Natd -redirect_port

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
mr_A3ap41k
рядовой
Сообщения: 25
Зарегистрирован: 2008-03-05 14:03:40

Natd -redirect_port

Непрочитанное сообщение mr_A3ap41k » 2008-03-06 12:31:53

Нужно помочь, уже запарился тупить...
Нужно сделать редирект порта 3389 в местную локалку. Есть gateway на FreeBSD 6.3, по НАТу в инет ходят машины.
Соединение у провайдера PPTP. Значит конфигурация такая:

Есть два интерфейса, fxp0 - местная лакалка и re0 - инет.

Код: Выделить всё

# cat /etc/rc.conf | grep natd
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /usr/local/etc/natd.conf"

Код: Выделить всё

# cat /usr/local/etc/natd.conf
interface re0
dynamic yes
unregistered_only yes
use_sockets yes
same_ports yes

Код: Выделить всё

# ps -ax | grep natd
  698  ??  Ss     0:00.26 /sbin/natd -f /usr/local/etc/natd.conf -dynamic -n re0

Код: Выделить всё

# ipfw show
00100     0       0 allow ip from me to me
00200     0       0 allow ip from 217.172.29.24 to me
00300     0       0 allow ip from me to 217.172.29.24
00400     0       0 allow ip from 172.17.174.203 to me
00500     0       0 allow ip from me to 172.17.174.203
00600  1465  175129 allow ip from 192.168.88.0/24 to me
00700  1142  215563 allow ip from me to 192.168.88.0/24
00800 12595 2933589 count ip from any to any in via re0
00900 10282 1080476 count ip from any to any out via re0
01000  5317  588950 count ip from any to any in via fxp0
01100  5629 2137863 count ip from any to any out via fxp0
01200  5786 2117186 count ip from any to any in via tun0
01300  5269  589591 count ip from any to any out via tun0
01400 11812 2765565 divert 8668 ip from any to me in via re0
01500   143   10429 divert 8668 ip from 192.168.88.0/24 to any out via re0
01600    46    2340 deny tcp from any to any dst-port 69,135-136,445,4445,9996
01700     0       0 deny udp from any to any dst-port 69,135-136,445,4445,9996
01800     0       0 deny tcp from any to me dst-port 22
01900     0       0 deny udp from any to me dst-port 23,161,199,514,330
65535 44044 9433162 allow ip from any to any
Вот такой у меня ваервол.

Когда я пытаюсь зайти, по tcpdump-y видно запросы в одну сторону:

Код: Выделить всё

# tcpdump -i re0 dst port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
15:27:41.914778 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
15:27:42.334411 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
15:27:42.837342 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
Если послушать одновременно fxp0 то там ничего нет :(, соответвенно и не пашит RDP.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-06 12:58:18

редирект порта 3389
И где он?

Добавь в конфиг natd:

Код: Выделить всё

deny_incoming           no
redirect_port   tcp     IP-ЛОКАЛЬНЫЙ:3389        3389
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mr_A3ap41k
рядовой
Сообщения: 25
Зарегистрирован: 2008-03-05 14:03:40

Re: Natd -redirect_port

Непрочитанное сообщение mr_A3ap41k » 2008-03-06 13:06:33

тьфу, конфиг уже просто поправил, убрал редирект, а вот опцию deny_incoming никогда не ставил.

уже попробовал, все так же... :(

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-06 14:02:45

ifconfig покажи, что за устройство tun0?
По какому интерфейсу приходит интернет re0 или tun0?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mr_A3ap41k
рядовой
Сообщения: 25
Зарегистрирован: 2008-03-05 14:03:40

Re: Natd -redirect_port

Непрочитанное сообщение mr_A3ap41k » 2008-03-06 14:09:03

re0 это сетевушка смотрящая в локалку провайдера, а tun0 это PPTP соединение с инетом.

Код: Выделить всё

# ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
        inet 10.156.88.44 netmask 0xffffff00 broadcast 10.156.88.255
        ether 00:0c:76:13:08:7b
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        ether 00:30:4f:57:c2:d3
        media: Ethernet autoselect (none)
        status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.88.1 netmask 0xffffff00 broadcast 192.168.88.255
        ether 00:13:20:29:b5:4e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
        inet 89.20.141.241 --> 192.168.91.103 netmask 0xffffffff
        Opened by PID 409

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-06 14:14:47

Я не пойму, если у тебя в инет ходят через tun0, тогда зачем используется нат на re0?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mr_A3ap41k
рядовой
Сообщения: 25
Зарегистрирован: 2008-03-05 14:03:40

Re: Natd -redirect_port

Непрочитанное сообщение mr_A3ap41k » 2008-03-06 14:16:28

значит мне нат запускать нужно на tun0?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-06 14:21:36

mr_A3ap41k писал(а):значит мне нат запускать нужно на tun0?
Ага, только скорее всего он там уже есть (если пользователи в инет ходят не через прокси)
Почитай про то, что такое нат и с чем его едят. (поищи в интернет). Потрать время.

http://www.lissyara.su/?id=1536
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
mr_A3ap41k
рядовой
Сообщения: 25
Зарегистрирован: 2008-03-05 14:03:40

