Kernel nat + IPFW. Помогите разобраться. Пособие для чайник

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Kernel nat + IPFW. Помогите разобраться. Пособие для чайник

Непрочитанное сообщение Dark Smoke » 2014-01-20 21:27:51

Добрый день.
На разных сайтах пишут разное. Хочу что бы гуру написали небольшой манул по настройке kernel nat + ipwf.
А так же проброс портов.

Как я понял для начала надо перекомпилить ядро с параметрами

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPDIVERT
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT="500"
options         DUMMYNET
options         HZ=1000
options         IPFIREWALL_FORWARD
options         IPFIREWALL_NAT          #ipfw kernel nat support
options         LIBALIAS
А потом настраивать IPFW и вот тут у меня тупо ступор, как расшарить инет всем что бы не юзать NATD и как пробросить RDP порт

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-20 21:36:33

  • Код: Выделить всё

    kldloadl ipfw
    kldload ipfw_nat
    ipfw nat 1 config if $EXT_IF reset same_ports deny_in redirect_port tcp ${RDP_SERVER_GREY_ADDR}:3389 3389
    ipfw add nat 1 ip from any to any via $EXT_IF
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-20 22:00:54

Сейчас

Код: Выделить всё

# cat /etc/rc.conf
ifconfig_em0="inet 192.168.2.250 netmask 255.255.255.0"
ifconfig_re0="inet 192.168.1.2 netmask 255.255.255.0"
gateway_enable="YES"
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
sshd_enable="YES"
ntpd_enable="YES"
dhcpd_enable="YES"
dhcpd_ifaces="em0"
Коментирую

Код: Выделить всё

natd_flags="-f /etc/natd.conf"
natd_enable="YES"
natd_interface="re0"
Правильно?
Добавляю firewall.conf

Код: Выделить всё

 cat /etc/firewall.conf
#!/bin/sh

cmd="/sbin/ipfw"
wan="em0"
lan="re0"
server-1c="192.168.1.240"

${cmd} -f flush
${cmd} add check-state

${cmd} add allow ip from any to any via lo0
${cmd} add deny ip from any to 127.0.0.0/8
${cmd} add deny ip from 127.0.0.0/8 to any

${cmd} add deny ip from any to 10.0.0.0/8 in via ${wan}
${cmd} add deny ip from any to 172.16.0.0/12 in via ${wan}
${cmd} add deny ip from any to 192.168.0.0/16 in via ${wan}
${cmd} add deny ip from any to 0.0.0.0/8 in via ${wan}
${cmd} add deny ip from any to 169.254.0.0/16 in via ${wan}
${cmd} add deny ip from any to 240.0.0.0/4 in via ${wan}
${cmd} add deny icmp from any to any frag
${cmd} add deny log icmp from any to 255.255.255.255 in via ${wan}
${cmd} add deny log icmp from any to 255.255.255.255 out via ${wan}
${cmd} add 4000 divert natd ip from any to any via re0
${cmd} add 65500 allow ip from any to any
Перед правилом 4000 добавить

Код: Выделить всё

${cmd} nat 1 config if $EXT_IF reset same_ports deny_in redirect_port tcp ${server-1c}:3389 3389
${cmd} add nat 1 ip from any to any via ${wan}
kldloadl ipfw
kldload ipfw_nat
У меня ж уже ядро перекомпилено. Зачем загружать модули?

Правильно я все понимаю?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-20 23:50:26

корм для холиварщиков:
зачем перекомпилять, если можно загрузить модуль?
а если серьезно - еще надо добавить firewall_nat_enable="YES"? 400 правило долой, вместо него ту конструкцию, и в ней еще одну переменную раскрой
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-21 10:39:23

зачем перекомпилять, если можно загрузить модуль?
Так загружать модуль это ж медленнее работает комп, правда ж?

snorlov
подполковник
Сообщения: 3844
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение snorlov » 2014-01-21 11:47:10

Кто тебе это сказал...Он все равно грузиться модулем... Только в одном случае загрузке наплевать на /boot/loader.conf, а в другом нет...

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-21 12:07:50

Век живи, век учись. Спасибо.

Закоментил все что касается натД в rc.conf

Код: Выделить всё

ifconfig_em0="inet 192.168.2.250 netmask 255.255.255.0"
ifconfig_re0="inet 192.168.1.2 netmask 255.255.255.0"
gateway_enable="YES"
#natd_enable="YES"
#natd_interface="re0"
#natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
sshd_enable="YES"
ntpd_enable="YES"
dhcpd_enable="YES"
dhcpd_ifaces="em0"
Интернет в локально сети не работает ((

P.S. Я извиняюсь за ламерство, но хочется разобраться.

lazhu
сержант
Сообщения: 216
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение lazhu » 2014-01-21 12:44:53

Dark Smoke писал(а): P.S. Я извиняюсь за ламерство, но хочется разобраться.
Уже все написали:
FreeBSP писал(а):
  • Код: Выделить всё

    ipfw nat 1 config if $EXT_IF reset same_ports deny_in redirect_port tcp ${RDP_SERVER_GREY_ADDR}:3389 3389
    ipfw add nat 1 ip from any to any via $EXT_IF
Вставьте это вместо диверта.
И уберите все упоминания о натд.

