Сохранение реального адреса приходящего пакета
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 99
- Зарегистрирован: 2009-07-28 9:46:46
Сохранение реального адреса приходящего пакета
Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?
Система: FreeBSD 8.1, NAT в ядре, использую ipfw
Система: FreeBSD 8.1, NAT в ядре, использую ipfw
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Сохранение реального адреса приходящего пакета
Пакет куда должен прийти с реальным ІР? фаервол на той же машине? Машина имеет "серый" или белый ІР?
Глюк глюком вышибают!
-
- мл. сержант
- Сообщения: 99
- Зарегистрирован: 2009-07-28 9:46:46
Re: Сохранение реального адреса приходящего пакета
[Вебсервер (192.168.0 .3)]<--------->[Фаервол внутр инт(192.168.0.1) <--> Фаервол внеш инт(Белый Ип адрес)]<---> Инет
Вебсервер видит (естественно) все подключения, как подключения с 192.168.0.1, а нужно чтобы он видел реальный ип с которого к нему подключались.
Вебсервер видит (естественно) все подключения, как подключения с 192.168.0.1, а нужно чтобы он видел реальный ип с которого к нему подключались.
-
- проходил мимо
Re: Сохранение реального адреса приходящего пакета
некоторые системы это какие?
что вы голову морочите
что вы голову морочите
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Сохранение реального адреса приходящего пакета
(Белый Ип адрес)=1.2.3.5Kazak писал(а):Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?
Система: FreeBSD 8.1, NAT в ядре, использую ipfw
Код: Выделить всё
ipfw nat 1 config log same_ports redirect_addr 192.168.0.3 1.2.3.5
Все правила ipfw показывайте.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- мл. сержант
- Сообщения: 99
- Зарегистрирован: 2009-07-28 9:46:46
Re: Сохранение реального адреса приходящего пакета
terminus писал(а):(Белый Ип адрес)=1.2.3.5Kazak писал(а):Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?
Система: FreeBSD 8.1, NAT в ядре, использую ipfwА вообще по идее redirect_port должен давать тот же эффект - непонятно почему он у вас адрес отправителя маскирует...Код: Выделить всё
ipfw nat 1 config log same_ports redirect_addr 192.168.0.3 1.2.3.5
Все правила ipfw показывайте.
Код: Выделить всё
FwCMD="/sbin/ipfw"
IfExt="vr0"
IfInt="vr1"
IpExt="[Белый IP]"
IpInt="192.168.0.1"
NetInt="192.168.0/24"
Netmask="24"
Webserver="192.168.0.3"
${FwCMD} -f flush
${FwCMD} add check-state
ipfw table 1 flush
ipfw table 1 add 192.168.0.1 # Me
ipfw table 1 add 192.168.0.2 # Switch
ipfw table 1 add 192.168.0.3 # Web1
ipfw table 1 add 192.168.0.4 # Web2
ipfw table 1 add 192.168.0.5 # Net Book
ipfw table 1 add 192.168.0.6 # Guest
${FwCMD} add 00208 allow icmp from "table(1)" to any via vr0
${FwCMD} add 00209 allow icmp from "table(1)" to any via vr1 ## Ping all
${FwCMD} add 00214 allow all from any to me 12255 via vr0
${FwCMD} add 00215 allow all from any to me 4115 via vr0
${FwCMD} add 00216 allow all from any to me 12256 via vr0
${FwCMD} add 00217 allow all from any to me via vr1
${FwCMD} add 00218 allow all from any to me via lo0
${FwCMD} add 00221 allow icmp from "table(1)" to any via vr0 ##
${FwCMD} add 00230 allow icmp from any to any via vr0 ##
${FwCMD} add 00231 allow all from ${NetInt} to me via vr1
${FwCMD} add 00232 allow all from me to ${NetInt} via vr1
${FwCMD} add 00250 allow all from "table(1)" to me 22 via vr1
${FwCMD} add 00251 allow all from $NetInt to me via vr1
${FwCMD} add 00300 allow all from any to me 21 via vr0
${FwCMD} add 00400 allow all from any to me 80 via vr0
${FwCMD} add 00500 allow all from any to me 80 via vr1
${FwCMD} add 00510 allow all from any to me 53 via vr1
# NAT #
${FwCMD} nat 1 config log if vr0 deny_in reset same_ports
${FwCMD} add 00600 allow all from ${NetInt} to me in recv vr1
${FwCMD} add 00700 allow all from me to ${NetInt} out xmit vr1
${FwCMD} add 00800 allow all from "table(1)" to any in recv vr1
${FwCMD} add 00900 allow all from any to "table(1)" out xmit vr1
${FwCMD} add 01000 deny all from any to any via vr1
${FwCMD} add 01100 nat 1 all from any to any via vr0
${FwCMD} add 01200 allow all from any to any
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: Сохранение реального адреса приходящего пакета
Что-то я не понял - как сейчас работает редирекция трафика на внутренний веб сервер, если нат вообще не настроен на редирекцию? Используете какой-то прокси сервер или rinetd?
Правила ipfw к тому же какие-то не аккуратные (черт ногу сломит)...
Правила ipfw к тому же какие-то не аккуратные (черт ногу сломит)...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- мл. сержант
- Сообщения: 99
- Зарегистрирован: 2009-07-28 9:46:46
Re: Сохранение реального адреса приходящего пакета
Редирекцию убрал, раньше было такterminus писал(а):Что-то я не понял - как сейчас работает редирекция трафика на внутренний веб сервер, если нат вообще не настроен на редирекцию? Используете какой-то прокси сервер или rinetd?
Правила ipfw к тому же какие-то не аккуратные (черт ногу сломит)...
Код: Выделить всё
ipfw add 00211 fwd 192.168.0.3,80 ip from any to (Белый Ип) 80
${FwCMD} add 00212 allow all from any to 192.168.0.3 80