Re: Natd -redirect_port

Непрочитанное сообщение mr_A3ap41k » 2008-03-06 14:29:45

Тема в том, когда я делаю NAT на tun0 у меня перестает работать локалка провайдера, а когда на re0 то все работает кроме редиректа.
Думаю что нужно два НАТа запускать... буду пробовать, спасибо хотябы на этом...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-23 1:51:03

дабы не плодит ьаналогичные темы, напишу тут.
встал и у мну такой вопрос, как проброс портов во внутрь локалки. вроде и статей полно и нефиг делать, а чета не вышло.
делаю с помощью ipnat:

Код: Выделить всё

]# ipnat -l
List of active MAP/Redirect filters:
map vlan113 192.168.10.32/32 -> 0.0.0.0/32
rdr vlan113 0.0.0.0/0 port 80 -> 192.168.10.32 port 80 tcp
когда пытаюсь из мира прислюнявится:

Код: Выделить всё

telnet 193.16.хх.хх 80
то вижу на шлюзе:

Код: Выделить всё

# ipnat -l
List of active MAP/Redirect filters:
map vlan113 192.168.10.32/32 -> 0.0.0.0/32
rdr vlan113 0.0.0.0/0 port 80 -> 192.168.10.32 port 80 tcp

List of active sessions:
RDR 192.168.10.32   80    <- -> 193.16.хх.хх    80    [82.207.хх.хх 3016]
т.е. как я понимаю с адреса 82.207.хх.хх идет запрос на 193.16.хх.хх:80 и перебрасывает на 192.168.10.32:80
но в итоге получаю:

Код: Выделить всё

C:\>telnet 193.16.xx.xx 80
Подключение к 193.16.xx.xx...Не удается подключиться к узлу на порт 80 : Сбой подключения
ну и ессесно на машине 192.168.10.32 тспдампом пусто :(

фаер вроде не режет, по крайней мере все deny логируются и там ниче не режется.
на тачке 192.168.10.32 тож фаера нету. апач там пашет 100%.

Код: Выделить всё

# uname -a
FreeBSD stl.ok.net.ua 6.2-RELEASE-p4 FreeBSD 6.2-RELEASE-p4 #1: Mon Jun  4 01:17:57 EEST 2007     eugene@stl.ok.net.ua:/usr/obj/usr/src/sys/KERN6_2_03062007  i386
вразумите плиз...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-23 9:19:29

дефолтовым шлюзом для твоего компа с Apache должен быть тот, который делает редирект.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-23 9:46:21

все правильно, так и есть. он и в инет выходит через дефолтовый шлюз. это я уже так. для експеримента делал (ваще все по ВПНу работает, а его я выпускал именно с 192,168,10,32-го ИПа).
еще , к сведению, на шлюзе тоже есть свой апач. но он крутится только на локальном порту, может мешать?

Код: Выделить всё

# sockstat -4l|grep http
www      httpd      96667 3  tcp4   192.168.10.100:80     *:*
www      httpd      96667 4  tcp4   192.168.10.100:90     *:*
www      httpd      96667 5  tcp4   192.168.10.100:443    *:*
www      httpd      61329 3  tcp4   192.168.10.100:80     *:*
www      httpd      61329 4  tcp4   192.168.10.100:90     *:*
www      httpd      61329 5  tcp4   192.168.10.100:443    *:*
www      httpd      61328 3  tcp4   192.168.10.100:80     *:*
www      httpd      61328 4  tcp4   192.168.10.100:90     *:*
www      httpd      61328 5  tcp4   192.168.10.100:443    *:*
www      httpd      61326 3  tcp4   192.168.10.100:80     *:*
www      httpd      61326 4  tcp4   192.168.10.100:90     *:*
www      httpd      61326 5  tcp4   192.168.10.100:443    *:*
www      httpd      60589 3  tcp4   192.168.10.100:80     *:*
www      httpd      60589 4  tcp4   192.168.10.100:90     *:*
www      httpd      60589 5  tcp4   192.168.10.100:443    *:*
www      httpd      60587 3  tcp4   192.168.10.100:80     *:*
www      httpd      60587 4  tcp4   192.168.10.100:90     *:*
www      httpd      60587 5  tcp4   192.168.10.100:443    *:*
www      httpd      60580 3  tcp4   192.168.10.100:80     *:*
www      httpd      60580 4  tcp4   192.168.10.100:90     *:*
www      httpd      60580 5  tcp4   192.168.10.100:443    *:*
www      httpd      60579 3  tcp4   192.168.10.100:80     *:*
www      httpd      60579 4  tcp4   192.168.10.100:90     *:*
www      httpd      60579 5  tcp4   192.168.10.100:443    *:*
www      httpd      60577 3  tcp4   192.168.10.100:80     *:*
www      httpd      60577 4  tcp4   192.168.10.100:90     *:*
www      httpd      60577 5  tcp4   192.168.10.100:443    *:*
root     httpd      17991 3  tcp4   192.168.10.100:80     *:*
root     httpd      17991 4  tcp4   192.168.10.100:90     *:*
root     httpd      17991 5  tcp4   192.168.10.100:443    *:*
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-23 10:06:49

Смотри с помощью tcpdump.
На шлюзе на внутреннем интерфейсе:
1. Уходят ли пакеты на твой Apache?
2. Возвращаются?

