Перенаправление трафика (портов)

[immortal]

Всем привет, такая трабла возникла! не могу пробросить весь трафик идущий через прокси на машину в локалке по одному порту...

Терь подробнее:
Поднята фря 8.2, настроил IPFW и как мне кажется)) NATd. Подключение к инету через PPPoE
rc.conf:

Код: Выделить всё

## Net Settings ##
gateway_enable="YES"
hostname="proxy.domain.ru"
ifconfig_re0="inet 192.168.1.222  netmask 255.255.255.0"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="bwc"
firewall_enable="YES"
firewall_script="/etc/list.ipfw"
firewall_logging="YES"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"
tcp_extensions="NO"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"

natd.conf:

Код: Выделить всё

unregistered_only      yes
use_sockets             yes
#deny_incoming           yes
same_ports              yes
#interface               tun0
#verbose                 no
#log                     no
#port                    8668

redirect_port tcp 192.168.1.21:5060 5060

list.ipfw:

Код: Выделить всё

${FwCMD} -f flush

${FwCMD} 00100 add allow all from any to any via lo0
${FwCMD} 00101 add deny all from any to 127.0.0.0/8
${FwCMD} 00102 add deny all from 127.0.0.0/8 to any

${FwCMD} 00200 add check-state

#deny hacker
        ${FwCMD} 10 add drop ip from any to 58.65.234.17
        ${FwCMD} 10 add drop ip from 58.65.234.17 to any
        ${FwCMD} 10 add drop ip from any to 69.50.160.212
        ${FwCMD} 10 add drop ip from 69.50.160.212 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

############################################ FireWall In #########################################
#                                                                                                #
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out xmit ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in recv ${LanOut}

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} 300 add allow tcp from any to any established
${FwCMD} 301 add allow ip from ${IpOut} to any out xmit ${LanOut} keep-state

${FwCMD} 303 add allow udp from any 53 to any via ${LanOut}
${FwCMD} 304 add allow udp from any to any 123 via ${LanOut}

${FwCMD} 305 add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} 306 add allow tcp from 192.168.1.116 to ${IpIn} 22 via ${LanIn}

${FwCMD} 307 add pass tcp from any to ${IpOut} 20,21 in via ${LanOut}
${FwCMD} 308 add pass tcp from any to ${IpOut} 49000-50000 in via ${LanOut}
${FwCMD} 309 add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} 310 add allow tcp from any to ${IpOut} 25 in via ${LanOut} setup

${FwCMD} 311 add allow icmp from any to any out icmptype 8
${FwCMD} 312 add allow icmp from any to any in icmptype 0
${FwCMD} 313 add allow ip from any to any via ${LanIn}

${FwCMD} add divert natd ip from 192.168.1.21 5060 to any out xmit ${LanOut}
${FwCMD} add pass tcp from any to 192.168.1.21 5060 in recv ${LanOut}

Ядро собрано с такими опциями:

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET

Ifconfig:

Код: Выделить всё

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 1c:6f:65:85:e9:ec
        inet 192.168.1.222 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 00:02:44:71:89:9a
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        options=80000<LINKSTATE>
        inet 81.18.118.295 --> 2.2.2.3 netmask 0xffffffff
        Opened by PID 492

Вроде настраивал все согласно статей Лиса, но проброс трафика не робит. Если смотреть по ipfw show то пакеты обрабатываются правилами divert'а и все дальше никуда... Еще странно, у меня настроен раундкуб и если правило
${FwCMD} 309 add allow tcp from any to ${IpOut} 80 via ${LanOut}
поместить ниже правила
${FwCMD} add divert natd ip from any to ${IpOut} in recv ${LanOut}
То зайти на станицу не могу и тотже ipfw show говорит что пакеты проходят через правило ${FwCMD} add divert natd ip from any to ${IpOut} in recv ${LanOut} и все дальше никуда.

Уважаемые знатоки, что я сделал не так и как мне перенаправить трафик к лок. машине?
Помогите пожлста или направьте куда копать...

P.S Бороздил инет форум и сайти по бзде, много читал, пробовал разные файлы и правила... Но где то затыка. Борьба переволила уже за вторую неделю...
Буду очень благодарен за помощь, и я так понял тема довольно стандартная...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[immortal]

Я так понял редиректы можно делать в разных файлах:
rc.conf
rc.local
natd.conf
Пробовал во всех создавать правила, но не работает. Я либо не настроил нат либо коряво настроил. Запутался вобщем. Может как то переустановить можно нат или сбросить?

