Здравствуйте:
Помогите розобраться:
Есть сервере FreeBSD 9.0
Есть блок из 5 внешних IP адресов.
1 присвоена адаптеру, остальные 4-е как alias.
локальной сети нет.
Нужно сделать перекидку портов через alias адресы.
Тоесть чтобы попадая на ІР1 перекидало на 10.10.10.10(например)
и также со всема остальными айпишками.
Для основной IP это сделать удалось а вот как быть с адресами alias не знаю.
Всё это делал средствами ipfw nat, с помощью redirect_port.
Alias+redirect_port
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
budyonuj
- проходил мимо
Alias+redirect_port
Последний раз редактировалось f_andrey 2013-03-18 19:42:53, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
budyonuj
- проходил мимо
Re: Alias+redirect_port
Перечитал, сделал вот так:
10.10.10.1-5 внешние ІР-шки
20.20.20.1 - Адрес железяки Cisco к которой нужно подлючаться.
Суть проблеммы в том, что нужно сделать перекидку портов на 20.20.20.1 через эти 5 IP-шек. Это нужно для Cisco. И доступен только такой вариант, так как возможности поднятия постоянного туннеля нет. И к удалённому Cisco я доступа не имею.
Данная конфигурация работает, но перенаправляет только 1-й нат. тоесть 10.10.10.1.
Эсли же подлючаться к 10.10.10.2 то соединение проходит успешно, но получается что выходит на Cisco не с 10.10.10.2 а с 10.10.10.1. что плохо, так как пользователя поблюдчившесяго с 10.10.10.1 выкинет.
Тоже самое делал для RDP, - результат тотже.
Короче надо понять почему вместо того чтобы виходить в мир с редиректа по 10.10.10.2, выхожу с 10.10.10.1
Прошу помощи, заранее спасибо
#!/bin/sh
#/bin/sleep 10
cmd="ipfw -q add"
skip="skipto 500"
skipin="skipto 100"
pif=re0
ks="keep-state"
good_tcpo="20,21,22,25,53,80,443,110,465,993,995,1025-65535"
ipfw -q -f flush
$cmd 089 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 via $pif #ICMP deny
$cmd 090 allow icmp from any to any
$cmd 091 allow tcp from any to 10.10.10.1 21,22,443,2222,3389,3400 in via $pif setup $ks
$cmd 092 allow tcp from any to 10.10.10.2 21,22,443,2222 in via $pif setup $ks
$cmd 093 allow tcp from any to 10.10.10.3 21,22,443,2222 in via $pif setup $ks
$cmd 094 allow tcp from any to 10.10.10.4 21,22,443,2222 in via $pif setup $ks
$cmd 095 allow tcp from any to 10.10.10.5 21,22,443,2222 in via $pif setup $ks
# Cisco VPN
$cmd 096 $skipin log udp from any to any 500,4500,10000 in via $pif setup $ks
$cmd 097 $skipin log esp from any to any in via $pif setup $ks
# IP NAT RULE
ipfw nat 1 config log ip 10.10.10.1 reset same_ports deny_in \
redirect_port udp 20.20.20.1:500 500 \
redirect_port udp 20.20.20.1:4500 4500 \
redirect_port udp 20.20.20.1:10000 10000 \
redirect_proto esp 20.20.20.1
ipfw nat 2 config log ip 10.10.10.2 reset same_ports deny_in \
redirect_port udp 20.20.20.1:500 500 \
redirect_port udp 20.20.20.1:4500 4500 \
redirect_port udp 20.20.20.1:10000 10000 \
redirect_proto esp 20.20.20.1
$cmd 100 nat 1 log ip from any to 10.10.10.1 in via $pif
$cmd 101 nat 2 log ip from any to 10.10.10.2 in via $pif
# Cisco VPN KUBP
$cmd 102 allow log udp from any to any 500,4500,10000 in via $pif
$cmd 103 allow log esp from any to any in via $pif
$cmd 106 check-state log
# VPN external protocols (esp, udp-500)
$cmd 136 $skip udp from any to any isakmp,4500 out via $pif $ks
$cmd 137 $skip esp from any to any out via $pif $ks
$cmd 138 $skip udp from any to any 500 out via $pif $ks #Cisco VPN Client
$cmd 145 $skip udp from any to any 1195 out via $pif $ks
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
# Authorized inbound packets
$cmd 436 allow tcp from any to me 49152-65535 in via $pif setup limit src-addr 13
$cmd 450 deny log ip from any to any
$cmd 500 nat 1 ip from any to any out via $pif
$cmd 501 nat 2 ip from any to any out via $pif
######################## end of rules ##################
10.10.10.1-5 внешние ІР-шки
20.20.20.1 - Адрес железяки Cisco к которой нужно подлючаться.
