Бред какой-то. У меня работает редирект на радминовский 4489 и почтовые 110 c 25 с тех портов, какие я укажу. Волшебник, наверное.угу. Сам-то пробовал? Я вот пробовал. 2 раза за последний год тупил по часу - почему это у меня согласно ману не работает? Наверно тупой сильно. Надо мозги допилить.
--
ну в смысле входящие-то пакеты он пробросит. А дальше? Обратка после натда идет с тем портом, который внутре, а не с тем, который охота получить.
не получается natd -redirect_port
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: не получается natd -redirect_port
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: не получается natd -redirect_port
просто в статье подразумевалось что обратный траффик разрешён.
Убей их всех! Бог потом рассортирует...
- abanamat
- сержант
- Сообщения: 255
- Зарегистрирован: 2007-03-15 11:24:26
- Откуда: Питер
- Контактная информация:
Re: не получается natd -redirect_port
ну х.з. у меня не работает. Может потому что это каждый раз - шлюз и каждый раз там ng_nat.
-
- мл. сержант
- Сообщения: 85
- Зарегистрирован: 2007-10-08 12:57:05
Re: не получается natd -redirect_port
Код: Выделить всё
natd_enable="YES"
natd_interface="rl0"
natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: не получается natd -redirect_port
Вероятно не в конфиге дело. Хотелось бы на ядро взглянуть...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: не получается natd -redirect_port
Твоя мою понимать. Любишь в Warcraft игры создавать? Дота?mod писал(а):у меня такое в конфиги..и всё работет..Код: Выделить всё
natd_enable="YES" natd_interface="rl0" natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- abanamat
- сержант
- Сообщения: 255
- Зарегистрирован: 2007-03-15 11:24:26
- Откуда: Питер
- Контактная информация:
Re: не получается natd -redirect_port
так это симметричные порты. симметрия и у меня работает..mod писал(а):у меня такое в конфиги..и всё работет..
Код: Выделить всё
# MyOptions
options PANIC_REBOOT_WAIT_TIME=16
options IPFIREWALL
options IPFIREWALL_FORWARD
options HZ=1000
options DUMMYNET
options DEVICE_POLLING
options NETGRAPH
options LIBALIAS
options NETGRAPH_NAT
options NETGRAPH_IPFW
options NETGRAPH_BPF
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_SOCKET
options NETGRAPH_TCPMSS
options NETGRAPH_TTY
options NETGRAPH_VJC
options IPDIVERT
device tap
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: не получается natd -redirect_port
Все верно... А файрволл?
- abanamat
- сержант
- Сообщения: 255
- Зарегистрирован: 2007-03-15 11:24:26
- Откуда: Питер
- Контактная информация:
Re: не получается natd -redirect_port
гыг.vygov писал(а):Все верно... А файрволл?
1.1.1.1 - основной ип
2.2.2.2 - алиасный ип
Код: Выделить всё
00001 reject icmp from any to any icmptypes 5,9,13,14,15,16,17
00002 deny udp from any to any dst-port 80,137,138
00003 deny ip from any to table(2)
00005 reject ip from table(0) to any in via fxp0
00006 deny udp from table(13) to 1.1.1.1 dst-port 53 in via fxp0
00010 allow ip from any to any via lo0
00011 allow ip from any to 1.1.1.1 in via fxp0
00012 allow ip from me to any
00014 allow ip from table(3) to table(3)
00015 allow ip from table(3) to me in
00020 reset tcp from not table(11) to 2.2.2.2 dst-port 5900 in via fxp0
00021 divert 8668 tcp from not me to 2.2.2.2 dst-port 1723,5900 in via fxp0
