Доступ по IP

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-11 12:34:12

Ситуация: есть шлюз на freebsd. Он в городе А. Нужно, чтобы через него в локалку по виндовому терминалу, к терминал серваку подключался комп из города Б.

Сделано:
- НАТ работает
- в НАТ работает редирект портов скажем 5567 снаруже на 3389 внутри.

Как сделать чтоб тока 1 IP пускал (из города Б) ???

IPFW

#Внутренняя петля
add 100 allow ip from any to any via lo0
add 200 deny ip from any to 127.0.0.0/8
add 300 deny ip from 127.0.0.0/8 to any

#Закрываем tcp порт 111 NFS !!!
add 350 deny tcp from any to any 111
add 360 deny tcp from 111 to any


#Разрешаем natd
add 400 divert natd all from 192.168.2.0/24 to any out recv xl1 xmit xl0
add 500 divert natd all from not 192.168.2.0/24 to 8*.*.*.* recv xl0

#Разрешаем подключение mpd
add 550 allow tcp from any to any 1723 via setup keep-state
add 560 allow gre from any to any

#Открываем порт RADMIN
#add 600 allow tcp from any to any 4899
#add 700 allow tcp from 4899 to any

#DNS
add 650 allow udp from any to any 53
add 660 allow udp from 53 to any

#Разрешаем коннект сервака ко всем
add 800 allow all from 8*.*.*.*/24.8*.*.*.*/24 to any setup keep-state
#Разрешаем коннект всем к серваку
add 900 allow all from 8*.*.*.*/24 to 8*.*.*.*/24.8*.*.*.*/24 setup keep-state

#Внутренняя сеть
#Разрешен коннект сервака ко всем
add 1000 allow all from 192.168.2.0/24.192.168.2.1/24 to any setup keep-state
#Разрешенно коннект всех к серваку
add 1100 allow all from 192.168.2.0/24 to 192.168.2.0/24.192.168.2.1/24 setup keep-state
#Разрешенны уже установленные соединения
add 1400 allow tcp from any to any established

#
#Завершающие правило
add 65000 allow ip from any to any
add 65535 deny ip from any to any


NAT

firewall_enable="YES"
firewall_type="/usr/local/etc/firewall.conf"
natd_enable="YES"
natd_interface="xl0"
natd_flags="-redirect_port tcp 192.168.2.2:3389 5567"

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Доступ по IP

Непрочитанное сообщение opt1k » 2008-08-11 13:29:16

man ipfw:
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified. Currently,
only IPv4 flows are supported.

alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Re: Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-11 13:52:33

т.е. редирект в нат можно отключить ? Не совсем понятно... :unknown:

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Доступ по IP

Непрочитанное сообщение paradox » 2008-08-11 14:04:38

Как сделать чтоб тока 1 IP пускал (из города Б) ???
man ipfw:
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified. Currently,
only IPv4 flows are supported.
что не ясно

alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Re: Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-11 14:05:49

не бачу по англицки :oops: :(

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Доступ по IP

Непрочитанное сообщение paradox » 2008-08-11 14:09:12

купи словарь)
или транслате ру
а то постоянно переводить за тебя никто не будет

alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Re: Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-11 14:16:36

Я всмысле правильного синтаксиса комманды. Я с фрей не так давно работаю... :(

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Доступ по IP

Непрочитанное сообщение opt1k » 2008-08-12 10:32:05

http://ipfw.ism.kiev.ua/nipfw.html

Код: Выделить всё

 /sbin/ipfw add allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10

запретит каждому абоненту сети 192.168.0.1:255.255.255.0 устанавливать более 10 соединений одновременно. Параметр src-addr указывает, что ограничение считается по адресам источников пакетов (т.е. в нашем примере - для каждого пользователя). Допустимые значения этого параметра: dst-addr (ограничение подсчитывается по адресам назначения), src-port (ограничение подсчитывается по портам источника), dst-port (ограничение подсчитывается по портам назначения), а также любые комбинации этих параметров, например, limit dst-port dst-addr 1 позволит установить только одно соединение с любым портом любого сервера, при этом можно будет установить несколько соединений с одним сервером (например, HTTP, SMTP и POP3 одновременно) и неколько соединений на один порт различных серверов (например, одновременно скачивать www.anekdot.ru и www.hub.ru). 

alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Re: Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-12 10:45:33

opt1k писал(а):http://ipfw.ism.kiev.ua/nipfw.html

Код: Выделить всё

 /sbin/ipfw add allow ip from 192.168.0.1/24 to any keep-state limit src-addr 10
Респект и уважуха тебе мега чел !!! :good:

alex_vag
рядовой
Сообщения: 13
Зарегистрирован: 2008-08-11 12:20:22

Re: Доступ по IP

Непрочитанное сообщение alex_vag » 2008-08-13 10:14:34

В общем покопавшись нашел выход - поставил portfwd

в нем - tcp {4715 {192.168.0.5 => 192.168.2.2:3389}} :Yahoo!: