Freebsd 9.0 + ipfw nat + Squid - Нужен RDP через интернет!!!

[pryanik]

Доброго дня форумчане!
Я только начал изучать администрирование под Freebsd. Настроил стабильно работающий роутер под управлением Freebsd 9.0 (ipfw+nat +Squid 3.2 + Bing 9.8 + lightsquid)
Проблема возникла в следующем - нужен доступ извне к RDP под Win2k3. Уже перекурил man`ы до тошноты, стал похож головой на старый моник, а никак не получается организовать проброс портов...
rc.conf :

Код: Выделить всё

hostname="nimbus.matp"
keymap=ru.cp1251
scrnmap="win2cpp866"
font8x16=cp866b-8x16
font8x14=cp866-8x14
font8x8=cp866-8x8
ifconfig_re0=" inet 192.168.7.252 netmask 255.255.255.0"
ifconfig_rl0=" inet 192.168.0.252 netmask 255.255.255.0"
ifconfig_re0_alias0="inet 192.168.7.10 netmask 255.255.255.0"
defaultrouter="192.168.7.1"
apache22_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="re0"
firewall_script="/etc/fw_script.02"
named_enable="YES" # автозапуск BIND
named_auto_forward="YES" # автонастройка forward сервера
sshd_enable="YES"
moused_enable="YES"
ntpd_enable="YES"
ntpd_program="/usr/local/bin/ntpd"
squid_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"

fw_script.02 :

Код: Выделить всё

exface="re0"                            # внешний сетевой интерфейс сервера
inface="rl0"                             # внутренний сетевой интерфейс сервера
in_ip="192.168.0.252"               # ip-адрес внутреннего интерфейса сервера
ex_ip="192.168.7.10"
rdp_ex="192.168.10.252"
loc_net="192.168.0.0/24"
rdp1="192.168.0.10"
rdp_port="3389"
port1="12124"

# префикс команды, параметр -q означает "тихую" работу
pre_com="ipfw -q"

# для начала удаляем все существующие правила!
$pre_com -f flush

# разрешение трафика на петлевом интерфейсе – необходимо для работы ОС
# Операционная система UNIX использует интерфейс lo0 и IP-адрес
# 127.0.0.1 для внутренних нужд. Таким образом, firewall должен
# обеспечивать беспрепятственный обмен данными на указанных интерфейсе и
# IP-адресе.
$pre_com add 100 allow ip from any to any via lo0

# запрет ip трафика от любого источника на всю сеть loopback интерфейса
$pre_com add 200 deny ip from any to 127.0.0.0/8

# запрет ip трафика со всей сети loopback интерфейса на любой источник
$pre_com add 300 deny ip from 127.0.0.0/8 to any

$pre_com add 350 allow tcp from me to any out via $ex_ip keep-state uid squid

$pre_com add 360 fwd 127.0.0.1,3128 tcp from $loc_net to any 80-83,8080-8088 out via $ex_ip

# разрешаем беспрепятственному прохождению трафика внутри нашей локальной сети!!!
$pre_com add 400 allow all from any to any via $inface

$pre_com add 410 fwd tcp from 192.168.7.1 to
$pre_com add 500 allow tcp from any $rdp_port to me via $ex_ip
$pre_com add 510 allow tcp from me to any $rdp_port via $ex_ip

$pre_com add 520 allow tcp from any $port1 to me via $ex_ip
$pre_com add 530 allow tcp from me to any $port1 via $ex_ip

# включаем kernel NAT на интерфейсе re0 с параметрами
# сбрасывать таблицу соединений при смете ip-адреса сетевого интерфейса
# пытаться сохранить порты
# по-умолчанию запрещать входящие подключения

$pre_com nat 1 config log if $exface reset same_ports deny_in \
redirect_port tcp $rdp1:$rdp_port $rdp_port \
redirect_port udp $rdp1:$rdp_port $rdp_port \
redirect_port tcp $rdp1:$rdp_port $port1 \
redirect_port udp $rdp1:$rdp_port $port1 \
redirect_addr $rdp1 $rdp_ex

# все что проходит через внешний интерфейс перенаправляем в NAT
$pre_com add 1030 nat 1 ip from any to any via $ex_ip

Для тестов на ADSL-роутере открыл 3 порта по разным назначениям, что видно из настроек NAT`а, не проходит ни одно из подключений. Однако, если сервер напрямую подключить к ADSL-роутеру - все работает без каких либо проблем...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Bayerische]

IPFIREWALL_FORWARD есть в ядре?

