         IPFIREWALL_FORWARD

options         HZ=1000
options         DUMMYNET
options         DEVICE_POLLING

options         NETGRAPH
options         LIBALIAS
options         NETGRAPH_NAT
options         NETGRAPH_IPFW

options         NETGRAPH_BPF
options         NETGRAPH_ETHER
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_SOCKET
options         NETGRAPH_TCPMSS
options         NETGRAPH_TTY
options         NETGRAPH_VJC

options         IPDIVERT
device          tap

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: не получается natd -redirect_port

Непрочитанное сообщение vygov » 2007-10-25 15:04:18

Все верно... А файрволл?

Аватара пользователя
abanamat
сержант
Сообщения: 255
Зарегистрирован: 2007-03-15 11:24:26
Откуда: Питер
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение abanamat » 2007-10-25 15:27:23

vygov писал(а):Все верно... А файрволл?
гыг.
1.1.1.1 - основной ип
2.2.2.2 - алиасный ип

Код: Выделить всё

00001 reject icmp from any to any icmptypes 5,9,13,14,15,16,17
00002 deny udp from any to any dst-port 80,137,138
00003 deny ip from any to table(2)
00005 reject ip from table(0) to any in via fxp0
00006 deny udp from table(13) to 1.1.1.1 dst-port 53 in via fxp0
00010 allow ip from any to any via lo0
00011 allow ip from any to 1.1.1.1 in via fxp0
00012 allow ip from me to any
00014 allow ip from table(3) to table(3)
00015 allow ip from table(3) to me in
00020 reset tcp from not table(11) to 2.2.2.2 dst-port 5900 in via fxp0
00021 divert 8668 tcp from not me to 2.2.2.2 dst-port 1723,5900 in via fxp0
00023 allow tcp from not me to 192.168.0.8 dst-port 1723 diverted
00024 allow tcp from table(11) to 192.168.0.22 dst-port 5900 diverted
00026 divert 8668 tcp from 192.168.0.8 1723 to not me in via fxp1
00027 divert 8668 tcp from 192.168.0.22 5900 to table(11) in via fxp1
00029 divert 8668 gre from not me to 2.2.2.2 in via fxp0
00030 allow gre from not me to 192.168.0.8
00031 divert 8668 gre from 192.168.0.8 to not me in via fxp1
00041 netgraph 60 ip from table(3) to table(1) in
00042 allow ip from table(1) to table(3) out
00043 netgraph 60 tcp from table(3) to any dst-port 5190 in
00044 allow tcp from any 5190 to table(3) out
00045 netgraph 60 tcp from table(3) to table(10) in
00046 allow tcp from table(10) to table(3) out
00050 reset tcp from table(15) to not me dst-port 25 in
00051 queue 3 tcp from table(3) to not me dst-port 25 in
00055 queue 1 ip4 from table(3) to not me in
00056 queue 2 ip4 from not me to table(3) out
00060 netgraph 60 ip4 from table(3) to not me out
00061 netgraph 61 ip4 from any to 2.2.2.2 in via fxp0
65535 deny ip from any to any
но я уже давно забросил попытки несимметрично пробросить порт - бесполэзно.

r0man_
ефрейтор
Сообщения: 50
Зарегистрирован: 2007-08-22 9:17:52

Re: не получается natd -redirect_port

Непрочитанное сообщение r0man_ » 2007-10-25 15:58:16

Все! Я разобрался, спасибо всем за помощь. Вот кусок скрипта фаера

Код: Выделить всё

$ext_if - внешний интерфейс
$in_if - внутренний
$dest_ip - ip внутреннего веб-сервера
natd -m -s -n $ext_if -p 8669 -redirect_port tcp $dest_ip:80 8123
natd -m -s -n $in_if
ipfw add 50 divert 8669 log all from any to $ext_ip 8123 in via $ext_if
ipfw add 55 divert 8668 log all from any to $dest_ip 80 out via $in_if
ipfw add 60 divert 8668 log all from $dest_ip 80 to me in via $in_if
ipfw add 65 divert 8669 log all from $dest_ip 80 to any out via $ext_if
Может быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: не получается natd -redirect_port

Непрочитанное сообщение mod » 2007-10-25 16:53:06

dikens3 писал(а):
mod писал(а):

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
у меня такое в конфиги..и всё работет..
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)
Твоя мою понимать. Любишь в Warcraft игры создавать? Дота?
ага...)у нас на есть сервак...я к нму цепляюсь,там создаю..а там уже ко мне)без этих поритов они не могут цепануться)по-моеиу я тоже)
ты кстати,не поднимал батл нет сервак?
хотл бы замутить для своих:)а?:)

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение dikens3 » 2007-10-25 18:15:01

ага...)у нас на есть сервак...я к нму цепляюсь,там создаю..а там уже ко мне)без этих поритов они не могут цепануться)по-моеиу я тоже)
ты кстати,не поднимал батл нет сервак?
хотл бы замутить для своих:)а?:)
Неа, но доки в инете видел.
Для клиентов нужен только tcp 6112 на выход. НА вход все setup(syn) пакеты закрыты.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Zar
проходил мимо
Сообщения: 4
Зарегистрирован: 2008-01-23 4:15:33

Re: не получается natd -redirect_port

Непрочитанное сообщение Zar » 2008-11-18 14:13:28

r0man_ писал(а): Может быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
ПЛЯ!!!! у меня слов нет!!! какой же я..... блин еслиб не твоя последняя приписка что блин с машины на которую форвардят должен быть этот шлюз прописан.... :st:
я уже две недели по Нету в поисках ошибки лажу...не редиректело у меня.. а оказывается тупо шлюз другой использовался... %)

Roland
проходил мимо

Re: не получается natd -redirect_port

Непрочитанное сообщение Roland » 2009-02-04 15:54:53

не пашет.((

#ipfw show
01560 67 3412 nat 2 ip from any to me dst-port 8080 in via tun0
01565 0 0 allow ip from any to me in dst-port 8080 via tun0
01570 167 6680 allow ip from any to 192.168.0.2 dst-port 80 via tun0
01575 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via tun0
01580 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01585 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01600 76938 13842107 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl1
01700 966 60663 nat 2 ip from 192.168.0.0/24 to any out via tun0
01800 156383 64881357 nat 2 ip from any to me in via tun0

#ipfw nat show
nat 2: icmp=1, udp=3, tcp=3561, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3565

#sudo ipfw nat show config
ipfw nat 2 config if tun0 log same_ports unreg_only redirect_port tcp 192.168.0.2:80 8080


Nmap
с другой машины показывает что
8080/tcp filtered


Машина- является шлюзом по умолчанию. Из-за неё клиенты ходят в инет,
внутренняя сетевуха rl1, наружу rl0 и интерфейс ppp tun0 (ADSL).
По rl0 и rl1 всё разрешено. Фильтрирую по tun0.

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: не получается natd -redirect_port

Непрочитанное сообщение daggerok » 2009-03-17 1:24:00

r0man_ писал(а):Все! Я разобрался, спасибо всем за помощь. Вот кусок скрипта фаера

Код: Выделить всё

$ext_if - внешний интерфейс
$in_if - внутренний
$dest_ip - ip внутреннего веб-сервера
natd -m -s -n $ext_if -p 8669 -redirect_port tcp $dest_ip:80 8123
natd -m -s -n $in_if
ipfw add 50 divert 8669 log all from any to $ext_ip 8123 in via $ext_if
ipfw add 55 divert 8668 log all from any to $dest_ip 80 out via $in_if
ipfw add 60 divert 8668 log all from $dest_ip 80 to me in via $in_if
ipfw add 65 divert 8669 log all from $dest_ip 80 to any out via $ext_if
Может быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
2Roland, этот вариант работает.
может не в тему, но я бы подправил чуток, а то мало ли...
во-первых, для общего случая и чтобы, так сказать, не ошибиться (а то natd может еще встретиться где-то в другом месте скрипта с правилами) нат на внутренний иф я бы указал явно, какой:

