Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881
add 10100 nat 1 ip from any to any via nfe0
add 10200 allow all from any to any
Код: Выделить всё
add 10300 allow tcp from any 80,443 to 192.168.1.10
add 10301 allow from 192.168.1.10 to any 80,443
именно это и делает:klaster писал(а):Может можно как то маскировать, а потом демаскировать обратно divertom???
Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881
add 10100 nat 1 ip from any to any via nfe0 Ну это же больше к пробросу относиться, а я имею ввиду чтото такое :rmn писал(а):именно это и делает:klaster писал(а):Может можно как то маскировать, а потом демаскировать обратно divertom???Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881 add 10100 nat 1 ip from any to any via nfe0
Код: Выделить всё
add 10200 pass all from xx.xx.227.101 to any 443 out via nfe0
add 10210 pass all from any 443 to 192.168.1.0/24 in via nfe0
rmn писал(а):если у тебя один белый ip, то так сделать нельзя
Ну а если у меня допустим в сети стоит mail server, web server, monitoring и все на разных локальных машин с разнами Ip.rmn писал(а):rmn писал(а):если у тебя один белый ip, то так сделать нельзя
За это спасибо, понял.rmn писал(а):точно нельзя. Если ты открываешь, к примеру, порт 25, он будет открыт только для шлюза. Чтобы разрешить юзерам подключаться снаружи на определенный порт машины внутри твоей сети, делается проброс порта.
divert, по сути - тот же nat
Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in
add 10100 nat 1 ip from any to any via nfe0
add 10200 allow all from any to any
канешнklaster писал(а): У меня такой вопрос, вот мне ненравиться что надо писать после nat в версии 8.1 :Это же не безопасно allow all from any .... есть какие инварианты ???Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in add 10100 nat 1 ip from any to any via nfe0 add 10200 allow all from any to any
Код: Выделить всё
case IP_FW_NAT:
case IP_FW_REASS:
goto again; /* continue with packet */
Код: Выделить всё
case IP_FW_NAT:
if (V_fw_one_pass)
break;
goto again;
case IP_FW_REASS:
goto again; /* continue with packet */
Код: Выделить всё
cd /usr/src
make buildkernel && make installkernel
Код: Выделить всё
net.inet.ip.fw.one_pass=1
Код: Выделить всё
allow all from any to any
тем, что первое - это опция (переменная) ядра, которая будет влиять на работу фаервола (конкретнее - порядок прохождения правил), а второе - правило фаервола ipfw разрешающее пакеты по любому протоколу с любого хоста на любойklaster писал(а): Ну есть вопросик, а чем отличаеться :
/etc/sysctl.confотКод: Выделить всё
net.inet.ip.fw.one_pass=1Код: Выделить всё
allow all from any to any
Код: Выделить всё
add 10200 pass all from xx.xx.xxx.101 to any 110 out via nfe0
add 10210 pass all from any 110 to 192.168.1.0/24 in via nfe0
Код: Выделить всё
nat 1 config log ip 94.101.227.101 reset same_ports deny_in redirect_port tcp 192.168.1.1:53 53 redirect_port udp 192.168.1.1:53 53 . итд.
я по эти примерам и делал у себя, только там показаны пробросы, для небольшого количества портов, а если надо открыть 30-40 портов (в одну строчку) запутаешься в поиски, когда искать будешь, вот я хотел узнать более гибкий вариант ???
Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 192.168.1.1:53 53 redirect_port udp 192.168.1.1:53 53 redirect_port tcp 192.168.1.1:110 110 redirect_port tcp 192.168.1.1 143 143
add 10100 nat 1 ip from any to any via nfe0
Код: Выделить всё
nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 192.168.1.1:53 53 redirect_port udp 192.168.1.1:53 53
add 10100 nat 1 ip from any to any via nfe0
nat 2 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 192.168.1.1:110 110 redirect_port tcp 192.168.1.1:80 80
add 10110 nat 2 ip from any to any via nfe0
Код: Выделить всё
add 1012 pass tcp from 192.168.1.2 to xx.xx.xx.101 80
add 1013 pass tcp from xx.xx.xx.101 to 192.168.1.2 80
Код: Выделить всё
nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53
$cmd 10100 nat 1 ip from any to any via $pif
вот это
$cmd 10101 pass tcp from any to $pif 80
$cmd 10102 pass tcp from $pif to any 80
Код: Выделить всё
$cmd 1091 pass tcp from any to $pif 80
$cmd 1092 pass tcp from $pif to any 80
nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53 redirect_port tcp
$cmd 10100 nat 1 ip from any to any via $pif
$cmd 65534 deny log all from any to any
Код: Выделить всё
$cmd 1020 deny ip from any to 192.168.0.0/16 in recv $pif
$cmd 1030 deny ip from 192.168.0.0/16 to any in recv $pif
$cmd 1040 deny ip from any to 172.16.0.0/12 in recv $pif
$cmd 1050 deny ip from 172.16.0.0/12 to any in recv $pif
$cmd 1060 deny ip from any to 10.0.0.0/8 in recv $pif
$cmd 1070 deny ip from 10.0.0.0/8 to any in recv $pif
$cmd 1080 deny ip from any to 169.254.0.0/16 in recv $pif
$cmd 1090 deny ip from 169.254.0.0/16 to any in recv $pif
$cmd 1091 pass tcp from any to $pif 80
$cmd 1092 pass tcp from $pif to any 80
nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53 redirect_port tcp
$cmd 10100 nat 1 ip from any to any via $pif
Код: Выделить всё
nat: not found
Код: Выделить всё
nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53 redirect_port tcp
Код: Выделить всё
$cmd 1093 nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53 redirect_port tcp
Код: Выделить всё
ipfw: unrecognised option [-1] config
Код: Выделить всё
ipfw="ipfw -q"
$ipfw nat 1 config log ip $pif reset same_ports deny_in redirect_port tcp $loc:53 53 redirect_port udp $loc:53 53 redirect_port tcp