00023 allow tcp from not me to 192.168.0.8 dst-port 1723 diverted
00024 allow tcp from table(11) to 192.168.0.22 dst-port 5900 diverted
00026 divert 8668 tcp from 192.168.0.8 1723 to not me in via fxp1
00027 divert 8668 tcp from 192.168.0.22 5900 to table(11) in via fxp1
00029 divert 8668 gre from not me to 2.2.2.2 in via fxp0
00030 allow gre from not me to 192.168.0.8
00031 divert 8668 gre from 192.168.0.8 to not me in via fxp1
00041 netgraph 60 ip from table(3) to table(1) in
00042 allow ip from table(1) to table(3) out
00043 netgraph 60 tcp from table(3) to any dst-port 5190 in
00044 allow tcp from any 5190 to table(3) out
00045 netgraph 60 tcp from table(3) to table(10) in
00046 allow tcp from table(10) to table(3) out
00050 reset tcp from table(15) to not me dst-port 25 in
00051 queue 3 tcp from table(3) to not me dst-port 25 in
00055 queue 1 ip4 from table(3) to not me in
00056 queue 2 ip4 from not me to table(3) out
00060 netgraph 60 ip4 from table(3) to not me out
00061 netgraph 61 ip4 from any to 2.2.2.2 in via fxp0
65535 deny ip from any to any
-
- ефрейтор
- Сообщения: 50
- Зарегистрирован: 2007-08-22 9:17:52
Re: не получается natd -redirect_port
Все! Я разобрался, спасибо всем за помощь. Вот кусок скрипта фаера
Может быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
Код: Выделить всё
$ext_if - внешний интерфейс
$in_if - внутренний
$dest_ip - ip внутреннего веб-сервера
natd -m -s -n $ext_if -p 8669 -redirect_port tcp $dest_ip:80 8123
natd -m -s -n $in_if
ipfw add 50 divert 8669 log all from any to $ext_ip 8123 in via $ext_if
ipfw add 55 divert 8668 log all from any to $dest_ip 80 out via $in_if
ipfw add 60 divert 8668 log all from $dest_ip 80 to me in via $in_if
ipfw add 65 divert 8669 log all from $dest_ip 80 to any out via $ext_if
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
-
- мл. сержант
- Сообщения: 85
- Зарегистрирован: 2007-10-08 12:57:05
Re: не получается natd -redirect_port
ага...)у нас на есть сервак...я к нму цепляюсь,там создаю..а там уже ко мне)без этих поритов они не могут цепануться)по-моеиу я тоже)dikens3 писал(а):Твоя мою понимать. Любишь в Warcraft игры создавать? Дота?mod писал(а):у меня такое в конфиги..и всё работет..Код: Выделить всё
natd_enable="YES" natd_interface="rl0" natd_flags="-s -u -m -dynamic -redirect_port udp 192.168.0.2:27015 27015 -redirect_port udp 192.168.0.2:9442 9442 -redirect_port tcp 192.168.0.2:1234 1234 -redirect_port udp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:6112-6117 6112-6117 -redirect_port tcp 192.168.0.2:8000-8001 8000-8001 -redirect_port udp 192.168.0.2:1235 1235"
27015 для кс...цепляються ко мне я в качетве сервера..
9442 тоже игра..нфс пашет обратный исход тоже поидее должен
1234- п2п исход и вход по нему всё..
и т.д)
192.168.0.2 моя машина
192.168.0.1 сервер на фри
rl0 -внешний инетерфейс..
xl0 внутренний..он тут вообще не задействован:)
ты кстати,не поднимал батл нет сервак?
хотл бы замутить для своих:)а?:)
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: не получается natd -redirect_port
Неа, но доки в инете видел.ага...)у нас на есть сервак...я к нму цепляюсь,там создаю..а там уже ко мне)без этих поритов они не могут цепануться)по-моеиу я тоже)
ты кстати,не поднимал батл нет сервак?