На сервере:
1. Приходят ли пакеты на твой Apache?
2. Отправляется ответ?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-23 10:33:07

при

Код: Выделить всё

C:\Documents and Settings\eugene>telnet 193.16.хх.хх 80
Подключение к 193.16.хх.хх...Не удается подключиться к узлу на порт 80 : Сбой подключения

на шлюзе:

Код: Выделить всё

# tcpdump -n -i vlan113 host 82.207.хх.хх|grep -v 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan113, link-type EN10MB (Ethernet), capture size 96 bytes
09:28:36.059333 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>
09:28:39.302676 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>
09:28:45.866661 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>

Код: Выделить всё

# tcpdump -n -i vr0 host 192.168.10.32
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes

где vlan113-внешний интерфейс на шлюзе
vr0 - внутренний на шлюзе
пипец.

Код: Выделить всё

00200         0            0 deny ip from any to 127.0.0.0/8
00300         0            0 deny ip from 127.0.0.0/8 to any
02000        13          640 deny log logamount 1000 ip from any to 192.168.10.100,193.16.хх.хх dst-port 3306
02200         0            0 deny log logamount 1000 tcp from any to 192.168.10.100 dst-port 1080
02800         3          144 deny log logamount 1000 ip from any to 192.168.10.100 dst-port 10000
02900        42         2068 deny log logamount 1000 ip from any to 193.16.хх.хх dst-port 10000
03000         0            0 deny log logamount 1000 ip from any to 192.168.10.100 dst-port 161,162,199
03100         1           68 deny log logamount 1000 ip from any to 193.16.хх.хх dst-port 161,162,199
03300        11          682 deny log logamount 1000 ip from 192.168.10.0/23 to any in via vlan113
03400         0            0 deny log logamount 1000 ip from 193.16.хх.0/30 to any in via vr0
03800     57614      2882449 deny log logamount 1000 ip from any to 192.168.0.0/16 via vlan113
03900         0            0 deny log logamount 1000 ip from any to 0.0.0.0/8 via vlan113
04000      1413        67608 deny log logamount 1000 ip from any to 169.254.0.0/16 via vlan113
04100         0            0 deny log logamount 1000 ip from any to 192.0.2.0/24 via vlan113
04200     14220       398160 deny log logamount 1000 ip from any to 224.0.0.0/4 via vlan113
04300         0            0 deny log logamount 1000 ip from any to 240.0.0.0/4 via vlan113
04700    433109     22711356 deny log logamount 1000 tcp from any to any in via vlan113 setup
05300  13128832   1158974692 deny log logamount 1000 ip from any to any
65535       122        10242 deny ip from any to any
может фаер все таки?
но в логах пусто
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-23 10:52:49

походу все-таки фаер режет
т.к. добавил разрешающие правила:

Код: Выделить всё

00330         0            0 allow tcp from 192.168.10.32 to any out via vlan113
00330         0            0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vlan113
00340        75         3984 allow log logamount 1000 tcp from any to 192.168.10.32 in via vlan113
00350         0            0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vr0
00360         0            0 allow log logamount 1000 tcp from any to 192.168.10.32 in via vr0
00370         0            0 allow log logamount 1000 tcp from 192.168.10.32 to any in via vr0
00380         0            0 allow log logamount 1000 tcp from 192.168.10.32 to any in via vlan113
увидел трафик на 192,168,10,32, вижу что пакет приходит, и уходит назад. а по правилам фаера видно, что только приходит. не пойму как ему написать исходящее правило?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-23 11:08:17

мдя, че за бред?

Код: Выделить всё

# tcpdump -n -i vlan113 host 193.151.хх.хх
09:57:21.115641 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:24.314707 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.514436 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.713941 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>

Код: Выделить всё

# tcpdump -n -i vr0 host 192.168.10.32
09:57:21.115736 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:24.314787 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.514533 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.714036 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
на 192,168,10,32-м:

Код: Выделить всё

 # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.100 0.0.0.0 UG 0 0 0 eth0

Код: Выделить всё

 09:57:27.462648 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.462671 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672086[|tcp]>
09:57:33.156127 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672656[|tcp]>
09:57:33.662036 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.662057 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672706[|tcp]>
09:57:45.861003 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:45.861026 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48673926[|tcp]>
фаер выключил ваще.куда деваются пакеты, хз... :?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение dikens3 » 2008-03-23 16:38:12

00350 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vr0
Интересное правило, вот только что оно делает?

Предположу что должно быть немного иначе:

Код: Выделить всё

00350         0            0 allow log logamount 1000 tcp from any to 192.168.10.32 out via vr0
Можешь порты проставить, если угодно.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Natd -redirect_port

Непрочитанное сообщение schizoid » 2008-03-24 10:40:01

спасибо. помогло.
з.ы.: нуно перечитать статью про фаерволы...
ядерный взрыв...смертельно красиво...жаль, что не вечно...