ipfw fwd 22 порт

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

ipfw fwd 22 порт

Непрочитанное сообщение Time » 2010-10-12 15:27:11

хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT

ядро собрано с опциями

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
#options        IPFIREWALL_DEFAULT_TO_ACCEPT
options         DUMMYNET
options         IPDIVERT
options         IPFIREWALL_FORWARD
options         IPFILTER
options         IPFILTER_LOG
#options        IPSEC
#options        IPSEC_FILTERTUNNEL
options         NETGRAPH
P.S. Если можно скажите где можно прочитать подробно про фаервол его описание синтаксис и т.д. кроме как в man.
В инглише я не силен ровно как и в фаерволах
Последний раз редактировалось f_andrey 2010-10-12 15:32:14, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение schizoid » 2010-10-12 15:47:08

я что-то не совсем догнал что куда вы хотите пробросить...

p.s.: смените аватар, если это не ваше лицо.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение Time » 2010-10-12 15:54:32

хочу пробросить порт ssh(22) на порт 33315

BlackJaguar
рядовой
Сообщения: 27
Зарегистрирован: 2009-08-07 9:20:56

Re: ipfw fwd 22 порт

Непрочитанное сообщение BlackJaguar » 2010-10-12 16:27:44

Time писал(а):хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT
если у Вас ядро собрано с такими опциями, то у Вас по-умолчанию весь трафик разрешен - это раз. (если убрать нужную опцию, то весь трафик будет заблокирован. ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).
К чему этот огород? если Вы хотите заставить sshd слушать другой порт - так редактируйте тогда /etc/sshd.conf (вроде так файл называется)
Если у Вас задача захостить несколько вирт. машин - ну тогда думаем так:
сначала надо разрешить входящий трафик с любого IP на нужный IP:порт, затем то же самое, но исходящий с этого же IP:порта на любой IP
потом делать форвард. короче, строка 01497 станет 01499
ну и via можно убрать, ради чистоты эксперимента. чем проще конструкция, тем проще ее потом через пару-тройку лет понимать с похмелья.
и делайте комменты в конфиге - потом пригодится.
Есть вещи на Земле, о друг Горацио, которых наши пацаны не догоняют. (с)

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение Time » 2010-10-12 16:39:49

нет мне нужно просто знать как это делаеться, что бы приминить и для других похожих правил это например рдп или это не выполнимая задача?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение schizoid » 2010-10-12 16:41:59

ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение Time » 2010-10-12 16:55:50

Признателен за статью сейчас буду изучать, а по моим правилам вы не скажите где косяк?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw fwd 22 порт

Непрочитанное сообщение vadim64 » 2010-10-13 9:17:17

ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).
:-D
:ROFL:
Это достойно подписи какой нибудь, или /etc/motd
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение Shuba » 2010-10-13 11:44:19

Не проще ли будет просто в файле /etc/ssh/sshd_config заменить

Код: Выделить всё

#Port 22
на

Код: Выделить всё

Port 33315
, после чего рестиртить sshd???
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
QweЯty
лейтенант
Сообщения: 793
Зарегистрирован: 2010-10-12 0:15:15
Откуда: Таганрог, Калининград
Контактная информация:

Re: ipfw fwd 22 порт

Непрочитанное сообщение QweЯty » 2010-10-14 2:54:30

не про ssh но в ту же степь...

какие порты надо пробосить на машине для удаленного доступа на винду?

Код: Выделить всё

01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT
обязательно ли 127,0,0,1? а если мне например надо из 10,10,241,241 пробросить в 192,168,50,241
но в локалке 192,168/16 чтобы управление функционировало как обычно...

и как получается?

заворачиваем с локалхоста порт 22 tcp на внешний ip изменяя порт на 33315
разрешаем ходить пакетам на внешней сетевухе на порту 33315 внешнего интрефейса....

что то совсем непонятно...

upd.
все, понял... тему не стого конца читать начал...

то етсь мне нужен проброс портов через машину, а не их редирект с 22 на 33315
Инженер не смотрит порно. Он ведет расчет бабы на усталость © Федор Сумкин
Изображение

falcon39
проходил мимо
Сообщения: 1
Зарегистрирован: 2010-10-23 0:33:49

Re: ipfw fwd 22 порт

Непрочитанное сообщение falcon39 » 2010-10-23 15:12:10

У меня тоже есть проблемка с SSH только другая.

Код: Выделить всё

#!/bin/sh - 
FwCMD="/sbin/ipfw" 
LanOut="rl0" 
Wan="tun0" 
LanIn="bge0" 
IpOut="`ifconfig tun0 | awk '/inet/{print $2}'`" 
IpOut1="`ifconfig rl0 | awk '/inet/{print $2}'`" 
IpIn="192.168.0.1" 
NetMask="24" 
NetIn="192.168.0.0" 
${FwCMD} -f flush 
#${FwCMD} add check-state 
${FwCMD} add allow log ip from any to any via lo0 
${FwCMD} add deny ip from any to 127.0.0.0/8 
${FwCMD} add deny ip from 127.0.0.0/8 to any 
${FwCMD} add deny icmp from any to 255.255.255.255 in via ${LanOut} 
${FwCMD} add deny icmp from any to 255.255.255.255 out via ${LanOut} 
${FwCMD} add deny ip from 172.25.0.0/24 to any out via ${LanOut} 
${FwCMD} add deny tcp from any to ${IpOut} 25 via ${IpOut1} 
${FwCMD} add deny tcp from any to ${IpOut} 22 via ${LanOut} 
${FwCMD} add allow tcp from any to ${IpIn} 22 via ${LanIn} 
${FwCMD} add allow log tcp from any to ${IpOut} 22 via ${Wan} 
${FwCMD} add deny tcp from any to ${IpOut} 143 via ${LanOut} 
${FwCMD} add deny tcp from any to ${IpOut} 110 via ${LanOut} 
${FwCMD} add allow log all from any to any 
Если убрать это правило то доступ пропадает

Код: Выделить всё

${FwCMD} add allow log all from any to any
Где я ошибся

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: ipfw fwd 22 порт

Непрочитанное сообщение risk94 » 2010-10-23 19:00:17

natd.conf либо прям в rc.conf отдельными флагами, если не юзаеете natd.conf

Код: Выделить всё

redirect_port           tcp     внутренний_ip:22                 внешний_ip:22
фаер:

Код: Выделить всё

allow tcp from any  to внутренний_ip 22
allow внутренний_ip 22 to any established

Termitnik
сержант
Сообщения: 169
Зарегистрирован: 2008-04-05 20:09:45
Откуда: Киев

Re: ipfw fwd 22 порт

Непрочитанное сообщение Termitnik » 2010-11-01 19:57:28

Time писал(а):хочу пробросить порт ssh(22) на порт 33315
ipfw add fwd 127.0.0.1,33315 tcp from any to me 22