хотл бы замутить для своих:)а?:)
Для клиентов нужен только tcp 6112 на выход. НА вход все setup(syn) пакеты закрыты.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-01-23 4:15:33
Re: не получается natd -redirect_port
ПЛЯ!!!! у меня слов нет!!! какой же я..... блин еслиб не твоя последняя приписка что блин с машины на которую форвардят должен быть этот шлюз прописан....r0man_ писал(а): Может быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
я уже две недели по Нету в поисках ошибки лажу...не редиректело у меня.. а оказывается тупо шлюз другой использовался... %)
-
- проходил мимо
Re: не получается natd -redirect_port
не пашет.((
#ipfw show
01560 67 3412 nat 2 ip from any to me dst-port 8080 in via tun0
01565 0 0 allow ip from any to me in dst-port 8080 via tun0
01570 167 6680 allow ip from any to 192.168.0.2 dst-port 80 via tun0
01575 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via tun0
01580 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01585 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01600 76938 13842107 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl1
01700 966 60663 nat 2 ip from 192.168.0.0/24 to any out via tun0
01800 156383 64881357 nat 2 ip from any to me in via tun0
#ipfw nat show
nat 2: icmp=1, udp=3, tcp=3561, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3565
#sudo ipfw nat show config
ipfw nat 2 config if tun0 log same_ports unreg_only redirect_port tcp 192.168.0.2:80 8080
Nmap
с другой машины показывает что
8080/tcp filtered
Машина- является шлюзом по умолчанию. Из-за неё клиенты ходят в инет,
внутренняя сетевуха rl1, наружу rl0 и интерфейс ppp tun0 (ADSL).
По rl0 и rl1 всё разрешено. Фильтрирую по tun0.
#ipfw show
01560 67 3412 nat 2 ip from any to me dst-port 8080 in via tun0
01565 0 0 allow ip from any to me in dst-port 8080 via tun0
01570 167 6680 allow ip from any to 192.168.0.2 dst-port 80 via tun0
01575 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via tun0
01580 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01585 0 0 allow ip from any to 192.168.0.2 dst-port 8080 via rl1
01600 76938 13842107 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl1
01700 966 60663 nat 2 ip from 192.168.0.0/24 to any out via tun0
01800 156383 64881357 nat 2 ip from any to me in via tun0
#ipfw nat show
nat 2: icmp=1, udp=3, tcp=3561, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=3565
#sudo ipfw nat show config
ipfw nat 2 config if tun0 log same_ports unreg_only redirect_port tcp 192.168.0.2:80 8080
Nmap
с другой машины показывает что
8080/tcp filtered
Машина- является шлюзом по умолчанию. Из-за неё клиенты ходят в инет,
внутренняя сетевуха rl1, наружу rl0 и интерфейс ppp tun0 (ADSL).
По rl0 и rl1 всё разрешено. Фильтрирую по tun0.
-
- мл. сержант
- Сообщения: 109
- Зарегистрирован: 2009-03-06 14:54:05
Re: не получается natd -redirect_port
2Roland, этот вариант работает.r0man_ писал(а):Все! Я разобрался, спасибо всем за помощь. Вот кусок скрипта фаераМожет быть и извращенно, но зато натиться только то, что нужно. Как оказалось natd не подменяет ip с случае -redirect_port,Код: Выделить всё
$ext_if - внешний интерфейс $in_if - внутренний $dest_ip - ip внутреннего веб-сервера natd -m -s -n $ext_if -p 8669 -redirect_port tcp $dest_ip:80 8123 natd -m -s -n $in_if ipfw add 50 divert 8669 log all from any to $ext_ip 8123 in via $ext_if ipfw add 55 divert 8668 log all from any to $dest_ip 80 out via $in_if ipfw add 60 divert 8668 log all from $dest_ip 80 to me in via $in_if ipfw add 65 divert 8669 log all from $dest_ip 80 to any out via $ext_if
поэтому и сделал второй нат. Теперь не надо указывать машину с натом в качестве шлюза.
может не в тему, но я бы подправил чуток, а то мало ли...
во-первых, для общего случая и чтобы, так сказать, не ошибиться (а то natd может еще встретиться где-то в другом месте скрипта с правилами) нат на внутренний иф я бы указал явно, какой:
Код: Выделить всё
natd -m -s -n $in_if -p 8668
поэтому еще нужно добавить такое правило:
Код: Выделить всё
ipfw add 70 allow all from any to $dest_ip 8123 via $in_if
есть менее извращённый вариант.
по примеру выше, нужно пробросить на 80-ый порт локального тазика пакеты идущие на внешний ип по порту 8123.
и так, в скрипте фаера, касательно сабжа, пишем так (немного изменю):
Код: Выделить всё
$oif #внешний интерфейс
$oip #внешний ip
$loca_pc_ip #ip внутреннего веб-сервера
$natd="/sbin/natd"
$ipfw="/sbin/ipfw"
#вешаем нат на внешний ип с редиректом:
$natd -a ${oip} -p 8668 -redirect_port tcp $local_pc_ip:80 8123
#далее диверт:
$ipfw add divert 8668 ip from any to $oip in via $oif
$ipfw add divert 8668 ip from $local_pc_ip to any out via $oif
#для проверки (обязательно перед денаем) пишем следующие правила:
$ipfw add allow ip from any to me 8123
$ipfw add allow ip from any to $local_pc_ip 80
$ipfw add allow ip from $local_pc_ip 80 to any
#скорее всего первое из последних трех правил ненужно
#но в любом случае потом можно будет по ipfw show посмотреть, ходят ли через него пакеты
#если не ходят - то можно спокойно убить его :)
#лично мне оно было нужно из-за того что в скрипте фаера были определённые запреты
#ну и обязательно последнее запрещающее правило:
$ipfw add deny ip from any to any
-
- мл. сержант
- Сообщения: 79
- Зарегистрирован: 2008-10-26 10:07:03
- Контактная информация:
Re: не получается natd -redirect_port
Добрый день.
Есть затруднение с пробросом портов для шаринга с сети.
У моего провайдера есть шары на серверах, которыми я хочу пользоваться. После того как я поставил Фаирволл на ФриБсд туда попасть больше не могу.
В сетевом окружении ХП я вижу свою самбу и шары провайдера, но попасть я могу только к себе.
Сделал проброс портов
И в АйПиФе указаыл порты
Подскажите, Спасибо
Есть затруднение с пробросом портов для шаринга с сети.
У моего провайдера есть шары на серверах, которыми я хочу пользоваться. После того как я поставил Фаирволл на ФриБсд туда попасть больше не могу.
В сетевом окружении ХП я вижу свою самбу и шары провайдера, но попасть я могу только к себе.
Сделал проброс портов
Код: Выделить всё
more /etc/natd.conf
interface fxp0
same_ports
redirect_port tcp 192.98.98.13:135 135
redirect_port udp 192.98.98.13:135 135
#redirect_port tcp 192.98.98.13:137 137
#redirect_port udp 192.98.98.13:137 137
#redirect_port tcp 192.98.98.13:138 138
#redirect_port udp 192.98.98.13:138 138
#redirect_port tcp 192.98.98.13:139 139
#redirect_port udp 192.98.98.13:139 139
redirect_port tcp 192.98.98.13:445 445
redirect_port udp 192.98.98.13:445 445
Код: Выделить всё
${FwCMD} add allow udp from any to ${oip} 135, 445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135, 445 in via ${oif}
-
- мл. сержант
- Сообщения: 109
- Зарегистрирован: 2009-03-06 14:54:05
Re: не получается natd -redirect_port
Код: Выделить всё
cat /etc/services | grep "netbios"
netbios-ns 137/tcp #NETBIOS Name Service
netbios-ns 137/udp #NETBIOS Name Service
netbios-dgm 138/tcp #NETBIOS Datagram Service
netbios-dgm 138/udp #NETBIOS Datagram Service
netbios-ssn 139/tcp #NETBIOS Session Service
netbios-ssn 139/udp #NETBIOS Session Service
Код: Выделить всё
cat /etc/services | grep "microsoft"
microsoft-ds 445/tcp
microsoft-ds 445/udp
-
- мл. сержант
- Сообщения: 79
- Зарегистрирован: 2008-10-26 10:07:03
- Контактная информация:
Re: не получается natd -redirect_port
Выпустил эти порты.
Не помогает
Не помогает
-
- мл. сержант
- Сообщения: 109
- Зарегистрирован: 2009-03-06 14:54:05
Re: не получается natd -redirect_port
покажите как выпустили? (правила)stark писал(а):Выпустил эти порты.
Не помогает
если правила эти:
Код: Выделить всё
${FwCMD} add allow udp from any to ${oip} 135, 445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135, 445 in via ${oif}
Код: Выделить всё
${FwCMD} add allow udp from any to ${oip} 135,137-139,445 in via ${oif}
${FwCMD} add allow tcp from any to ${oip} 135,137-139,445 in via ${oif}
так же укажите в каком месте относительно ната (до или после него) стоят эти правила
и какие перед правилами разрешающими шары есть запрещающие правила тоже покажите
а вообще, если точно не увернеы что и как нужно открывать
добавляем такое правило в фаер:
Код: Выделить всё
ipfw add 1 pass log ip from any to any
Последний раз редактировалось daggerok 2009-10-20 10:05:42, всего редактировалось 2 раза.
