проблема с пробросом портов

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
si
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-06-01 23:03:48

проблема с пробросом портов

Непрочитанное сообщение si » 2008-08-12 16:45:02

Необходимо пробросить udp port 8597 на виндовый сервер внутри сети.
Проброс port 3386 через socket работает нормально а вот с udp 8597 проблема.
Почему так происходит не могу понять. Собственно прошу помощи.

Используется FreeBSD 6.2 с ipfw nat socket .

isp----rl0 x.x.x.70 router/ipfw/nat/socket rl1 192.168.95.129/28 ------local net

Код: Выделить всё

/etc > ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet x.x.x.70 netmask 0xfffffffc broadcast x.x.x.71
        ether 00:0e:2e:d7:6e:d1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.95.129 netmask 0xfffffff0 broadcast 192.168.95.143
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:0b:6a:a0:ab:78
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000 

Код: Выделить всё

/etc > ipfw list
00100 allow ip from any to any via lo0
00200 reset tcp from any to any dst-port 135,136,137,138,139,445,593,4444,1433,1434
19000 count ip from 192.168.95.128/28 to any
19005 count ip from any to 192.168.95.128/28
19510 pipe 2 ip from any to 192.168.95.128/28 out
20000 divert 8668 ip from 192.168.95.128/28 to not 192.168.95.128/28 out
20300 divert 8668 ip from any to x.x.x.70 in
30000 count ip from any to any in via rl0
30002 count ip from any to any out via rl0
65535 allow ip from any to any

Код: Выделить всё

natd.sh

/sbin/natd -a x.x.x.70 -p 8668 -s

Код: Выделить всё

inetd.conf
rdp    stream tcp      nowait  nobody  /usr/local/bin/socket -v 192.168.95.139 3389
gps        dgram udp       nowait  nobody  /usr/local/bin/socket -v 192.168.95.139 8597
Последний раз редактировалось si 2008-08-13 11:43:21, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: проблема с пробросом портов

Непрочитанное сообщение paradox » 2008-08-12 17:37:25

ну udp это не tcp
поэтому предполагаю что стандартными схемами может не помочь

вообще нужно tcpdump смотреть на интерфейсе что там и как проходит не проходит
может в фаере где теряеться

si
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-06-01 23:03:48

Re: проблема с пробросом портов

Непрочитанное сообщение si » 2008-08-13 11:44:54

На входе rl0 вижу пакеты полученые от источника

Код: Выделить всё

 tcpdump -ni rl0 port 8597
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
11:27:07.955859 IP 193.41.62.136.65254 > x.x.x.70.8597: UDP, length 8
11:27:09.671139 IP 193.41.62.142.50354 > x.x.x.70.8597: UDP, length 8
11:27:14.868684 IP 193.41.62.136.57515 > x.x.x.70.8597: UDP, length 8
также видно пакеты отправленые и полученые на сетевухе смотрящей с локалку

Код: Выделить всё

box# tcpdump -ni rl1 port 8597
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes
11:29:41.253318 IP 192.168.95.129.54271 > 192.168.95.139.8597: UDP, length 8
11:29:41.255144 IP 192.168.95.139.8597 > 192.168.95.129.54271: UDP, length 8
11:29:41.255703 IP 192.168.95.139.8597 > 192.168.95.129.54271: UDP, length 16
11:29:46.090312 IP 192.168.95.129.61989 > 192.168.95.139.8597: UDP, length 8
11:29:46.091465 IP 192.168.95.139.8597 > 192.168.95.129.61989: UDP, length 8
11:29:46.091777 IP 192.168.95.139.8597 > 192.168.95.129.61989: UDP, length 16
11:30:07.819298 IP 192.168.95.129.55903 > 192.168.95.139.8597: UDP, length 8
11:30:07.820648 IP 192.168.95.139.8597 > 192.168.95.129.55903: UDP, length 8
11:30:07.821110 IP 192.168.95.139.8597 > 192.168.95.129.55903: UDP, length 16
Почему они не прошли на внешний интерфейс?
Применил portfwd отказавшись от сокет с такой конфигом:

Код: Выделить всё

box# cat /usr/local/etc/portfwd.cfg
listen-on x.x.x.70 

udp {
  8597 { 
                => 192.168.95.139:8597 };
}
может еще какие правила необходимо дописать в фаервол?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: проблема с пробросом портов

Непрочитанное сообщение Alex Keda » 2008-08-13 11:59:56

вербозный вывод включи.
показывает что в пакетах.
Убей их всех! Бог потом рассортирует...

si
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-06-01 23:03:48

Re: проблема с пробросом портов

Непрочитанное сообщение si » 2008-08-14 10:04:03

Это на интерфейсе в локалку. Видно что ответ присутствует, посылки length 8, length 16, порт по которому получили пакет 8597 и порт по которому отвечаем. На интерфейсе в сторону инета вижу пакеты полученые по порту 8597 только на вход, исходящих просто нет.

Код: Выделить всё

[size=85]box# tcpdump -ni rl1 -vvv port 8597
tcpdump: listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes
09:00:12.336719 IP (tos 0x0, ttl  64, id 8067, offset 0, flags [none], proto: UDP (17), length: 36) 192.168.95.129.57443 > 192.168.95.139.8597: [udp sum ok] UDP, length 8
09:00:12.338095 IP (tos 0x0, ttl 128, id 10338, offset 0, flags [none], proto: UDP (17), length: 36) 192.168.95.139.8597 > 192.168.95.129.57443: [udp sum ok] UDP, length 8
09:00:12.338555 IP (tos 0x0, ttl 128, id 10339, offset 0, flags [none], proto: UDP (17), length: 44) 192.168.95.139.8597 > 192.168.95.129.57443: [udp sum ok] UDP, length 16
09:00:19.870709 IP (tos 0x0, ttl  64, id 8071, offset 0, flags [none], proto: UDP (17), length: 36) 192.168.95.129.56125 > 192.168.95.139.8597: [udp sum ok] UDP, length 8
09:00:19.872034 IP (tos 0x0, ttl 128, id 10340, offset 0, flags [none], proto: UDP (17), length: 36) 192.168.95.139.8597 > 192.168.95.129.56125: [udp sum ok] UDP, length 8
09:00:19.872457 IP (tos 0x0, ttl 128, id 10341, offset 0, flags [none], proto: UDP (17), length: 44) 192.168.95.139.8597 > 192.168.95.129.56125: [udp sum ok] UDP, length 16[/size]

Код: Выделить всё

box# tcpdump -ni rl0 -vvv port 8597
tcpdump: listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
10:02:13.211383 IP (tos 0x0, ttl  56, id 36821, offset 0, flags [none], proto: UDP (17), length: 36) 193.41.62.141.55218 > 193.93.117.70.8597: [udp sum ok] UDP, length 8
10:02:15.872827 IP (tos 0x0, ttl  56, id 34168, offset 0, flags [none], proto: UDP (17), length: 36) 193.41.62.139.50553 > 193.93.117.70.8597: [udp sum ok] UDP, length 8
10:02:19.886410 IP (tos 0x0, ttl  56, id 22998, offset 0, flags [none], proto: UDP (17), length: 36) 193.41.62.143.52493 > 193.93.117.70.8597: [udp sum ok] UDP, length 8