Помогите настроить IPFW+NATD

[customs]

Добрый день всем!
Не получается настроить IPFW + NATD, нужно чтобы натился порт 3389 локальной машины.
На машине две сетевухи одна смотрит в инет rl1 вторая в локалку rl0.

К интернету машина подключается по VPN при помощи ppp клиента, и создает новый интерфейс tun0. Внешний айпишник динамический...

О системе:

Код: Выделить всё

FreeBSD 7.0 + squid + sams + apache2 + php5 + mysql

Нат запускал так:

Код: Выделить всё

#natd -n tun0 -redirect_port tcp 192.x.x.x:3389 3389

Код: Выделить всё

rc.firewall: 
ipfw flush
ipfw add divert natd ip from any to any via tun0
ipfw add allow ip from any to any

не работает... помогите пожалуйста советом что еще можно проверить?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

sysctl -a | grep ip.forwarding

[Гость]

Код: Выделить всё

sysctl -a | grep ip.forwarding

на команду выдал следующее:

Код: Выделить всё

net.inet.ip.forwarding: 1

[zingel]

давайте все конфиги, а то будет гадание на кофейной гуще, и логи по-возможности

[paradox]

не работает... помогите пожалуйста советом что еще можно проверить?

tcpdump вам в помощь

и не натился
а пробрасывался

[Gendos_01]

Был глюк
Как у Вас в rc.conf записана строка natd_flags=""? может попробовать natd_flags=" -dynamic"
Мой пример пока не показатель новичек я во фре, но покрайней мере мне такой вариант помог.
Юзаю FreeBSD 6.2-RELEASE

[schizoid]

на кампе куда пробрасываетсяч шлюз по умолчанию какой?

[shroo0m]

Если седьмая фрибсдя, зачем мучаться с натд? ipfw нат решает! несравнимо производительнее и намного проще. Для работы требуется пересобрать мир с опцией

Код: Выделить всё

CFLAGS+= -DIPFIREWALL_NAT

в /etc/make.conf, а также ядро с опциями

Код: Выделить всё

options         IPFIREWALL                                                                                                   
options         IPFIREWALL_VERBOSE                                                                                           
options         IPFIREWALL_VERBOSE_LIMIT=100                                                                             
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         LIBALIAS                                                                                                     
options         IPFIREWALL_NAT

весь конфиг простейшего ната будет в вашем случае выглядеть следующим образом:

Код: Выделить всё

nat 1 config if <интерфейс_на_котором_нат>                                                                                                     
                                   
add nat 1 all from 10.11.11.0/30 to any out via <интерфейс_на_котором_нат>                                                                      
add nat 1 all from any to 99.99.99.99/32 in via <интерфейс_на_котором_нат>

Насколько знаю, так же можно и в целый пул адресов натить (указываешь внешнюю сеть вместо айпишника)
или как вариант

Код: Выделить всё

nat 1 config if <интерфейс_на_котором_нат>                                                                                                     
                                   
add nat 1 all from 10.11.11.0/30 to any out via <интерфейс_на_котором_нат>                                                                      
add nat 1 all from any to any in via <интерфейс_на_котором_нат>

если хочется вариаций- все хорошо рассказано в man ipfw.

[customs]

на кампе куда пробрасываетсяч шлюз по умолчанию какой?

Шлюзом прописан IP моей фрихи...

[customs]

Если седьмая фрибсдя, зачем мучаться с натд? ipfw нат решает! несравнимо производительнее и намного проще. Для работы требуется пересобрать мир с опцией

Код: Выделить всё

CFLAGS+= -DIPFIREWALL_NAT

в /etc/make.conf, а также ядро с опциями

Код: Выделить всё

options         IPFIREWALL                                                                                                   
options         IPFIREWALL_VERBOSE                                                                                           
options         IPFIREWALL_VERBOSE_LIMIT=100                                                                             
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         LIBALIAS                                                                                                     
options         IPFIREWALL_NAT

весь конфиг простейшего ната будет в вашем случае выглядеть следующим образом:

Код: Выделить всё

nat 1 config if <интерфейс_на_котором_нат>                                                                                                     
                                   
add nat 1 all from 10.11.11.0/30 to any out via <интерфейс_на_котором_нат>                                                                      
add nat 1 all from any to 99.99.99.99/32 in via <интерфейс_на_котором_нат>

Насколько знаю, так же можно и в целый пул адресов натить (указываешь внешнюю сеть вместо айпишника)
или как вариант

Код: Выделить всё

nat 1 config if <интерфейс_на_котором_нат>                                                                                                     
                                   
add nat 1 all from 10.11.11.0/30 to any out via <интерфейс_на_котором_нат>                                                                      
add nat 1 all from any to any in via <интерфейс_на_котором_нат>

если хочется вариаций- все хорошо рассказано в man ipfw.

можно было бы попробовать, проблема вся в том, что сервер находиться в другом городе, и пересобрать мир уже не получиться.... а если просто модуль подгрузить не сработает? (kldload?)