[pryanik]

Да

Код: Выделить всё

options         IPFIREWALL
options         IPDIVERT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFIREWALL_NAT
options         LIBALIAS
options         DUMMYNET
options         HZ="1000"
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPFIREWALL_FORWARD

[pryanik]

Возможно, я привел не полную картину подключения сети к иннету:
провайдер --> ADSL-роутер --> freebsd с 2-мя сетевыми --> сеть
До появления freebsd все лезли в иннет кот куда и безконтрольно, что очень сильно сказывалось на работе специфичных интернет систем (ГЛОНАСС в частности)... Сейчас мной установлен данный freebsd - PROXY.

[snorlov]

Доброго дня форумчане!
Я только начал изучать администрирование под Freebsd. Настроил стабильно работающий роутер под управлением Freebsd 9.0 (ipfw+nat +Squid 3.2 + Bing 9.8 + lightsquid)
Проблема возникла в следующем - нужен доступ извне к RDP под Win2k3. Уже перекурил man`ы до тошноты, стал похож головой на старый моник, а никак не получается организовать проброс портов...

Зачем вам еще одна дырка... Поднимите VPN, хотите на openvpn, хотите на mpd...

[pryanik]

Доброго дня форумчане!
Я только начал изучать администрирование под Freebsd. Настроил стабильно работающий роутер под управлением Freebsd 9.0 (ipfw+nat +Squid 3.2 + Bing 9.8 + lightsquid)
Проблема возникла в следующем - нужен доступ извне к RDP под Win2k3. Уже перекурил man`ы до тошноты, стал похож головой на старый моник, а никак не получается организовать проброс портов...

Зачем вам еще одна дырка... Поднимите VPN, хотите на openvpn, хотите на mpd...

Связьь нужна не постоянная, а когда лишь требуется (1-2 раза в месяц), зачем для этого поднимать VPN? Или я чего-то не допонимаю?

[lazhu]

Связьь нужна не постоянная, а когда лишь требуется (1-2 раза в месяц), зачем для этого поднимать VPN? Или я чего-то не допонимаю?

Недопонимаете. Открытый наружу RDP - огромная дыра для всех, кому не лень. Независимо от того, с какой частотой он вам требуется. Организуйте впн, как вам посоветовали выше, и гоняйте по нему что хотите:

Код: Выделить всё

add allow ip any to any via tun0

[_Andy]

Связьь нужна не постоянная, а когда лишь требуется (1-2 раза в месяц), зачем для этого поднимать VPN? Или я чего-то не допонимаю?

Насколько я понял из задачи, надо пробросить порт 3389 на машину внутри сети, причем на роутере все открыто. Кстати:

Код: Выделить всё

$pre_com add 410 fwd tcp from 192.168.7.1 to
$pre_com add 500 allow tcp from any $rdp_port to me via $ex_ip
$pre_com add 510 allow tcp from me to any $rdp_port via $ex_ip

$pre_com add 520 allow tcp from any $port1 to me via $ex_ip
$pre_com add 530 allow tcp from me to any $port1 via $ex_ip

правило 410 недописано . Правило 500, 520 - откуда такая уверенность, что исходящий порт будет обязательно 3389 или 12124? Откройте только те порты к которым можно соединятся к вам.

[pryanik]

Связьь нужна не постоянная, а когда лишь требуется (1-2 раза в месяц), зачем для этого поднимать VPN? Или я чего-то не допонимаю?

Насколько я понял из задачи, надо пробросить порт 3389 на машину внутри сети, причем на роутере все открыто. Кстати:

Код: Выделить всё

$pre_com add 410 fwd tcp from 192.168.7.1 to
$pre_com add 500 allow tcp from any $rdp_port to me via $ex_ip
$pre_com add 510 allow tcp from me to any $rdp_port via $ex_ip

$pre_com add 520 allow tcp from any $port1 to me via $ex_ip
$pre_com add 530 allow tcp from me to any $port1 via $ex_ip

правило 410 недописано . Правило 500, 520 - откуда такая уверенность, что исходящий порт будет обязательно 3389 или 12124? Откройте только те порты к которым можно соединятся к вам.