-
- мл. сержант
- Сообщения: 79
- Зарегистрирован: 2008-10-26 10:07:03
- Контактная информация:
Re: не получается natd -redirect_port
вот эти порты
запрещающие правила такие:
Код: Выделить всё
${FwCMD} add allow ip from any to ${oip} 135 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 135 via ${oif}
${FwCMD} add allow ip from any to ${oip} 137 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 137 via ${oif}
${FwCMD} add allow ip from any to ${oip} 138 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 138 via ${oif}
${FwCMD} add allow ip from any to ${oip} 139 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 139 via ${oif}
${FwCMD} add allow ip from any to ${oip} 445 via ${oif}
#${FwCMD} add allow tcp from any to ${oip} 445 via ${oif}
Код: Выделить всё
${FwCMD} add deny ip from ${inet} to any in via ${oif}
${FwCMD} add deny ip from ${onet} to any in via ${iif}
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${oif}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${oif}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${oif}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${oif}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${oif}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${oif}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${oif}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${oif}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${oif}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${oif}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${oif}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${oif}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${oif}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${oif}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${oif}
${FwCMD} add deny log tcp from any to ${oip} in via ${oif} setup
${FwCMD} add deny ip from any to any
-
- мл. сержант
- Сообщения: 109
- Зарегистрирован: 2009-03-06 14:54:05
Re: не получается natd -redirect_port
Код: Выделить всё
sockstat | grep smb
Код: Выделить всё
sockstat | grep nmb
-
- мл. сержант
- Сообщения: 79
- Зарегистрирован: 2008-10-26 10:07:03
- Контактная информация:
Re: не получается natd -redirect_port
[10:31] /home/dumps >sockstat | grep smb
[10:31] /home/dumps >sockstat | grep nmb
Код: Выделить всё
root smbd 998 18 dgram -> /var/run/logpriv
root smbd 998 23 tcp4 192.98.98.1:445 192.98.98.1:54381
root smbd 759 18 dgram -> /var/run/logpriv
root smbd 759 23 tcp4 192.98.98.1:445 192.98.98.1:64233
root smbd 752 18 dgram -> /var/run/logpriv
root smbd 748 18 dgram -> /var/run/logpriv
root smbd 748 19 tcp4 *:445 *:*
root smbd 748 20 tcp4 *:139 *:*
Код: Выделить всё
root nmbd 743 8 udp4 *:137 *:*
root nmbd 743 9 udp4 *:138 *:*
root nmbd 743 10 udp4 192.98.98.1:137 *:*
root nmbd 743 11 udp4 192.98.98.1:138 *:*
root nmbd 743 12 udp4 xxx.27.11.160:137 *:*
root nmbd 743 13 udp4 xxx.27.11.160:138 *:*
root nmbd 743 14 udp4 xxx.xxx.xxx.32:137 *:*
root nmbd 743 15 udp4 xxx.xxx.xxx.32:138 *:*
-
- мл. сержант
- Сообщения: 109
- Зарегистрирован: 2009-03-06 14:54:05
Re: не получается natd -redirect_port
кароче так
1.
в общем случае, для того чтобы вы могли с тачки которая находится за натом (если я верно понял ее ип 192.98.98.13) поппасть на шары вам необходимы такие правила (после правил ната):
если же ипы серверов с шарами провайдера имеют сериые адреса (допустим 10.0.0.0/8) тогда уберите вот это запрещающее правило из своего списка правил:
хотя тут нужно подумать, но как вариант обратите внимание на эти правила, так как они рассчитаны на то что у вас белый ип и в интернете не может быть машин с серыми адресами такого типа
(аналогично если ипы шаровых серваков прова имеют другой тип серых адресов)
2.
так же не ясно для чего имеено у вас реализован проброс портов 135 и 445, для того, чтобы открывать шары своей XP за натом? и вы действительно думаете что этих портов будет достаточно? в любом случае для работоспособности данного редиректа нужно помимо самого проброса в natd.conf добавить разрешающие это правила.
что-то типа такого (в данном случае):
и опять же таки обратите на такое правило в вашем списке правил:
оно будет блочить третье из выше описаных правил...
в любом случае внимательно смотрите ipfw show на предмет блокировки нужных вам пакетов запрещаюшими правилами стоящими выше тех что добавляете, если что-то не получается как уже писал раньше - добвте вначало разрешающее все правило с записью в лог и смотрите что как и куда ходит, ну или как минимум хотябы на время закоментируйте все выше стоящие запрещающие правила - быть может они и есть причиной и нужно их изменить.
удачи
1.
в общем случае, для того чтобы вы могли с тачки которая находится за натом (если я верно понял ее ип 192.98.98.13) поппасть на шары вам необходимы такие правила (после правил ната):
Код: Выделить всё
ipfw add pass ip from me to any 137-139,445 out via $oif
ipfw add pass ip from any 137-139,445 to me in via $oif
ipfw add pass ip from any 137-139,445 to 192.98.98.13 in via $oif
ipfw add pass ip from 192.98.98.13 to any 137-139,445 in via $iif
ipfw add pass ip from any 137-139,445 to 192.98.98.13 out via $iif
Код: Выделить всё
ipfw add deny ip from any to 10.0.0.0/8 in via $oif
(аналогично если ипы шаровых серваков прова имеют другой тип серых адресов)
2.
так же не ясно для чего имеено у вас реализован проброс портов 135 и 445, для того, чтобы открывать шары своей XP за натом? и вы действительно думаете что этих портов будет достаточно? в любом случае для работоспособности данного редиректа нужно помимо самого проброса в natd.conf добавить разрешающие это правила.
что-то типа такого (в данном случае):
Код: Выделить всё
ipfw add pass ip from me 135,445 any out via $oif
ipfw add pass ip from any to 192.98.98.13 135,445 in via $oif
ipfw add pass ip from any to 192.98.98.13 135,445 out via $oif
ipfw add pass ip from 192.98.98.13 135,445 to any in via $iif
Код: Выделить всё
ipfw add deny ip from 10.0.0.0/8 to any out via $oif
в любом случае внимательно смотрите ipfw show на предмет блокировки нужных вам пакетов запрещаюшими правилами стоящими выше тех что добавляете, если что-то не получается как уже писал раньше - добвте вначало разрешающее все правило с записью в лог и смотрите что как и куда ходит, ну или как минимум хотябы на время закоментируйте все выше стоящие запрещающие правила - быть может они и есть причиной и нужно их изменить.
удачи
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2013-12-14 16:53:04
не получается natd -redirect_port
Добрый день. А подскажите как сделать проброс портов по двум интерфейсам?
rc.conf
ifconfig_ae0="xxx.xxx.xxx.xx1 netmask 255.255.255.248"
ifconfig_ae0_alias0="yyy.yyy.yyy.yy2 netmask 255.255.255.255"
natd_enable="YES"
natd_interface="ae0"
natd_flags="-f /etc/natd.conf"
Проброс для ae0 отлично работает. А вот как организовать для ae0_alias0?
rc.conf
ifconfig_ae0="xxx.xxx.xxx.xx1 netmask 255.255.255.248"
ifconfig_ae0_alias0="yyy.yyy.yyy.yy2 netmask 255.255.255.255"
natd_enable="YES"
natd_interface="ae0"
natd_flags="-f /etc/natd.conf"
Проброс для ae0 отлично работает. А вот как организовать для ae0_alias0?
-
- сержант
- Сообщения: 239
- Зарегистрирован: 2017-01-10 14:37:13
не получается natd -redirect_port
Добрый
интерфейс один и тот же, адреса разные, ищите в сторону проброса портов по адресам, у меня реализовано на PF, вот кусочек
интерфейс один и тот же, адреса разные, ищите в сторону проброса портов по адресам, у меня реализовано на PF, вот кусочек
Код: Выделить всё
rdr on $ext_if proto tcp from any to xxx.xxx.xxx.xxx port 43100 -> 10.168.152.22 port 37777