[sadchok]

Код: Выделить всё

# NAT

${fwcmd} nat 1 config log if ${if_cor} reset same_ports redirect_addr 172.16.24.2 192.168.24.2
${fwcmd} add nat 1 ip from any to any via ${if_cor}

redirect_port
redirect_addr
Почитайте про ядерный NAT
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

[Гость]

Код: Выделить всё

# NAT

${fwcmd} nat 1 config log if ${if_cor} reset same_ports redirect_addr 172.16.24.2 192.168.24.2
${fwcmd} add nat 1 ip from any to any via ${if_cor}

redirect_port
redirect_addr
Почитайте про ядерный NAT
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

Спасибо за ответ:)
Ага пропустил глазами статейку (Вернее быстро пробежался не вникая в суть)
Я так понимаю мне надо будет пересобрать ядро потому как у меня нет в ядре опции
options IPFIREWALL_NAT
options LIBALIAS
??
И редиректить в самом файере?

[sadchok]

Я добавил такое
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"

[dikens3]

Я использовал в своё время НАТ pppшный.
Вот пример конфига:
http://www.lissyara.su/articles/freebsd ... /pbr+ipfw/

И не надо divert'ить ничего. Очень удобно.

[Гость]

Я использовал в своё время НАТ pppшный.
Вот пример конфига:
http://www.lissyara.su/articles/freebsd ... /pbr+ipfw/

И не надо divert'ить ничего. Очень удобно.

Нет pppшный не устраивает моим потребностям, у меня будет после сборки прокси основной канал инета через провод оптоволкно... А этот я как альтернативный посажу. Я думаю ядерный если развернуть то можно будет забыть про каналы и провайдеров различных:) Тупо провода менять, а нат будет работать:)

[immortal]

И еще тупой вопрос, уважаемые знатоки:)
т.е. получается, что когда я взялся за изучение ната, читал много статей, оказывается что ядерный нат и демон natd это разные вещи?? Если да, то на этом то я и запутался.

[sadchok]

Тупо провода менять, а нат будет работать:)

Это необязательно.
Можно реализовать балансировку каналов средствами IPFW.

[immortal]

Чет прочитал попробовал настроить, не работает эта хрень. То ли я еб***ый, то ли лыжи не едут....
Пересобрал ядро, изменил все настройки в соответствии с мануалом, настроил ipfw вот таким образом:

Код: Выделить всё

${FwCMD} -f flush

${FwCMD} 00100 add allow all from any to any via lo0
${FwCMD} 00101 add deny all from any to 127.0.0.0/8
${FwCMD} 00102 add deny all from 127.0.0.0/8 to any

${FwCMD} 00200 add check-state

#deny hacker
        ${FwCMD} 10 add drop ip from any to 58.65.234.17
        ${FwCMD} 10 add drop ip from 58.65.234.17 to any
        ${FwCMD} 10 add drop ip from any to 69.50.160.212
        ${FwCMD} 10 add drop ip from 69.50.160.212 to any

${FwCMD} 200 add allow ip from any to any via ${LanIn}

${FwCMD} 201 add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} 202 add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} 203 add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} 204 add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} 205 add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} 206 add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} 207 add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} 208 add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} 209 add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} 210 add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} 211 add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} 212 add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} 213 add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${FwCMD} 214 add deny ip from 224.0.0.0/4 to any out via ${LanOut}

${FwCMD} 215 add deny icmp from any to any frag
${FwCMD} 216 add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} 217 add deny log icmp from any to 255.255.255.255 out via ${LanOut}

## NAT
${FwCMD} nat 1 config log if tun0 reset same_ports redirect_port tcp 192.168.1.20:80 80
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add nat 1 ip from any to any via tun0

${FwCMD} 300 add allow tcp from any to any established
${FwCMD} 301 add allow ip from ${IpOut} to any out xmit ${LanOut} keep-state

${FwCMD} 305 add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} 306 add allow tcp from 192.168.1.116 to ${IpIn} 22 via ${LanIn}

Но все равно не перебрасывает он меня на веб сервак локалки, а также продолжает открывать веб самой прокси:(
Если закоментить правило ${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut} то вообще заходить отказывается и пакеты остаются в правиле ${FwCMD} add nat 1 ip from any to any via tun0...
Ребят ну что я делаю не так??

[immortal]

Попутный вопрос, с такой настройкой ipfw_nat для применения правил проброса достаточно перегруз саомого файлика с правилами или надо систему или демон какой еще перегрузить??

[immortal]

Вот лог команды tcpdump -i tun0 tcp port 80:

Код: Выделить всё

11:38:58.138079 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440,nop,wscale 3,nop,nop,TS val 1112512256 ecr 0], length 0
11:39:01.137100 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440,nop,wscale 3,nop,nop,TS val 1112515256 ecr 0], length 0
11:39:04.336995 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440,nop,wscale 3,nop,nop,TS val 1112518456 ecr 0], length 0
11:39:07.536770 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0
11:39:10.736802 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0
11:39:13.936897 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0
11:39:20.136652 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0
11:39:32.336474 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0
11:39:56.536257 IP it.domain.ru.49371 > 81.18.118.195.http: Flags [S], seq 1392739236, win 32768, options [mss 1440], length 0

it.domain.ru - это как раз сайт на вебе локальной машины на котурую надо доступ из инета через прокси на 80 порт.
Я так понимаю он отвечает а зайти не может...

