ipfw+natd+redirect

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
spawn
проходил мимо
Сообщения: 5
Зарегистрирован: 2006-10-13 10:50:43

ipfw+natd+redirect

Непрочитанное сообщение spawn » 2006-10-13 11:19:40

Доброго времени суток всем!
Прочитал статью про настройку ipfw ( http://www.lissyara.su/?id=1127 ) статья оч. понравилась, одна из немногих где настройка описана внятно, единственно,чего не хватает (на мой взгляд) это детального описания как настроить редирект средствами нат и фаервола. все статьи, которые мне до этого встречались какие-то сумбурные...
а если поконкретнее, то вот что интересует:
есть freebsd шлюз с 2 сетевыми интерфейсами- внутренний dc0 192,168,30,100 и внешний rl0 xxx.xxx.xxx.xxx
поднят nat+ipfw и apache на шлюзе, также в локальной сети есть web сервер 192,168,30,44, хочется сделать вот что: чтобы при обращении из инета по адресу (к примеру) http://xxx.xxx.xxx.xxx:8080, попадать на внутренний сервер http://192.168.30.44:80, буду признателен если расскажете, как это сделать или отошлете к ресурсу, где все это дело будет внятно описано, нужен именно не готовый конфиг, а хочется разобраться как настраивать это дело...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-10-13 11:21:19

ВООБЩЕ, я бы отослала в man ipfw - более внятного описания не встречал.
а почитать можно тут - http://www.lissyara.su/?id=1159
Убей их всех! Бог потом рассортирует...

spawn
проходил мимо
Сообщения: 5
Зарегистрирован: 2006-10-13 10:50:43

Непрочитанное сообщение spawn » 2006-10-13 12:22:35

да, вроде бы и в манах и в статье все просто и понятно... но почему-то не пашет... потому и хочу рахобраться как все должно работать

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-10-15 2:31:34

всё же мне кажется если ты хочешь разобраться, то статей лиса более чем достаточно.
А так советы давать только повторять их содержимое! :)
Потому как инфы ты не дал никакой, чтобы подсказать что у тебя не работает, точнее почему!!!?? ;)
Всё дело в перце!! :)

spawn
проходил мимо
Сообщения: 5
Зарегистрирован: 2006-10-13 10:50:43

Непрочитанное сообщение spawn » 2006-10-16 10:30:06

проблема решалась проще чем я думал...
я был уверен, что у меня в настройках что-то не так, а на самом деле тот сервер, на который шел редирект, просто не был поднят.
можете смело бить меня ногами, я ступил)

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-10-17 9:13:23

:D
Всё дело в перце!! :)

chani
мл. сержант
Сообщения: 103
Зарегистрирован: 2006-09-19 0:15:01

Непрочитанное сообщение chani » 2006-11-01 12:03:03

Редирект пашет хорошо, но каков синтаксис для того чтобы проброститьь два порта
например на таком примере :
/etc/natd.conf
use_sockets yes
same_ports no
interface bge1
#redirect_port tcp 192.168.0.104:3389 ***.***.***.***:3389
redirect_port tcp 192.168.0.174:5900 ***.***.***.***:5900

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-11-01 12:13:49

chani писал(а):Редирект пашет хорошо, но каков синтаксис для того чтобы проброститьь два порта

Код: Выделить всё

# cat natd.cf
unregistered_only       yes
use_sockets             yes
deny_incoming           no
same_ports              yes
verbose                 no
log                     no
port                    8668
alias_address           ВНЕШНИЙ_ИП

# Для ослика
redirect_port   tcp     192.168.100.4:4662        ВНЕШНИЙ_ИП:4662
redirect_port   udp     192.168.100.4:4672        ВНЕШНИЙ_ИП:4672
#
redirect_port   tcp     192.168.100.5:80  ВНЕШНИЙ_ИП:80
redirect_port   tcp     192.168.100.5:25  ВНЕШНИЙ_ИП:25
redirect_port  tcp     192.168.100.5:110 ВНЕШНИЙ_ИП:110
redirect_port   tcp     192.168.100.5:20  ВНЕШНИЙ_ИП:20
redirect_port   tcp     192.168.100.5:21  ВНЕШНИЙ_ИП:21
redirect_port   tcp     192.168.100.5:995 ВНЕШНИЙ_ИП:995
У меня вот так :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-11-01 20:52:45

странно, я дак через запятую перечислял! :)
работает!! :)
Всё дело в перце!! :)

chani
мл. сержант
Сообщения: 103
Зарегистрирован: 2006-09-19 0:15:01

Непрочитанное сообщение chani » 2006-11-04 17:59:53

а вот на opennet народ настоятельно рекомендует использовать вместо natd ipnat, ктонить может разъеснить чем одно хуже или лучше другого ?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2006-11-06 13:19:51

chani писал(а):а вот на opennet народ настоятельно рекомендует использовать вместо natd ipnat, ктонить может разъеснить чем одно хуже или лучше другого ?
ipnat быстрее вроде как.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

toor
мл. сержант
Сообщения: 85
Зарегистрирован: 2006-09-03 14:50:09

Непрочитанное сообщение toor » 2006-11-18 18:54:07

Странно у мнея не заработало по стате лис хз почему может кто подскажет?
вот натд.конф

Код: Выделить всё

interface xl0
same_ports
unregistered_only
redirect_port tcp 192.168.0.2:4899 4899
redirect_port tcp 192.168.0.2:3389 3389
а вот прваела фаера:

Код: Выделить всё

#!/bin/sh
FwCMD="/sbin/ipfw -q "            # бинарник IPFW
LanOut="xl0"                  # Внешняя сетевуха
NetOut="222.222.222.222/29"   # внешняя сеть
IpOut="222.222.222.222"       # Внешний IP
LanIn="sk0"                   # внутренняя сетевуха
NetIn="192.168.0.0/24"        # Внутренняя сеть
ip_lan="192.168.0"            # Шаблон внутреннего адреса

${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup
#######Добавляю правила для редиректа портор
${FwCMD} add allow tcp from any to 192.168.0.2 3389 via ${LanOut} setup
${FwCMD} add allow tcp from any to 192.168.0.2 4899 via ${LanOut} setup
#######
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup
${FwCMD} add allow tcp from ${NetIn} to any 5190 in via ${LanIn} setup
${FwCMD} add deny ip from any to any
Ну вообще он взять из статьи лисса. Вот а он продолжает тупо блочить. Может кто знает в чем трабла? Да кстате если поставить фаер в опен то все гуд работает.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-11-18 19:13:38

я тоже х.з. :)
но у меня работало :)
Убей их всех! Бог потом рассортирует...

toor
мл. сержант
Сообщения: 85
Зарегистрирован: 2006-09-03 14:50:09

Непрочитанное сообщение toor » 2006-11-18 19:21:34

а может из за этого?

Код: Выделить всё

{FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
??

toor
мл. сержант
Сообщения: 85
Зарегистрирован: 2006-09-03 14:50:09

Непрочитанное сообщение toor » 2006-11-18 19:54:35

lissyara, а можеш показать свои правила? Может я увижу свой косяк :D

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-11-18 19:56:10

Убей их всех! Бог потом рассортирует...

Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2006-11-18 22:12:09

не нужно указывать тип фаера опен или ещё что то!! НУжно указывать путь на скрипт где эти правила описаны!!!!!
Всё дело в перце!! :)