[customs]

давайте все конфиги, а то будет гадание на кофейной гуще, и логи по-возможности

вот конфиги:

Код: Выделить всё

# ipfw show

00050 215 23192 divert 8668 ip from any to any via tun0
00150 914 86290 allow ip from any to any
65535 240 26908 deny ip from any to any

Код: Выделить всё

yan2009# cat /etc/rc.conf

# Created: Sun Jan  4 14:11:45 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
#NETWORK
hostname="yan20099"
ifconfig_rl0="192.168.199.200 netmask 255.255.255.0"
ifconfig_rl1="inet 10.10.65.40 netmask 255.255.255.0"
defaultrouter="10.10.65.1"
inetd_enable="YES"
squid_enable="YES"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
gateway_enable="YES"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic -f /etc/natd.conf"
apache2_enable="YES"
mysql_enable="YES"
samsd_enable="YES"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"
ddclient_enable="YES"

#CONSOLE
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="koi8-r2cp866"
keyrate="fast"
mousechar_start="3"
moused_enable="YES"
saver="logo"
scrnmap="koi8-r2cp866"
linux_enable="YES"

Код: Выделить всё

yan2009# cat /etc/rc.firewall

#!/bin/sh -
inet="not 10.0.0.0/8,192.168.199.0/24"
fwcmd="/sbin/ipfw"
ifinet="tun0"
#Локальная сеть
netlocal="192.168.199.0/24"

setup_loopback () {
    ############
    # Only in rare cases do you want to change these rules
    ${fwcmd} add 100 pass all from any to any via lo0
    ${fwcmd} add 200 deny all from any to 127.0.0.0/8
    ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}


${fwcmd} -f flush
setup_loopback

# Заварачиваем весь внешний трафик на NATD
${fwcmd} add 50 divert natd ip from any to any via ${ifinet}
${fwcmd} add allow all from any to any

Код: Выделить всё

yan2009# cat /etc/natd.conf

same_ports yes
use_sockets yes
unregistered_only yes

redirect_port tcp 192.168.199.20:3389 3389

Код: Выделить всё

yan2009# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:c0:df:10:99:a7
        inet 192.168.199.200 netmask 0xffffff00 broadcast 192.168.199.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:c0:df:06:5a:5f
        inet 10.10.65.40 netmask 0xffffff00 broadcast 10.10.65.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 94.143.57.85 --> 94.143.63.1 netmask 0xffffffff
        Opened by PID 342

[customs]

Был глюк
Как у Вас в rc.conf записана строка natd_flags=""? может попробовать natd_flags=" -dynamic"
Мой пример пока не показатель новичек я во фре, но покрайней мере мне такой вариант помог.
Юзаю FreeBSD 6.2-RELEASE

попробовал добавить данный параметр в rc.conf... не помогло..

[shroo0m]

можно было бы попробовать, проблема вся в том, что сервер находиться в другом городе, и пересобрать мир уже не получиться.... а если просто модуль подгрузить не сработает? (kldload?)

kldload, возможно, поможет избежать сборки ядра (сам в таком случае не пробовал, но теоретически должно проканать)

А вот ipfw придется пересобирать полюбому.

[schizoid]

Код: Выделить всё

# cat /boot/loader.conf
ipfw_nat_load="YES"

и все пашет

[manefesto]

у тебя ADSL?
дайка

Код: Выделить всё

grep -e ppp /etc/rc.conf

[customs]

у тебя ADSL?
дайка

Код: Выделить всё

grep -e ppp /etc/rc.conf

неа не АДСЛ..

Код: Выделить всё

yan2009# yan2009# grep -e ppp /etc/rc.conf
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="myisp"

[manefesto]

Код: Выделить всё

ppp_enable="YES"
ppp_profile="default"
ppp_mode="ddial"
ppp_user="root"
ppp_nat="YES"

[Kos]

простите за ламерский вопрос: а на винде разрешено подключение к удаленному рабочему столу?

[manefesto]

вопрос к теме не относится.

[Kos]

вопрос к теме не относится.

Человек пытается достучаться за нат на порт 3389... Настройки у него правильные (во всяком случае то что он на форум выложил), но если в винде нужная галочка не стоит, можна пытаться пару месяцев, пока винда не упадет. Так что наверное все-таки мой вопрос относится к данной теме...

[manefesto]

пусть попробует по порту radmin || vnc

[InventoR]

для начала на внутренем интерфейсе пусть сделает
tcpdump -i "lan" port 3389
если пакеты пойдут, но не будет подключения, значит дальше надо колупать внутрение машины.
и в обще. тут уже не однократно приводились минимальные конфиги для проброса портов.

[manefesto]

кстати да....rinetd в помощь

[paradox]

что бы работал ваш диверт и проброс порта
дефолтовым шлюзом должен быть 94.143.63.1 тунеля