Проброс порта в обратную сторону
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Проброс порта в обратную сторону
Здравствуйте, помогите решить проблему, нужно пробросить порт(25->1525), схема выглядит так Loca_Comp(соединение через 25 порт)
-->Server_Gate(FreeBSD-шлюз, конвертация 25 в 1525)-->Server_Provider(25 порт закрыт)-->Server_MX(слушает 1525 порт).
Надеюсь понятно, задача заключается в том, что бы сервер с FreeBSD менял(конверировал) порт. Пробовал redirect_port но работает только в сторону к клиенту (Loca_Comp). Пользуюсь IPFW.
PS изначально соединятся по 1525 нельзя
-->Server_Gate(FreeBSD-шлюз, конвертация 25 в 1525)-->Server_Provider(25 порт закрыт)-->Server_MX(слушает 1525 порт).
Надеюсь понятно, задача заключается в том, что бы сервер с FreeBSD менял(конверировал) порт. Пробовал redirect_port но работает только в сторону к клиенту (Loca_Comp). Пользуюсь IPFW.
PS изначально соединятся по 1525 нельзя
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- сержант
- Сообщения: 179
- Зарегистрирован: 2008-09-04 10:59:32
Re: Проброс порта в обратную сторону
Доступ к ssh на Server_Gate есть?
- Burn_
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2007-12-03 9:19:54
- Откуда: Алт.край, г.Бийск
- Контактная информация:
Re: Проброс порта в обратную сторону
Если доступ к Server_Gate есть то сделай редирект, средствами ipfw или например rinetd (http://www.lissyara.su/?id=1736).
To know everything is to know nothing! / Я знаю только одно, что я ничего не знаю! © Сократ
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Проброс порта в обратную сторону
Я такого не делал, но думаю надо смотреть в сторону ipfw nat с опцией proxy_only
по идее синтаксис этого правила должен быть такой же как у natd
http://www.freebsd.org/cgi/man.cgi?quer ... .1-RELEASE
Код: Выделить всё
ipfw add nat 1 config proxy_only proxy_rule port 25 server Server_MX:1525
http://www.freebsd.org/cgi/man.cgi?quer ... .1-RELEASE
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- сержант
- Сообщения: 179
- Зарегистрирован: 2008-09-04 10:59:32
Re: Проброс порта в обратную сторону
не мучайте человека. если доступ к фре есть - тупо пробросить порт через ssh -L
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
Задача немножко в другом, Local_Comp при соединении указывает адрес Server_MX(А не адрес Server_Gate)
и 25 порт, а Server_Gate уже меняет 25 порт на 1525. Другими словами Local_Comp не должен подозревать,
что соединяется по 1525 порту.
Т.е. Server_Gate должен сообразить, что если от Local_Comp идет соединение по 25 порту к Server_MX то поменять 25 порт на 1525.
К Server_Gate есть полный доступ.
и 25 порт, а Server_Gate уже меняет 25 порт на 1525. Другими словами Local_Comp не должен подозревать,
что соединяется по 1525 порту.
Т.е. Server_Gate должен сообразить, что если от Local_Comp идет соединение по 25 порту к Server_MX то поменять 25 порт на 1525.
К Server_Gate есть полный доступ.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
ipfw fwd
а если будет мало то еще и хитрый divert
експериментировать надо
а если будет мало то еще и хитрый divert
експериментировать надо
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
мне тут порекомендовали правило для pfparadox писал(а):ipfw fwd
а если будет мало то еще и хитрый divert
експериментировать надо
Код: Выделить всё
rdr on $внутр.int proto tcp from $local.comp to $внеш.сервер port 25 -> $внеш.сервер port 1525
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
я тебе уже сказал и показал
екпериментируй)
екпериментируй)
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Проброс порта в обратную сторону
ipfw fwd не отработает в этой ситуации.
fwd | forward ipaddr | tablearg[,port]
Change the next-hop on matching packets to ipaddr, which can be
an IP address or a host name. The next hop can also be supplied
by the last table looked up for the packet by using the tablearg
keyword instead of an explicit address. The search terminates if
this rule matches.
If ipaddr is a local address, then matching packets will be for-
warded to port (or the port number in the packet if one is not
specified in the rule) on the local machine.
If ipaddr is not a local address, then the port number (if speci-
fied) is ignored, and the packet will be forwarded to the remote
address, using the route as found in the local routing table for
that IP.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
И как теперь быть ставить PF?
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проброс порта в обратную сторону
я пользуюсь
1 после установки создай в /usr/local/etc/rc.d/ , файл с названием portfwd.sh
вот его содержание
2 потом chmod +x /usr/local/etc/rc.d/portfwd.sh
и добавь в rc.conf ---> portfwd_enable="YES"
3 далее в директории /usr/local/etc/,создай файл с названием portfwd.cfg
Дерзай, если хочеш к серверу терминалов подключится, имеющего в локалки IP 192.168.1.5, в окне терминала указывай: IP прокси:7763, ну остальное в томже духе
если надо вотportfwd
1 после установки создай в /usr/local/etc/rc.d/ , файл с названием portfwd.sh
вот его содержание
Код: Выделить всё
#!/bin/sh
# PROVIDE portfwd
# REQUIRE: NETWORKING SERVERS
# BEFORE: DAEMON
# KEYWORD: FreeBSD shutdown
#
# Add the following lines to /etc/rc.conf to enable portfwd:
#
# portfwd_enable="YES"
#
. /etc/rc.subr
name=portfwd
rcvar=`set_rcvar`
command=/usr/local/sbin/portfwd
portfwd_config=${portfwd_config:-"/usr/local/etc/portfwd.cfg"}
portfwd_flags=${portfwd_flags-""}
required_files=${portfwd_config}
# pidfile=/var/run/portfwd/portfwd.pid
# --transparent-proxy
portfwd_enable=${portfwd_enable:-"NO"}
start_precmd="${portfwd_start_precmd}"
load_rc_config $name
run_rc_command "$1"
и добавь в rc.conf ---> portfwd_enable="YES"
3 далее в директории /usr/local/etc/,создай файл с названием portfwd.cfg
Код: Выделить всё
user nobody
group nobody
tcp { 7763 { => 192.168.1.5:3389 } }
Каждому свое!!!!
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
да у топика совершенно другая задача
говорю же ipfw fwd + хитрый диверт
ну или другие хитрые решения...
в виде проксика и опять тогоже fwd
ps
топик а тебя там все белые адресса или есть и серые?
потому как это очень критично
говорю же ipfw fwd + хитрый диверт
ну или другие хитрые решения...
в виде проксика и опять тогоже fwd
ps
топик а тебя там все белые адресса или есть и серые?
потому как это очень критично
-
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проброс порта в обратную сторону
Ну так у меня тоже IPFW стоит, открывай порт как и каму тебе надо и все.paradox писал(а):да у топика совершенно другая задача
говорю же ipfw fwd + хитрый диверт
ну или другие хитрые решения...
в виде проксика и опять тогоже fwd
ps
топик а тебя там все белые адресса или есть и серые?
потому как это очень критично
У меня вообще несколько сетей, зачет статических маршрутов я маршрутизирую в ту или другую сеть, допустим в 192 и 10 сеть, как угодно.
а конфиг пиши так, если надо 25->1525
Код: Выделить всё
tcp { 25 { => 192.168.1.5:1525 } }
Каждому свое!!!!
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
та вообще то это не мне надо....
а топикстартеру
зы
прочитайте еще раз тему
о том как идет пакет
и что там таргет не промежуточный роутер а конечная машина
а на промежуточном роутере оно токо "пролетает"
а топикстартеру
зы
прочитайте еще раз тему
о том как идет пакет
и что там таргет не промежуточный роутер а конечная машина
а на промежуточном роутере оно токо "пролетает"
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Проброс порта в обратную сторону
Давайте конкурс объявим на самое-самое завернутое решение и чтобы работало...
У меня сначала был вариант - ipfw + ntegrapf (ng_ksocket), но я не знаю как на уровне netrgaph менять номера портов в пакете (иначе выйдет тенелирование что как я понял неприемлемо и лучше делать через ssh).
Второй вариант - ipfw fwd + nginx (smtp proxy) - вроде можно так?
Кто еще чего предложит чтобы сделать это на ipfw и не использовать pf (если pf сам это поддерживает)
У меня сначала был вариант - ipfw + ntegrapf (ng_ksocket), но я не знаю как на уровне netrgaph менять номера портов в пакете (иначе выйдет тенелирование что как я понял неприемлемо и лучше делать через ssh).
Второй вариант - ipfw fwd + nginx (smtp proxy) - вроде можно так?
Кто еще чего предложит чтобы сделать это на ipfw и не использовать pf (если pf сам это поддерживает)
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
поставил PF , это просто ЧУДО какое-то!!!! все работает!!!
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
а что сложно было сделать kld*
не думаю
не думаю
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
а что это такое?paradox писал(а):а что сложно было сделать kld*
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
кажется понял, только причем тут это?а что это такое?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Проброс порта в обратную сторону
ты так грустно сказал
)))
типа это пол дня нужно потратить на команду kld*прийдеться pf ставить
)))
- gortum
- мл. сержант
- Сообщения: 70
- Зарегистрирован: 2008-11-13 12:12:37
- Откуда: Санкт-Петербург
Re: Проброс порта в обратную сторону
а мне все равно нужно было ядро пересобиратьparadox писал(а):ты так грустно сказалтипа это пол дня нужно потратить на команду kld*прийдеться pf ставить
)))