Суть проблеммы в том, что нужно сделать перекидку портов на 20.20.20.1 через эти 5 IP-шек. Это нужно для Cisco. И доступен только такой вариант, так как возможности поднятия постоянного туннеля нет. И к удалённому Cisco я доступа не имею.
Данная конфигурация работает, но перенаправляет только 1-й нат. тоесть 10.10.10.1.
Эсли же подлючаться к 10.10.10.2 то соединение проходит успешно, но получается что выходит на Cisco не с 10.10.10.2 а с 10.10.10.1. что плохо, так как пользователя поблюдчившесяго с 10.10.10.1 выкинет.
Тоже самое делал для RDP, - результат тотже.
Короче надо понять почему вместо того чтобы виходить в мир с редиректа по 10.10.10.2, выхожу с 10.10.10.1
Прошу помощи, заранее спасибо
#!/bin/sh
#/bin/sleep 10
cmd="ipfw -q add"
skip="skipto 500"
skipin="skipto 100"
pif=re0
ks="keep-state"
good_tcpo="20,21,22,25,53,80,443,110,465,993,995,1025-65535"
ipfw -q -f flush
$cmd 089 deny icmp from any to me in icmptype 5,9,13,14,15,16,17 via $pif #ICMP deny
$cmd 090 allow icmp from any to any
$cmd 091 allow tcp from any to 10.10.10.1 21,22,443,2222,3389,3400 in via $pif setup $ks
$cmd 092 allow tcp from any to 10.10.10.2 21,22,443,2222 in via $pif setup $ks
$cmd 093 allow tcp from any to 10.10.10.3 21,22,443,2222 in via $pif setup $ks
$cmd 094 allow tcp from any to 10.10.10.4 21,22,443,2222 in via $pif setup $ks
$cmd 095 allow tcp from any to 10.10.10.5 21,22,443,2222 in via $pif setup $ks
# Cisco VPN
$cmd 096 $skipin log udp from any to any 500,4500,10000 in via $pif setup $ks
$cmd 097 $skipin log esp from any to any in via $pif setup $ks
# IP NAT RULE
ipfw nat 1 config log ip 10.10.10.1 reset same_ports deny_in \
redirect_port udp 20.20.20.1:500 500 \
redirect_port udp 20.20.20.1:4500 4500 \
redirect_port udp 20.20.20.1:10000 10000 \
redirect_proto esp 20.20.20.1
ipfw nat 2 config log ip 10.10.10.2 reset same_ports deny_in \
redirect_port udp 20.20.20.1:500 500 \
redirect_port udp 20.20.20.1:4500 4500 \
redirect_port udp 20.20.20.1:10000 10000 \
redirect_proto esp 20.20.20.1
$cmd 100 nat 1 log ip from any to 10.10.10.1 in via $pif
$cmd 101 nat 2 log ip from any to 10.10.10.2 in via $pif
# Cisco VPN KUBP
$cmd 102 allow log udp from any to any 500,4500,10000 in via $pif
$cmd 103 allow log esp from any to any in via $pif
$cmd 106 check-state log
# VPN external protocols (esp, udp-500)
$cmd 136 $skip udp from any to any isakmp,4500 out via $pif $ks
$cmd 137 $skip esp from any to any out via $pif $ks
$cmd 138 $skip udp from any to any 500 out via $pif $ks #Cisco VPN Client
$cmd 145 $skip udp from any to any 1195 out via $pif $ks
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
# Authorized inbound packets
$cmd 436 allow tcp from any to me 49152-65535 in via $pif setup limit src-addr 13
$cmd 450 deny log ip from any to any
$cmd 500 nat 1 ip from any to any out via $pif
$cmd 501 nat 2 ip from any to any out via $pif
######################## end of rules ##################
-
MAGNet
- ефрейтор
- Сообщения: 65
- Зарегистрирован: 2013-03-24 13:28:42
- Откуда: Новосибирск
Re: Alias+redirect_port
Точно так же.budyonuj писал(а):Здравствуйте:
Есть блок из 5 внешних IP адресов.
1 присвоена адаптеру, остальные 4-е как alias.
...
Для основной IP это сделать удалось а вот как быть с адресами alias не знаю.
Создать 4 виртуальных интерфейса, задать им реальные ИП и поступить с ними так же, как с основным ИП на физическом тырфейсе.
Я вот тут за тебя погуглил - ты не против?
Не работает? Попробуйте выключить и снова включить
-
budyonuj
- проходил мимо
Re: Alias+redirect_port
Спасибо конечно, но я так и сделал до Вашего поста. Но проблема остаётся прежней.