Неработает проброс порта в IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
my
проходил мимо

Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-12 8:16:28

В качестве шлюза используется FreeBSD 6.2 c IPFW, на клиенте стоит WinXP c ФПСУ - IP / Клиент.
В документации к нему прописано что надо пробросить и открыть 87 порт.
http://amicon.ru/faq.htm#cli14
В IPFW прописал после ната

Код: Выделить всё

add divert natd all from 77.108.110.100 to 192.168.0.222

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение Sova » 2009-02-12 9:23:40

Чтобы чувствовать себя орлом, нужно летать с орлами.

my
проходил мимо

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-12 10:23:00

вы немоглибы написать конкретное правило?
пробовал как там написано неполучается(

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение schizoid » 2009-02-12 10:29:16

my писал(а):add divert natd all from 77.108.110.100 to 192.168.0.222
это не проброс порта
поиск по форуму поможет. тема поднималась не однократно
ядерный взрыв...смертельно красиво...жаль, что не вечно...

my
проходил мимо

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-12 10:32:01

rinetd пробрасывает только tcp/ip а надо udp


my
проходил мимо

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-12 11:24:04

неработает почемуто(
интересно то тчо на клиенте стоит проггав инструкции которой написано

Технология работы ФПСУ-IP/Клиент такова, что он перехватывает пакеты для отправки их через VPN-соединение в зависимости от IP-адреса назначения (перехватываются те адреса, которые указаны в конфигурации USB-ключа или получены с ФПСУ-IP) + все пакеты, которые идут в адрес самого ФПСУ-IP. А при работе с proxy-server, в качестве адреса ФПСУ-IP, указывается адрес proxy и все пользовательские пакеты, которые идут в Интернет через proxy, перехватываются ФПСУ-IP/Клиент и уходят в VPN. Т.ч. Интернет при такой схеме с установленным VPN-соединением может не работать.

вот и непонятно как же ее заставить работать через шлюз

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение schizoid » 2009-02-12 12:18:21

тспдампом смотреть
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение InventoR » 2009-02-12 12:33:40

как же. уже.

Код: Выделить всё

#cat /etc/rc.conf
dummynet_enable="YES"          
firewall_enable="YES"          
firewall_type="open"       
natd_enable="YES"              
natd_program="/sbin/natd"     
natd_interface="tun0"         
natd_flags="-dynamic -f /etc/natd.conf"          
#

Код: Выделить всё

#ipfw show
00050  59625 23059226 divert 8668 ip4 from any to any via tun0
00100  55306  3897492 allow ip from any to any via lo0
00200      0        0 deny ip from any to 127.0.0.0/8
00300      0        0 deny ip from 127.0.0.0/8 to any
65000 111077 45342909 allow ip from any to any
65535      2      293 allow ip from any to any
#

Код: Выделить всё

#cat /etc/natd.conf
same_ports
use_sockets
unregistered_only
redirect_port tcp 192.168.10.60:27015 27015
redirect_port tcp 192.168.10.59:39500 39500
redirect_port tcp 192.168.10.60:39560 39560
redirect_port tcp 192.168.10.2:3389 3389
#

проброс работает, соединяюсь по RDP со своим домашним компом, стоящим в другой стране, без всяких vpn
все что вам надо, подумать и написать что Вам нужно.
ну вот и сказочке конец, кто слушал, тот молодец.

my
проходил мимо

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-12 13:24:50

allow ip from any to any

разве это правильно?

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение InventoR » 2009-02-12 15:05:35

в данный момент говориться в обще чтобы хоть как-то начало работать.
а потом уже будет обсуждение правильно или нет.
ну вот и сказочке конец, кто слушал, тот молодец.

mrBuG
рядовой
Сообщения: 23
Зарегистрирован: 2009-01-27 7:05:47
Откуда: Томск
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение mrBuG » 2009-02-13 14:06:09

А divert на natd сделать?


Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение zingel » 2009-02-16 7:23:28

чего Вы ему голову морочите, только natd, и только вот так

Код: Выделить всё

/etc/natd.conf

Код: Выделить всё

same_ports	yes
dynamic	yes
redirect_port tcp 77.108.110.100:87 192.168.0.222:87
redirect_port udp 77.108.110.100:87 192.168.0.222:87
Z301171463546 - можно пожертвовать мне денег

my
проходил мимо

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение my » 2009-02-16 9:56:40

совершенно верно. ОГРОМНОЕ СПАСИБО!
три раза разные люди писали одно и тоже блин чтобы вбить мне(... хотя все просто!

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение zingel » 2009-02-16 10:00:08

да сколько угодно...
Z301171463546 - можно пожертвовать мне денег

gallosha
рядовой
Сообщения: 13
Зарегистрирован: 2009-05-23 13:27:22
Откуда: С-Петербург
Контактная информация:

Помогите настроить. Та же проблема.

Непрочитанное сообщение gallosha » 2009-05-23 14:33:10

День добрый всем!
У меня таже проблема, никак не могу побороть этот сбербанковский клиент с ФПСУ.
то что тут советовали сделал, пока не помогло

Код: Выделить всё

/etc/natd.conf

Код: Выделить всё

#log
port 8668
alias_address xxx.xxx.xxx.xxx
same_ports yes
dynamic yes
use_sockets yes
#sber-bank
redirect_port tcp 84.204.56.213:87 192.168.0.7:87
redirect_port udp 84.204.56.213:87 192.168.0.7:87
redirect_port udp 84.204.56.213:1024-65535 192.168.0.7:1024-65535
redirect_port tcp 55.251.189.1:87 192.168.0.7:87
redirect_port udp 55.251.189.1:87 192.168.0.7:87
redirect_port udp 55.251.189.1:1024-65535 192.168.0.7:1024-65535
unregistered_only

Код: Выделить всё

/etc/rc.firewall

Код: Выделить всё

#!/bin/sh

ipfw="/sbin/ipfw -q"
# ipfw="/sbin/ipfw"
/usr/bin/killall -9 natd

ournet="192.168.0.0/24"
uprefix="192.168.0"
ifout="xl0"
ifuser="xl1"
oip="80.247.184.214"
uip="192.168.0.1"

${ipfw} -f flush

${ipfw} add 100 allow icmp from any to any
${ipfw} add 110 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

${ipfw} add 200 allow all from any to any via lo0
${ipfw} add 400 allow tcp from any to me ssh,25,80
${ipfw} add 410 allow tcp from ${ournet} to ${uip} 9000
${ipfw} add 420 allow tcp from ${ournet} to ${uip} 110

${ipfw} add 500 divert natd all from ${ournet} to any out via ${ifout}
${ipfw} add 510 divert natd all from any to ${oip} in via ${ifout}
/sbin/natd -f /etc/natd.conf

# FTP
${ipfw} add 40110 pass tcp from any to any 20
${ipfw} add 40120 pass tcp from any 20 to any
${ipfw} add 40130 pass tcp from any to any 21
${ipfw} add 40140 pass tcp from any 21 to any
# DNS
${ipfw} add pass udp from me to any 53
${ipfw} add pass udp from any 53 to me
#буховская машина с банк-клиентами
${ipfw} add allow tcp from ${uprefix}.7 to ${uip} 3128 via ${ifuser}
${ipfw} add allow tcp from ${uip} 3128 to ${uprefix}.7 via ${ifuser}
${ipfw} add allow ip from ${uprefix}.7 to 195.5.142.162 via ${ifuser}
${ipfw} add allow ip from 195.5.142.162 to ${uprefix}.7 via ${ifuser}
#sberbank 
${ipfw} add allow all from ${uprefix}.7 to 84.204.56.213 via ${ifuser} 
${ipfw} add allow all from 84.204.56.213 to ${uprefix}.7 via ${ifuser}
${ipfw} add allow all from ${uprefix}.7 to 55.251.189.1 via ${ifuser} 
${ipfw} add allow all from 55.251.189.1 to ${uprefix}.7 via ${ifuser}
${ipfw} add divert natd all from 84.204.56.213 to ${uprefix}.7 
${ipfw} add divert natd all from 55.251.189.1 to ${uprefix}.7 
#
${ipfw} add 30010 pass tcp from any to any established
${ipfw} add 30020 pass tcp from ${oip} to any setup
${ipfw} add deny log ip from any to any
${ipfw} add deny log tcp from any to any in via ${ifout} setup

Код: Выделить всё

/etc/rc.conf

Код: Выделить всё

 firewall_type="OPEN"
natd_enable="YES"
natd_interface="fxp0"
#natd_flags="-f /etc/natd.conf"
#natd_flags="-redirect_port udp 192.168.0.7:87 84.204.56.213:87 -f /etc/natd.conf"
natd_flags="- dynamic -f /etc/natd.conf"

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение paradox » 2009-05-23 14:36:51

ммдя
а зачем вы два раза натд запускаете хоть?

gallosha
рядовой
Сообщения: 13
Зарегистрирован: 2009-05-23 13:27:22
Откуда: С-Петербург
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение gallosha » 2009-05-23 14:53:36

paradox писал(а):ммдя
а зачем вы два раза натд запускаете хоть?
если Вы про это

Код: Выделить всё

/etc/rc.firewall

Код: Выделить всё

sbin/natd -f /etc/natd.conf
то там же выше есть и остановка natd

Код: Выделить всё

usr/bin/killall -9 
честно говоря исходники не мои, наверное по задумке чтоб перезапускать nat вместе с firewall

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение paradox » 2009-05-23 14:59:32

ммда уж

я вот не помню
разве в натд и вообще можно пробрасывать от одного внешнего айпишника и одних и тех же портов
на разные айпишники внутрненней сети?

gallosha
рядовой
Сообщения: 13
Зарегистрирован: 2009-05-23 13:27:22
Откуда: С-Петербург
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение gallosha » 2009-05-23 15:05:58

перебрасывается на один ip внутренней сети - 192.1687.0.7

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение paradox » 2009-05-23 15:12:13

natd.conf пересмотри
там с двух айпишников
клиент банк работает на нескльких сервисах?

gallosha
рядовой
Сообщения: 13
Зарегистрирован: 2009-05-23 13:27:22
Откуда: С-Петербург
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение gallosha » 2009-05-24 9:25:01

paradox писал(а):natd.conf пересмотри
там с двух айпишников
Да, внещних IP два - это не порядок.
paradox писал(а): клиент банк работает на нескльких сервисах?
ФПСУ-ИП с клиентом сбербанка один,установлен на одной станции. Внешние адреса это - ИП "Адреса доступных ФПСУ" в клиенте ФПСУ-ИП, а второй "хосты доступные через ФПСУ".
Убрал один, оставил только "Адрес доступных ФПСУ" - не соединяется.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение paradox » 2009-05-24 11:42:24

оставте из правил два диверта
и pass all from any to any
после них

Аватара пользователя
ExTazZ
рядовой
Сообщения: 27
Зарегистрирован: 2009-05-25 13:46:15
Откуда: Санкт-Петербург
Контактная информация:

Re: Неработает проброс порта в IPFW

Непрочитанное сообщение ExTazZ » 2009-05-27 12:57:54

У меня NAT работает через ядро! Без всяких там natd и тому подобное...
Для его активации я добавил в ядро:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT
options         IPDIVERT
options         DUMMYNET
options         LIBALIAS
А в firewall это реализовано так:

Код: Выделить всё

192.168.1.2 - ip адрес куда порт пробрасывем
216.239.59.104 - внешний ip
rl0 - внешняя сетевуха
192.168.0.0/24 - локальная сеть

ipfw nat 777 config ip  216.239.59.104 log same_ports redirect_port tcp 192.168.0.2:2202 2202
ipfw add nat 777 tcp from 192.168.0.2 2202 to any
ipfw add nat 777 tcp from any to 192.168.0.2 2202
ipfw add nat 777 all from 192.168.0.0/24 to any out via rl0
ipfw add nat 777 all from any to 216.239.59.104 in via rl0
Если у тебя несколько ip то сделать надо так redirect_port tcp(udp) <IP адрес локальной машины>:<порт> <внешний IP>:<порт>