[sadchok]

ipfw show
в студию

[immortal]

Опа начитался снова
Сделал как показано в премере 3 статьи http://www.lissyara.su/articles/freebsd ... /ipfw_nat/ т.е. вот такой конф прописал в файре:

Код: Выделить всё

## NAT
${FwCMD} nat 2 config log if re0 same_ports reset deny_in
${FwCMD} 200 add nat 2 ip from any to any via re0
${FwCMD} 201 add allow ip from any to any via ${LanIn}

${FwCMD} nat 1 config log if tun0 reset same_ports deny_in redirect_port tcp 192.168.1.20:80 80 redirect_port tcp 192.168.1.21:5060 5060
${FwCMD} 300 add nat 1 ip from any to any via tun0

И проброс удался:) Но это же вроде не мой случай...
Этот проброс получился, а вот с дальше с портом 5060 чет не конектится. Вроде правила идентичны...

ipfw show
в студию

Вот ipfw show по порту 5060

Код: Выделить всё

00010    0      0 deny ip from any to 58.65.234.17
00010    0      0 deny ip from 58.65.234.17 to any
00010    0      0 deny ip from any to 69.50.160.212
00010    0      0 deny ip from 69.50.160.212 to any
00100    0      0 allow ip from any to any via lo0
00101    0      0 deny ip from any to 127.0.0.0/8
00102    0      0 deny ip from 127.0.0.0/8 to any
00190    0      0 allow tcp from any to 81.18.118.195 dst-port 22 via tun0
00191  743  43684 allow tcp from 192.168.1.116 to 192.168.1.222 dst-port 22 via re0
00200    0      0 check-state
00200 2124 370983 nat 2 ip from any to any via re0
00201    0      0 deny ip from any to 10.0.0.0/8 in via tun0
00202    0      0 deny ip from 10.0.0.0/8 to any out via tun0
00203    0      0 deny ip from any to 172.16.0.0/12 in via tun0
00204    0      0 deny ip from 172.16.0.0/12 to any out via tun0
00207    0      0 deny ip from any to 0.0.0.0/8 in via tun0
00208    0      0 deny ip from 0.0.0.0/8 to any out via tun0
00209    0      0 deny ip from any to 169.254.0.0/16 in via tun0
00210    0      0 deny ip from 169.254.0.0/16 to any out via tun0
00211    0      0 deny ip from any to 240.0.0.0/4 in via tun0
00212    0      0 deny ip from 240.0.0.0/4 to any out via tun0
00213    0      0 deny ip from any to 224.0.0.0/4 in via tun0
00214    0      0 deny ip from 224.0.0.0/4 to any out via tun0
00215    0      0 deny icmp from any to any frag
00216    0      0 deny log logamount 100 icmp from any to 255.255.255.255 in via tun0
00217    0      0 deny log logamount 100 icmp from any to 255.255.255.255 out via tun0
00300   37  18636 nat 1 ip from any to any via tun0
00301    0      0 allow ip from any to any via re0
65535    1    229 deny ip from any to any

[immortal]

tcpdump показывает что пакеты по внешней сетевой идут на 5060, а внутренняя молчит... Я так понял нат не заворачивает трафик на внутреннюю по порту 5060

[sadchok]

Думаю вам больше подойдет премер 1.
Сделайте резервную копию своего конфига.
Возмите конфиг из примера.(поменяв интерфейсы и адреса на свои)
Если заработало.
Постепенно добавляйте в него остальное.

[immortal]

Спасибо большое всем за помощь.. У меня все получилось:)
И как ни странно подошел именно такой конфиг:

Код: Выделить всё

## NAT
${FwCMD} 200 add nat 2 ip from any to any via re0
${FwCMD} 400 add allow ip from any to any via ${LanIn}

${FwCMD} nat 1 config log if tun0 reset same_ports deny_in redirect_port tcp 192.168.1.20:80 80 redirect_port udp 192.168.1.21:5060 5060 redirect_port udp 192.168.1.21:10000-20000 10000-20000
${FwCMD} 300 add nat 1 ip from any to any via tun0

С портом 80 подошел конфиг, а с 5060 я тупарь мало прочитал про программку которую этот порт использует и пытался открыть пакеты TCP, а она зараза работает на UDP:) Убил блин два дня на это правило!!!!
Еще раз всем огромное спасибо!!
Особенно благодарю Вас sadchok (именно со статьи в которую Вы меня ткнули у меня все получилось), на этом форуме уже во второй моей теме практически Вы один помогали мне:)
Считаю эту тему для Себя закрытой!