Проброс порта, IPFW

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 13:15:01

Хочу зделать проброс порта(RDP для Вынь), читал тут что можна через натД но понял что это как бы не есть идеологически правильно и IPWF это умеет вроде бы но вот ниче не получается

в процесе освоения чтиво http://www.lissyara.su/articles/freebsd ... /ipfw_nat/

Код: Выделить всё

7.2-RELEASE-p4 FreeBSD 7.2-RELEASE-p4

[root@genesis /sbin]# ./ipfw nat 1 config ip 193.26.xxx.xxx log redirect_port tcp 193.26.yyy.yyy:3389 3389
ipfw: setsockopt(IP_FW_NAT_CFG): Invalid argument
[root@genesis /sbin]#

опции ядра

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT

options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
#options         NETGRAPH_MPPC_ENCRYPTION
#options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

schizoid

и? и что вы делали и что не заработало?

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 14:58:17

выполнил команду указанную в первом листинге она отработала с ошибкой

сейчас пересобрал ядро с такими опциями

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT

options         IPFIREWALL_NAT
options         LIBALIAS
options         ROUTETABLES=2
options         HZ="1000"


options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
#options         NETGRAPH_MPPC_ENCRYPTION
#options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI

команда проходит но редирект не работает и по
ipfw show
ipfw list не вижу правил

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 15:03:53

Код: Выделить всё

[root@genesis /home/ss25]# ipfw flush
Are you sure? [yn] y

Flushed all rules.
[root@genesis /home/ss25]# ipfw list
65535 allow ip from any to any
[root@genesis /home/ss25]# /sbin/ipfw nat 1 config log ip 193.26.xxx.xxx redirect_port tcp 193.26.yyy.yyy:3389 3389
ipfw nat 1 config ip 193.26.yyy.yyy log redirect_port tcp 193.26.yyy.yyy:3389 3389
[root@genesis /home/ss25]# telnet 193.26.xxx.xxx 3389
Trying 193.26.xxx.xxx...
telnet: connect to address 193.26.xxx.xxx: Connection refused
telnet: Unable to connect to remote host
[root@genesis /home/ss25]#

сборосил все правила потом опять пишу редирект порта и телнет молчит

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 15:16:57

тспдамп с машинки с фрей которая должна делать редирект

Код: Выделить всё

[root@genesis /home/ss25]# tcpdump dst port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
14:12:32.888388 IP provider.com.ua.3584 > domen.dp.ua.rdp: S 555607993:555607993(0) win 16384 <mss 1460,nop,nop,sackOK>

schizoid

для машины 193.26.yyy.yyy машина 193.26.xxx.xxx является шлюзом по-умолчанию?

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 15:44:01

насколько я понял вопрос
шлюз у ууу.ууу это шлюз провайдера через который она ходит в инет как и ххх.ххх

физически обе машинки и провайдер подключены к обычному свичу и находятся в одной сети /248

schizoid

тогда я ниче не понял. нарисуйте схему сети и что куда вам нужно пробросить

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 17:21:53

2шизоид написал в ЛС

СС25 · Непрочитанное сообщение **СС25** » 2010-02-22 22:25:15

косяки с правилами фаерфола, посколь ку не до пер буду методом тыка перебирать какое проблемное

ss25 · Непрочитанное сообщение **ss25** » 2010-02-22 23:54:53

Не пойму что не так с правилами файрвола

В такой конфигурации порт пробрасывается но файрвола фактически нету из за этой строки:

Код: Выделить всё

${FwCMD} add nat 1 ip from any to any via ${LanOut}

Манипуляции с

Код: Выделить всё

${FwCMD} add nat 1 ip from any to any via ${LanOut}

и проброс не работает.
Если раскоментирую любую строку которая закоменчена ## двумя решетками проброс перестает работать

net.inet.ip.fw.one_pass=1

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw"
LanOut="re0"
#LanIn="sis0"
IpOut="193.26.aaa.ххх"
IpWin="193.26.aaa.ууу"
IpHom="195.189.www.zzz"
#IpIn="192.168.20.254"
NetMask="24"

#NetIn="192.168.20.0"


${FwCMD} -f flush

${FwCMD} add check-state

${FwCMD} add allow ip from any to any via lo0

${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

${FwCMD} -f table 0 flush
${FwCMD} add deny not icmp from "table(0)" to me

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}


${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}

${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

##${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

${FwCMD} add allow udp from any 53 to any via ${LanOut}
#${FwCMD} add allow udp from any to any 53 via ${LanOut}

${FwCMD} add allow udp from any to any 123 via ${LanOut}

#${FwCMD} add allow tcp from any to ${IpOut} 20 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

${FwCMD} add allow icmp from any to any icmptypes 0,8,11

${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 3389 via ${LanOut}

#${FwCMD} add allow ip from ${IpWin} to ${IpOut} via ${LanOut}
#${FwCMD} add allow ip from ${IpOut} to ${IpWin} via ${LanOut}

##${FwCMD} add allow ip from ${IpHom} to ${IpOut} via ${LanOut}
##${FwCMD} add allow ip from ${IpOut} to ${IpHom} via ${LanOut}

#${FwCMD} add allow ip from any to any via ${LanIn}
#${FwCMD} add allow gre from any to any via ${LanIn}
#${FwCMD} add allow tcp from any to any via ${LanIn}
#${FwCMD} add allow udp from any to any via ${LanIn}
#${FwCMD} add allow icmp from any to any via ${LanIn}

${FwCMD} nat 1 config log if ${LanOut} redirect_port tcp ${IpWin}:3389 3389
${FwCMD} add nat 1 ip from any to any via ${LanOut}

${FwCMD} add deny ip from any to any

ss25 · Непрочитанное сообщение **ss25** » 2010-03-02 21:11:17

АП. проблема для меня актуальна.

vadim64 · Непрочитанное сообщение **vadim64** » 2010-03-04 23:22:00

Тогда по новой в одном топике всё обьясняйте

ProFTP · Непрочитанное сообщение **ProFTP** » 2010-03-05 0:26:10

tcpdump?

ss25 · Непрочитанное сообщение **ss25** » 2010-03-05 1:07:19

Закройте тему. продолжение здесь http://forum.lissyara.su/viewtopic.php?f=4&t=24576

forum.lissyara.su

Проброс порта, IPFW

Проброс порта, IPFW

Услуги хостинговой компании Host-Food.ru

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW

Re: Проброс порта, IPFW