Уверенность заключается в том, что в правилах NAT на ADSL-роутере выставлено перенаправление на внешнюю сетевуху Proxy по 3-м правилам

Код: Выделить всё

Server Name External Port Start External Port End Protocol Internal Port Start Internal Port End Server IP Address Remove 
term1                 12124                   12124               TCP             12124                 12124                     192.168.7.252  
term1                 12124                   12124               UDP             12124                 12124                     192.168.7.252  
term2                 12130                   12130           TCP/UDP           3389                   3389                     192.168.7.252  
term3                 12150                   12150           TCP/UDP           3389                   3389                      192.168.7.10  

( в качестве теста в данном случае)
вот и пробую различные привязки.
Если создать правило NAT`а на ADSL и дать прямой IP ADSL в качестве шлюза, обходя proxy - то все замечательно работает.
Убрал пока 410 и 500-530 правила.
Включил nat следующим образом:

Код: Выделить всё

ipfw nat show config
ipfw nat 1 config if re0 log same_ports reset redirect_port udp 192.168.0.10:3389 3389 redirect_port tcp 192.168.0.10:3389 3389

в sockstat -l

Код: Выделить всё

USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
squid    squid      2034  7  udp4 6 *:29309               *:*
squid    squid      2034  8  udp4   *:32100               *:*
squid    squid      2034  16 tcp4   127.0.0.1:3128        *:*
www      httpd      1831  3  tcp4   192.168.0.252:80      *:*
www      httpd      1830  3  tcp4   192.168.0.252:80      *:*
www      httpd      1829  3  tcp4   192.168.0.252:80      *:*
www      httpd      1828  3  tcp4   192.168.0.252:80      *:*
www      httpd      1827  3  tcp4   192.168.0.252:80      *:*
root     sendmail   1730  3  tcp4   127.0.0.1:25          *:*
root     httpd      1700  3  tcp4   192.168.0.252:80      *:*
root     sshd       1692  3  tcp6   *:22                  *:*
root     sshd       1692  4  tcp4   *:22                  *:*
root     ntpd       1627  20 udp4   *:123                 *:*
root     ntpd       1627  21 udp6   *:123                 *:*
root     ntpd       1627  22 udp4   192.168.0.252:123     *:*
root     ntpd       1627  23 udp6   fe80:6::2c0:26ff:fea6:a96c:123 *:*
root     ntpd       1627  24 udp4   192.168.7.252:123     *:*
root     ntpd       1627  25 udp6   fe80:7::211:5bff:fe76:a8c:123 *:*
root     ntpd       1627  26 udp4   192.168.7.10:123      *:*
root     ntpd       1627  27 udp6   ::1:123               *:*
root     ntpd       1627  28 udp6   fe80:a::1:123         *:*
root     ntpd       1627  29 udp4   127.0.0.1:123         *:*
bind     named      1466  20 tcp4   192.168.0.252:53      *:*
bind     named      1466  21 tcp4   127.0.0.1:953         *:*
bind     named      1466  22 tcp6   ::1:953               *:*
bind     named      1466  512 udp4  192.168.0.252:53      *:*
root     syslogd    1357  4  dgram  /var/run/log
root     syslogd    1357  5  dgram  /var/run/logpriv
root     syslogd    1357  6  dgram  /var/run/log
root     syslogd    1357  7  dgram  /var/named/var/run/log
root     syslogd    1357  8  udp6   *:514                 *:*
root     syslogd    1357  9  udp4   *:514                 *:*
root     devd       1153  4  stream /var/run/devd.pipe

не вижу открытого 3389 порта... И все равно не подключается... Зараза...

[snorlov]

У вас как мне кажется получается масло масляное, а именно nat поднят и на модеме и на роутере, в этих условиях действительно очень трудно получить рабочую конфигурацию для доступа извне, вы бы оставили что-то одно, я бы посоветовал модем перевести в режим моста, и все настройки перенести на фрю, легче будет разобраться...

[pryanik]

У вас как мне кажется получается масло масляное, а именно nat поднят и на модеме и на роутере, в этих условиях действительно очень трудно получить рабочую конфигурацию для доступа извне, вы бы оставили что-то одно, я бы посоветовал модем перевести в режим моста, и все настройки перенести на фрю, легче будет разобраться...

Спасибо за совет. Буду пробовать.
Хотя хотелось бы попробовать именно таким образом. Ладно это все не столь срочно. Любые идеи буду рад позаимствовать для их обкатки.