Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
tmp_dude
- проходил мимо
Непрочитанное сообщение
tmp_dude » 2013-12-11 13:31:48
доброго.
Хочу прояснить один момент. Есть локалка, есть роутер на freebsd/ipfw. у роутера 2 сетевухи.
Внутренний int0 - 192.168.0.1 и внешний ext0 - 123.222.222.222 адреса. Внутри сети есть веб-сервер 192.168.0.2. На 123.222.222.222 NAT с пробросом 80 порта на вебсервер. Трафик разрешен весь. Обращаемся снаружи - пускает. Обращаемся изнутри - не пускает. При поднятии демона portfwd на внешнем интерфейсе - как ни странно работает. В чем беда?
Код: Выделить всё
ipfw -q add 10 skipto 10000 ip from any to any established
ipfw -q add 11 check-state
# локалке можно все
ipfw add 300 skipto 10000 ip from 192.168.0.0/24 to any keep-state
# внешке можно только 80
ipfw add 500 skipto 10000 tcp from any to me 80 via ext0 setup
# все что не можно, то нельзя
ipfw add 5000 deny ip from any to any
# пробрасываем порты
ipfw nat 1 config if ext0 same_ports reset redirect_port tcp 192.168.0.2:80 80
# натим, что пришло на внешний интерфейс
ipfw add 10000 nat 1 ip from any to any via ext0
# что занатили, то можно
ipfw add 10001 allow ip from any to any
tmp_dude
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
tmp_dude
- проходил мимо
Непрочитанное сообщение
tmp_dude » 2013-12-11 13:35:03
ipfw add 5 allow ip from me to any
пропустил строку.
tmp_dude
-
tmp_dude
- проходил мимо
Непрочитанное сообщение
tmp_dude » 2013-12-13 14:34:03
пакет падает на интерфейс eth0, ядро определяет что в dst указан ip сетевухи ext0. что будет делать пакет? Он занатится на правиле 10000? Он вообще попадет на сетевуху ext0?
tmp_dude
-
Dampire
- рядовой
- Сообщения: 25
- Зарегистрирован: 2012-08-29 8:29:15
- Откуда: Набережные Челны
Непрочитанное сообщение
Dampire » 2013-12-13 14:35:34
Пароль вспомнил. Мысленно замените в предыдущем посте eth0 на int0. Пакет не доходит до внутреннего сервера 192.168.0.2. Причина мне не понятна.
Dampire
-
rmn
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Непрочитанное сообщение
rmn » 2013-12-13 16:43:41
tmp_dude писал(а):Он вообще попадет на сетевуху ext0?
попадет, но там он будет как out xmit ext0, поэтому проброс порта для него не сработает.
rmn
-
Dampire
- рядовой
- Сообщения: 25
- Зарегистрирован: 2012-08-29 8:29:15
- Откуда: Набережные Челны
Непрочитанное сообщение
Dampire » 2013-12-15 19:45:03
а как быть? dhcp не особо хочется поднимать.
Dampire
-
rmn
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Непрочитанное сообщение
rmn » 2013-12-16 1:13:24
Dampire писал(а):а как быть? dhcp не особо хочется поднимать.
поднять дополнительно reverse nat на локальном интерфейсе, через который внутренние юзеры будут ходить на внутренний сервак.
Или уходить от ip к dns. DNS views там, вот это все...
rmn
-
Dampire
- рядовой
- Сообщения: 25
- Зарегистрирован: 2012-08-29 8:29:15
- Откуда: Набережные Челны
Непрочитанное сообщение
Dampire » 2013-12-16 7:46:52
Снова мысленно замените dhcp на dns, опечатался нехило
Ясно. Буду поднимать dns, раз такая беда. Давно назревало, но было лень. Спасибо за помощь.
Dampire
