redirect_port и dc

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

redirect_port и dc

Непрочитанное сообщение OSBoy » 2011-02-05 20:41:06

У клиента на 10.0.1.2 в настройках dc клиента стоит ручное перенаправление портов, порты tcp 2000 udp 2000.
Редирект портов делаю так:

Код: Выделить всё

${fwcmd} nat 1 config log if ${iif} redirect_port tcp 10.0.1.2:2000 2000 redirect_port udp 10.0.1.2:2000 2000
Однако клиент в dc виден всё равно в пассивном режиме! Почему? Что я не правильно делаю?
И да, кстати, куда пишется лог из этого правила?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: redirect_port и dc

Непрочитанное сообщение hranitel_y2k » 2011-02-06 0:18:22

OSBoy писал(а):У клиента на 10.0.1.2 в настройках dc клиента стоит ручное перенаправление портов, порты tcp 2000 udp 2000.
Редирект портов делаю так:

Код: Выделить всё

${fwcmd} nat 1 config log if ${iif} redirect_port tcp 10.0.1.2:2000 2000 redirect_port udp 10.0.1.2:2000 2000
Однако клиент в dc виден всё равно в пассивном режиме! Почему? Что я не правильно делаю?
И да, кстати, куда пишется лог из этого правила?
А из вне проверить доступность порта не пробовали? http://www.ping.eu в помощь.
Мне, например, для работы веб сервака не хватало правил разрешающих проход пакетов. Возможно,вам стоит добавить после ната:

Код: Выделить всё

${fwcmd} add allow ip from any to 10.0.1.2 2000 setup 
Насчет логов, точно сказать не могу. Все что находил,упиралось в вывод "ipfw nat show".
Все гениальное - просто!

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Re: redirect_port и dc

Непрочитанное сообщение OSBoy » 2011-02-06 16:56:08

hranitel_y2k писал(а):А из вне проверить доступность порта не пробовали? http://www.ping.eu в помощь.
Дело в том, что интерфейс ${iif} у меня смотрит в городскую локальную сеть и имеет серый IP, и dc сервер находится в локалке.
hranitel_y2k писал(а):Мне, например, для работы веб сервака не хватало правил разрешающих проход пакетов. Возможно,вам стоит добавить после ната:

Код: Выделить всё

${fwcmd} add allow ip from any to 10.0.1.2 2000 setup 
У меня вот так после ната:

Код: Выделить всё

${fwcmd} add 5040 allow ip from ${ournet} to ${myhomenet} in via ${iif}
${fwcmd} add 5050 allow ip from ${ournet} to ${myhomenet} out recv ${iif} xmit ${hif}
Где: ${ournet} - городская локалка, ${iif} - её интерфес, ${myhomenet} - моя внутренняя домашняя сеть, ${hif} - её интерфейс. Я так понимаю, этого должно быть достаточно?

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: redirect_port и dc

Непрочитанное сообщение hranitel_y2k » 2011-02-06 21:15:44

Код: Выделить всё

${fwcmd} add 5040 allow ip from ${ournet} to ${myhomenet} in via ${iif}
Этого вполне должно быть достаточно...
Покажите "ipfw show", посмотрим бегают ли по этим правилам пакеты...
Все гениальное - просто!

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Re: redirect_port и dc

Непрочитанное сообщение OSBoy » 2011-02-07 0:43:20

и нат, и правила 5040,5050 - работают, пакеты по ним бегают.

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: redirect_port и dc

Непрочитанное сообщение hranitel_y2k » 2011-02-07 1:45:28

OSBoy писал(а):и нат, и правила 5040,5050 - работают, пакеты по ним бегают.
Тогда все должно работать.
Нет знакомого из "городской локальной сети" с nmap в наличии? Просканил бы порты и все стало бы ясно.
Можно еще попробовать поставить log на правила 5040 и 5050, или tcpdump по портам. Но тут надо будет ждать, пока кто-то попытается соединиться.
Все гениальное - просто!

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Re: redirect_port и dc

Непрочитанное сообщение OSBoy » 2011-02-07 19:02:31

Код: Выделить всё

Starting Nmap 5.50 ( http://nmap.org ) at 2011-02-07 18:54 Московское время (зима)

Nmap scan report for 192.168.X.X

Host is up (0.0030s latency).

PORT     STATE         SERVICE

2000/tcp open          cisco-sccp

2000/udp open|filtered cisco-sccp



Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: redirect_port и dc

Непрочитанное сообщение hranitel_y2k » 2011-02-07 21:20:22

OSBoy писал(а):

Код: Выделить всё

2000/tcp open          cisco-sccp
2000/udp open|filtered cisco-sccp
Вы наверное сами уже поняли,что порты у вас открыты. И проблему надо искать в dc...
Все гениальное - просто!

Аватара пользователя
OSBoy
сержант
Сообщения: 228
Зарегистрирован: 2007-04-09 12:17:50
Откуда: Из капусты

Re: redirect_port и dc

Непрочитанное сообщение OSBoy » 2011-02-07 22:40:17

Хм... как ни странно, и в самом деле всё оказалось гораздо банальнее: сменил клиента: StrongDC++ 2.42 на ApexDC++ 1.3.9 - и он прекрасно заработал в активном режиме! :st: