ipfw fwd 22 порт

[f_andrey]

хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT

ядро собрано с опциями

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
#options        IPFIREWALL_DEFAULT_TO_ACCEPT
options         DUMMYNET
options         IPDIVERT
options         IPFIREWALL_FORWARD
options         IPFILTER
options         IPFILTER_LOG
#options        IPSEC
#options        IPSEC_FILTERTUNNEL
options         NETGRAPH

P.S. Если можно скажите где можно прочитать подробно про фаервол его описание синтаксис и т.д. кроме как в man.
В инглише я не силен ровно как и в фаерволах

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

я что-то не совсем догнал что куда вы хотите пробросить...

p.s.: смените аватар, если это не ваше лицо.

[Time]

хочу пробросить порт ssh(22) на порт 33315

[BlackJaguar]

хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT

если у Вас ядро собрано с такими опциями, то у Вас по-умолчанию весь трафик разрешен - это раз. (если убрать нужную опцию, то весь трафик будет заблокирован. ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).
К чему этот огород? если Вы хотите заставить sshd слушать другой порт - так редактируйте тогда /etc/sshd.conf (вроде так файл называется)
Если у Вас задача захостить несколько вирт. машин - ну тогда думаем так:
сначала надо разрешить входящий трафик с любого IP на нужный IP:порт, затем то же самое, но исходящий с этого же IP:порта на любой IP
потом делать форвард. короче, строка 01497 станет 01499
ну и via можно убрать, ради чистоты эксперимента. чем проще конструкция, тем проще ее потом через пару-тройку лет понимать с похмелья.
и делайте комменты в конфиге - потом пригодится.

[Time]

нет мне нужно просто знать как это делаеться, что бы приминить и для других похожих правил это например рдп или это не выполнимая задача?

[schizoid]

http://www.lissyara.su/doc/docs/handbook_-_ipfw/

[Time]

Признателен за статью сейчас буду изучать, а по моим правилам вы не скажите где косяк?

[vadim64]

ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).

Это достойно подписи какой нибудь, или /etc/motd

[Shuba]

Не проще ли будет просто в файле /etc/ssh/sshd_config заменить

Код: Выделить всё

#Port 22

на

Код: Выделить всё

Port 33315

, после чего рестиртить sshd???

[QweЯty]

не про ssh но в ту же степь...

какие порты надо пробосить на машине для удаленного доступа на винду?

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT

обязательно ли 127,0,0,1? а если мне например надо из 10,10,241,241 пробросить в 192,168,50,241
но в локалке 192,168/16 чтобы управление функционировало как обычно...

и как получается?

заворачиваем с локалхоста порт 22 tcp на внешний ip изменяя порт на 33315
разрешаем ходить пакетам на внешней сетевухе на порту 33315 внешнего интрефейса....

что то совсем непонятно...

upd.
все, понял... тему не стого конца читать начал...

то етсь мне нужен проброс портов через машину, а не их редирект с 22 на 33315

[falcon39]

У меня тоже есть проблемка с SSH только другая.

Код: Выделить всё

#!/bin/sh - 
FwCMD="/sbin/ipfw" 
LanOut="rl0" 
Wan="tun0" 
LanIn="bge0" 
IpOut="`ifconfig tun0 | awk '/inet/{print $2}'`" 
IpOut1="`ifconfig rl0 | awk '/inet/{print $2}'`" 
IpIn="192.168.0.1" 
NetMask="24" 
NetIn="192.168.0.0" 
${FwCMD} -f flush 
#${FwCMD} add check-state 
${FwCMD} add allow log ip from any to any via lo0 
${FwCMD} add deny ip from any to 127.0.0.0/8 
${FwCMD} add deny ip from 127.0.0.0/8 to any 
${FwCMD} add deny icmp from any to 255.255.255.255 in via ${LanOut} 
${FwCMD} add deny icmp from any to 255.255.255.255 out via ${LanOut} 
${FwCMD} add deny ip from 172.25.0.0/24 to any out via ${LanOut} 
${FwCMD} add deny tcp from any to ${IpOut} 25 via ${IpOut1} 
${FwCMD} add deny tcp from any to ${IpOut} 22 via ${LanOut} 
${FwCMD} add allow tcp from any to ${IpIn} 22 via ${LanIn} 
${FwCMD} add allow log tcp from any to ${IpOut} 22 via ${Wan} 
${FwCMD} add deny tcp from any to ${IpOut} 143 via ${LanOut} 
${FwCMD} add deny tcp from any to ${IpOut} 110 via ${LanOut} 
${FwCMD} add allow log all from any to any 

Если убрать это правило то доступ пропадает

Код: Выделить всё

${FwCMD} add allow log all from any to any

Где я ошибся

[risk94]

natd.conf либо прям в rc.conf отдельными флагами, если не юзаеете natd.conf

Код: Выделить всё

redirect_port           tcp     внутренний_ip:22                 внешний_ip:22

фаер:

Код: Выделить всё

allow tcp from any  to внутренний_ip 22
allow внутренний_ip 22 to any established

[Termitnik]

хочу пробросить порт ssh(22) на порт 33315

ipfw add fwd 127.0.0.1,33315 tcp from any to me 22