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-21 14:30:35

Правило проброса порта, почему то не отображается в списке правил

Код: Выделить всё

ipfw show
00100       0          0 check-state
00200       0          0 allow ip from any to any via lo0
00300       0          0 deny ip from any to 127.0.0.0/8
00400       0          0 deny ip from 127.0.0.0/8 to any
00500       0          0 deny ip from any to 10.0.0.0/8 in via re0
00600       0          0 deny ip from any to 172.16.0.0/12 in via re0
00700       0          0 deny ip from any to 192.168.0.0/16 in via re0
00800       0          0 deny ip from any to 0.0.0.0/8 in via re0
00900       0          0 deny ip from any to 169.254.0.0/16 in via re0
01000       0          0 deny ip from any to 240.0.0.0/4 in via re0
01100       0          0 deny icmp from any to any frag
01200       0          0 deny log logamount 500 icmp from any to 255.255.255.255 in via re0
01300       0          0 deny log logamount 500 icmp from any to 255.255.255.255 out via re0
01600       0          0 nat 1 ip from any to any via re0
65535 2233034 1550408299 allow ip from any to any

Код: Выделить всё

cat /etc/firewall.conf
#!/bin/sh
cmd="/sbin/ipfw"
wan="re0"
lan="em0"
lanip="192.168.2.250"
server1c="192.168.2.240"

${cmd} -f flush
${cmd} add check-state

${cmd} add allow ip from any to any via lo0

${cmd} add deny ip from any to 127.0.0.0/8
${cmd} add deny ip from 127.0.0.0/8 to any
${cmd} add deny ip from any to 10.0.0.0/8 in via ${wan}
${cmd} add deny ip from any to 172.16.0.0/12 in via ${wan}
${cmd} add deny ip from any to 192.168.0.0/16 in via ${wan}
${cmd} add deny ip from any to 0.0.0.0/8 in via ${wan}
${cmd} add deny ip from any to 169.254.0.0/16 in via ${wan}
${cmd} add deny ip from any to 240.0.0.0/4 in via ${wan}
${cmd} add deny icmp from any to any frag
${cmd} add deny log icmp from any to 255.255.255.255 in via ${wan}
${cmd} add deny log icmp from any to 255.255.255.255 out via ${wan}

${cmd} nat 1 config if ${wan} reset same_ports deny_in redirect_port tcp 192.168.2.240:3389 3389
${cmd} add nat 1 ip from any to any via ${wan}



Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-21 21:39:00

у тебя просто трафик не ходит через ван
добавь в начало

ipfw add count ip from any to any in via $wan
ipfw add count ip from any to any out via $wan
ipfw add count ip from any to any in via $lan
ipfw add count ip from any to any out via $lan

проброс порта - это конфигурация ната
ipfw nat 1 show config
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-21 23:28:45

Добавил в начало. Ходит.

Код: Выделить всё

...
00200       0          0 count ip from any to any in via re0
00300       0          0 count ip from any to any out via re0
00400      33       5654 count ip from any to any in via em0
00500      31       3192 count ip from any to any out via em0
...

Код: Выделить всё

# ipfw nat 1 show config
ipfw nat 1 config if re0 same_ports reset redirect_port tcp 192.168.2.240:3389 3389
А вот проброс порта не работает (

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-21 23:36:17

полностью ipfw show
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-21 23:53:56

Код: Выделить всё

# ipfw show
00100       0          0 check-state
00200       0          0 count ip from any to any in via re0
00300       0          0 count ip from any to any out via re0
00400   13441     677087 count ip from any to any in via em0
00500   25367   36512091 count ip from any to any out via em0
00600       0          0 allow ip from any to any via lo0
00700       0          0 deny ip from any to 127.0.0.0/8
00800       0          0 deny ip from 127.0.0.0/8 to any
00900       0          0 deny ip from any to 10.0.0.0/8 in via re0
01000       0          0 deny ip from any to 172.16.0.0/12 in via re0
01100       0          0 deny ip from any to 192.168.0.0/16 in via re0
01200       0          0 deny ip from any to 0.0.0.0/8 in via re0
01300       0          0 deny ip from any to 169.254.0.0/16 in via re0
01400       0          0 deny ip from any to 240.0.0.0/4 in via re0
01500       0          0 deny icmp from any to any frag
01600       0          0 deny log logamount 500 icmp from any to 255.255.255.255 in via re0
01700       0          0 deny log logamount 500 icmp from any to 255.255.255.255 out via re0
01800       0          0 allow ip from any to 192.168.2.250 dst-port 9999 via em0
01900       0          0 allow ip from any to 78.25.1.195 dst-port 9999 via re0
02000       0          0 nat 1 ip from any to any via re0
65535 9820224 7290366070 allow ip from any to any

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-22 0:30:02

Dark Smoke писал(а):Добавил в начало. Ходит.

Код: Выделить всё

...
00200       0          0 count ip from any to any in via re0
00300       0          0 count ip from any to any out via re0
...
:no: НЕ ХОДИТ :pardon:
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!


Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-22 0:52:24

никто его не посылает =)
например
или шнурок забыл вставить =)
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-22 1:00:26

посылаю и шнурок вставлен
еще меня пугает скрипт запуска пппое

Код: Выделить всё

# cat /usr/local/etc/rc.d/ppp_on.sh
#!/usr/local/bin/bash

fwcmd=/sbin/ipfw

case "$1" in
        start)

                        /usr/sbin/ppp -nat -ddial vega


        ;;
        stop)

                killall ppp
                sleep 3
        ;;
        restart)
        sleep 2
        sh $0 start
        ;;
        *)
        echo ""
        echo "Usage `basename $0` { start | stop | restart }"
        echo ""
        exit 64
        ;;
esac
Там есть параметр нат, он не может мешать?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-22 1:07:14

ipfw показывает, что ip трафика на интерфейсе просто НЕТ =)
возможно, речь не о том интерфейсе..
ifconfig в студию

в скрипте криминала не вижу, но сам с ppp не работал, подожди пока еще кто скажет чего про него
Последний раз редактировалось FreeBSP 2014-01-22 1:09:34, всего редактировалось 1 раз.
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-22 1:08:28

Код: Выделить всё

# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether 68:05:ca:1b:a9:9f
        inet 192.168.2.250 netmask 0xffffff00 broadcast 192.168.2.255
        inet6 fe80::6a05:caff:fe1b:a99f%em0 prefixlen 64 scopeid 0x3
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 60:a4:4c:a9:ca:cc
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::62a4:4cff:fea9:cacc%re0 prefixlen 64 scopeid 0x4
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pflog0: flags=0<> metric 0 mtu 33152
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pfsync0: flags=0<> metric 0 mtu 1500
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        syncpeer: 0.0.0.0 maxupd: 128
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet xxx.xxx.xxx.xxx--> xxx.248.xxx.149 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        Opened by PID 1712

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение FreeBSP » 2014-01-22 1:19:27

ПФ тоже в ядре?
pfctl -sa

вообще есть три проблемы:
1. вы не знаете что вам надо
2. у вас нет формального описания того что вам надо
3. вы не знаете как это реализовать

если со вторым и третьим помочь можното с первым - никак..
короче схема сети какая, кто куда и как ходит?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-22 1:25:12

PF тоже в ядре

Код: Выделить всё

]# pfctl -sa
FILTER RULES:
No queue in use

INFO:
Status: Disabled                              Debug: Urgent

State Table                          Total             Rate
  current entries                        0
  searches                               0            0.0/s
  inserts                                0            0.0/s
  removals                               0            0.0/s
Counters
  match                                  0            0.0/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                              0            0.0/s
  proto-cksum                            0            0.0/s
  state-mismatch                         0            0.0/s
  state-insert                           0            0.0/s
  state-limit                            0            0.0/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s

TIMEOUTS:
tcp.first                   120s
tcp.opening                  30s
tcp.established           86400s
tcp.closing                 900s
tcp.finwait                  45s
tcp.closed                   90s
tcp.tsdiff                   30s
udp.first                    60s
udp.single                   30s
udp.multiple                 60s
icmp.first                   20s
icmp.error                   10s
other.first                  60s
other.single                 30s
other.multiple               60s
frag                         30s
interval                     10s
adaptive.start             6000 states
adaptive.end              12000 states
src.track                     0s

LIMITS:
states        hard limit    10000
src-nodes     hard limit    10000
frags         hard limit     5000
tables        hard limit     1000
table-entries hard limit   200000
Схема подключения

Интернет - модем (в режиме бридж) - FreeBSD - Локальная сеть

Задача: попасть на машину в локальной сети используя RDP

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение hizel » 2014-01-22 8:37:35

Вы хотите пробрасывать порт при доступе из инторнетов которые через tun0 и при этом НАТите на re0?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

snorlov
подполковник
Сообщения: 3844
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение snorlov » 2014-01-22 9:21:32

А pf то вам зачем, я понимаю, если вы разбираетесь в файерах, а сейчас то... Уберите его и разбирайтесь с ipfw, вам его одного хватит... Кстати ppp тоже может юзать свой нат, нет ли чего подобного и там...

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Kernel nat + IPFW. Помогите разобраться. Пособие для ча

Непрочитанное сообщение Dark Smoke » 2014-01-22 9:34:23

в этом то и проблема я, то что я не понимаю, хочется раз и на всегда разобраться.
Ну я пробовал так

Код: Выделить всё

${cmd} nat 1 config if tun0 reset same_ports redirect_port tcp 192.168.2.240:3389 3389
Не работает.
И тогда вобще, почему работает интернет если не заварачиваются пакеты на нет?

PF на будущее