Код: Выделить всё

natd -m -s -n $in_if -p 8668
ну и во-вторых, чтобы было меньше ошибок, то я бы еще добавил, что скорее всего еще после всех дивертов нужно дописать одно разрешающее правило для прохождения пакетов через фаер, ибо без него, в общем случае, если в конце скрипта файрвола стоит запрещающее правило, то пакеты не пройдут. сам как то столкнулся с этой проблемой и из-за не внимательности потерял много времени
поэтому еще нужно добавить такое правило:

Код: Выделить всё

ipfw add 70 allow all from any to $dest_ip 8123 via $in_if
******

есть менее извращённый вариант.
по примеру выше, нужно пробросить на 80-ый порт локального тазика пакеты идущие на внешний ип по порту 8123.
и так, в скрипте фаера, касательно сабжа, пишем так (немного изменю):

Код: Выделить всё

$oif #внешний интерфейс
$oip #внешний ip
$loca_pc_ip #ip внутреннего веб-сервера
$natd="/sbin/natd"
$ipfw="/sbin/ipfw"

#вешаем нат на внешний ип с редиректом:
$natd -a ${oip} -p 8668 -redirect_port tcp $local_pc_ip:80 8123

#далее диверт:
$ipfw add divert 8668 ip from any to $oip in via $oif
$ipfw add divert 8668 ip from $local_pc_ip to any out via $oif

#для проверки (обязательно перед денаем) пишем следующие правила:
$ipfw add allow ip from any to me 8123
$ipfw add allow ip from any to $local_pc_ip 80
$ipfw add allow ip from $local_pc_ip 80 to any
#скорее всего первое из последних трех правил ненужно
#но в любом случае потом можно будет по ipfw show посмотреть, ходят ли через него пакеты
#если не ходят - то можно спокойно убить его :)
#лично мне оно было нужно из-за того что в скрипте фаера были определённые запреты

#ну и обязательно последнее запрещающее правило:
$ipfw add deny ip from any to any
должно работать.

stark
мл. сержант
Сообщения: 79
Зарегистрирован: 2008-10-26 10:07:03
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение stark » 2009-10-15 15:42:05

Добрый день.
Есть затруднение с пробросом портов для шаринга с сети.
У моего провайдера есть шары на серверах, которыми я хочу пользоваться. После того как я поставил Фаирволл на ФриБсд туда попасть больше не могу.
В сетевом окружении ХП я вижу свою самбу и шары провайдера, но попасть я могу только к себе.
Сделал проброс портов

Код: Выделить всё

more /etc/natd.conf
interface fxp0
same_ports
redirect_port tcp 192.98.98.13:135 135
redirect_port udp 192.98.98.13:135 135
#redirect_port tcp 192.98.98.13:137 137
#redirect_port udp 192.98.98.13:137 137
#redirect_port tcp 192.98.98.13:138 138
#redirect_port udp 192.98.98.13:138 138
#redirect_port tcp 192.98.98.13:139 139
#redirect_port udp 192.98.98.13:139 139
redirect_port tcp 192.98.98.13:445 445
redirect_port udp 192.98.98.13:445 445
И в АйПиФе указаыл порты

Код: Выделить всё

${FwCMD} add allow udp from any to ${oip} 135, 445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135, 445 in via ${oif}
Подскажите, Спасибо

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: не получается natd -redirect_port

Непрочитанное сообщение daggerok » 2009-10-17 23:00:12

Код: Выделить всё

cat /etc/services | grep "netbios"
netbios-ns      137/tcp    #NETBIOS Name Service
netbios-ns      137/udp    #NETBIOS Name Service
netbios-dgm     138/tcp    #NETBIOS Datagram Service
netbios-dgm     138/udp    #NETBIOS Datagram Service
netbios-ssn     139/tcp    #NETBIOS Session Service
netbios-ssn     139/udp    #NETBIOS Session Service

Код: Выделить всё

cat /etc/services | grep "microsoft"
microsoft-ds    445/tcp
microsoft-ds    445/udp

stark
мл. сержант
Сообщения: 79
Зарегистрирован: 2008-10-26 10:07:03
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение stark » 2009-10-20 9:12:38

Выпустил эти порты.
Не помогает

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: не получается natd -redirect_port

Непрочитанное сообщение daggerok » 2009-10-20 9:52:10

stark писал(а):Выпустил эти порты.
Не помогает
покажите как выпустили? (правила)
если правила эти:

Код: Выделить всё

${FwCMD} add allow udp from any to ${oip} 135, 445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135, 445 in via ${oif}
тогда почему не

Код: Выделить всё

${FwCMD} add allow udp from any to ${oip} 135,137-139,445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135,137-139,445 in via ${oif}
так же нужно разрешить исходящие по этим портам, если конечно нет разрешающего правила на все исходящие для сервера
так же укажите в каком месте относительно ната (до или после него) стоят эти правила
и какие перед правилами разрешающими шары есть запрещающие правила тоже покажите

а вообще, если точно не увернеы что и как нужно открывать
добавляем такое правило в фаер:

Код: Выделить всё

ipfw add 1 pass log ip from any to any
и смотрим /var/log/security на предмет того что куда и как ходит и соответственно добавляем необходимое в свой фаер.
Последний раз редактировалось daggerok 2009-10-20 10:05:42, всего редактировалось 2 раза.

stark
мл. сержант
Сообщения: 79
Зарегистрирован: 2008-10-26 10:07:03
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение stark » 2009-10-20 9:59:03

вот эти порты

Код: Выделить всё

${FwCMD} add allow ip from any to ${oip} 135 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 135 via ${oif}
${FwCMD} add allow ip from any to ${oip} 137 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 137 via ${oif}
${FwCMD} add allow ip from any to ${oip} 138 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 138 via ${oif}
${FwCMD} add allow ip from any to ${oip} 139 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 139 via ${oif}
${FwCMD} add allow ip from any to ${oip} 445 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 445 via ${oif}
запрещающие правила такие:

Код: Выделить всё

${FwCMD} add deny ip from ${inet} to any in via ${oif}
${FwCMD} add deny ip from ${onet} to any in via ${iif}
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${oif}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${oif}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${oif}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${oif}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${oif}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${oif}
${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${oif}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${oif}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${oif}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${oif}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${oif}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${oif}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${oif}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${oif}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${oif}

${FwCMD} add deny log tcp from any to ${oip} in via ${oif} setup
${FwCMD} add deny ip from any to any

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: не получается natd -redirect_port

Непрочитанное сообщение daggerok » 2009-10-20 10:12:00

Код: Выделить всё

sockstat | grep smb

Код: Выделить всё

sockstat | grep nmb

stark
мл. сержант
Сообщения: 79
Зарегистрирован: 2008-10-26 10:07:03
Контактная информация:

Re: не получается natd -redirect_port

Непрочитанное сообщение stark » 2009-10-20 10:29:18

[10:31] /home/dumps >sockstat | grep smb

Код: Выделить всё

root     smbd       998   18 dgram  -> /var/run/logpriv
root     smbd       998   23 tcp4   192.98.98.1:445       192.98.98.1:54381
root     smbd       759   18 dgram  -> /var/run/logpriv
root     smbd       759   23 tcp4   192.98.98.1:445       192.98.98.1:64233
root     smbd       752   18 dgram  -> /var/run/logpriv
root     smbd       748   18 dgram  -> /var/run/logpriv
root     smbd       748   19 tcp4   *:445                 *:*
root     smbd       748   20 tcp4   *:139                 *:*
[10:31] /home/dumps >sockstat | grep nmb

Код: Выделить всё

root     nmbd       743   8  udp4   *:137                 *:*
root     nmbd       743   9  udp4   *:138                 *:*
root     nmbd       743   10 udp4   192.98.98.1:137       *:*
root     nmbd       743   11 udp4   192.98.98.1:138       *:*
root     nmbd       743   12 udp4   xxx.27.11.160:137     *:*
root     nmbd       743   13 udp4   xxx.27.11.160:138     *:*
root     nmbd       743   14 udp4   xxx.xxx.xxx.32:137     *:*
root     nmbd       743   15 udp4   xxx.xxx.xxx.32:138     *:*

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: не получается natd -redirect_port

Непрочитанное сообщение daggerok » 2009-10-20 10:49:14

кароче так

1.
в общем случае, для того чтобы вы могли с тачки которая находится за натом (если я верно понял ее ип 192.98.98.13) поппасть на шары вам необходимы такие правила (после правил ната):

Код: Выделить всё

ipfw add pass ip from me to any 137-139,445 out via $oif
ipfw add pass ip from any 137-139,445 to me in via $oif
ipfw add pass ip from any 137-139,445 to 192.98.98.13 in via $oif
ipfw add pass ip from 192.98.98.13 to any 137-139,445 in via $iif
ipfw add pass ip from any 137-139,445 to 192.98.98.13 out via $iif
если же ипы серверов с шарами провайдера имеют сериые адреса (допустим 10.0.0.0/8) тогда уберите вот это запрещающее правило из своего списка правил:

Код: Выделить всё

ipfw add deny ip from any to 10.0.0.0/8 in via $oif
хотя тут нужно подумать, но как вариант обратите внимание на эти правила, так как они рассчитаны на то что у вас белый ип и в интернете не может быть машин с серыми адресами такого типа
(аналогично если ипы шаровых серваков прова имеют другой тип серых адресов)

2.
так же не ясно для чего имеено у вас реализован проброс портов 135 и 445, для того, чтобы открывать шары своей XP за натом? и вы действительно думаете что этих портов будет достаточно? в любом случае для работоспособности данного редиректа нужно помимо самого проброса в natd.conf добавить разрешающие это правила.

что-то типа такого (в данном случае):

Код: Выделить всё

ipfw add pass ip from me 135,445 any out via $oif
ipfw add pass ip from any to 192.98.98.13 135,445 in via $oif
ipfw add pass ip from any to 192.98.98.13 135,445 out via $oif
ipfw add pass ip from 192.98.98.13 135,445 to any in via $iif
и опять же таки обратите на такое правило в вашем списке правил:

Код: Выделить всё

ipfw add deny ip from 10.0.0.0/8 to any out via $oif
оно будет блочить третье из выше описаных правил...

в любом случае внимательно смотрите ipfw show на предмет блокировки нужных вам пакетов запрещаюшими правилами стоящими выше тех что добавляете, если что-то не получается как уже писал раньше - добвте вначало разрешающее все правило с записью в лог и смотрите что как и куда ходит, ну или как минимум хотябы на время закоментируйте все выше стоящие запрещающие правила - быть может они и есть причиной и нужно их изменить.

удачи

yanos
рядовой
Сообщения: 12
Зарегистрирован: 2013-12-14 16:53:04

не получается natd -redirect_port

Непрочитанное сообщение yanos » 2020-03-29 19:13:22

Добрый день. А подскажите как сделать проброс портов по двум интерфейсам?

rc.conf
ifconfig_ae0="xxx.xxx.xxx.xx1 netmask 255.255.255.248"
ifconfig_ae0_alias0="yyy.yyy.yyy.yy2 netmask 255.255.255.255"
natd_enable="YES"
natd_interface="ae0"
natd_flags="-f /etc/natd.conf"

Проброс для ae0 отлично работает. А вот как организовать для ae0_alias0?

WideAreaNetwork
сержант
Сообщения: 239
Зарегистрирован: 2017-01-10 14:37:13

не получается natd -redirect_port

Непрочитанное сообщение WideAreaNetwork » 2020-03-29 20:49:00

Добрый
интерфейс один и тот же, адреса разные, ищите в сторону проброса портов по адресам, у меня реализовано на PF, вот кусочек

Код: Выделить всё

rdr on $ext_if proto tcp from any to xxx.xxx.xxx.xxx port 43100 -> 10.168.152.22 port 37777