Сохранение реального адреса приходящего пакета

Kazak · Непрочитанное сообщение **Kazak** » 2010-12-12 12:47:56

Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?

Система: FreeBSD 8.1, NAT в ядре, использую ipfw

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Gamerman

Пакет куда должен прийти с реальным ІР? фаервол на той же машине? Машина имеет "серый" или белый ІР?

Kazak · Непрочитанное сообщение **Kazak** » 2010-12-12 13:28:08

[Вебсервер (192.168.0 .3)]<--------->[Фаервол внутр инт(192.168.0.1) <--> Фаервол внеш инт(Белый Ип адрес)]<---> Инет
Вебсервер видит (естественно) все подключения, как подключения с 192.168.0.1, а нужно чтобы он видел реальный ип с которого к нему подключались.

Гость

некоторые системы это какие?
что вы голову морочите

terminus

Kazak писал(а):Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?

Система: FreeBSD 8.1, NAT в ядре, использую ipfw

(Белый Ип адрес)=1.2.3.5

Код: Выделить всё

ipfw nat 1 config log same_ports redirect_addr 192.168.0.3 1.2.3.5

А вообще по идее redirect_port должен давать тот же эффект - непонятно почему он у вас адрес отправителя маскирует...
Все правила ipfw показывайте.

Kazak · Непрочитанное сообщение **Kazak** » 2010-12-12 15:41:21

terminus писал(а):
Kazak писал(а):Некоторые системы учета для своей рработы хотят видеть реальные адреса хостов с которых приходил пакет, с этого момента встал вопрос как используя НАТ сохранять реальный ип адрес приходящего пакета ?

Система: FreeBSD 8.1, NAT в ядре, использую ipfw
(Белый Ип адрес)=1.2.3.5
Код: Выделить всё
ipfw nat 1 config log same_ports redirect_addr 192.168.0.3 1.2.3.5
А вообще по идее redirect_port должен давать тот же эффект - непонятно почему он у вас адрес отправителя маскирует...
Все правила ipfw показывайте.

Код: Выделить всё

FwCMD="/sbin/ipfw"
IfExt="vr0"
IfInt="vr1"
IpExt="[Белый IP]"
IpInt="192.168.0.1"
NetInt="192.168.0/24"
Netmask="24"
Webserver="192.168.0.3"
${FwCMD} -f flush
${FwCMD}  add check-state


ipfw table 1 flush
ipfw table 1 add 192.168.0.1 # Me
ipfw table 1 add 192.168.0.2 # Switch
ipfw table 1 add 192.168.0.3 # Web1
ipfw table 1 add 192.168.0.4 # Web2
ipfw table 1 add 192.168.0.5 # Net Book
ipfw table 1 add 192.168.0.6 # Guest


${FwCMD} add 00208 allow icmp from "table(1)" to any via  vr0
${FwCMD} add 00209 allow icmp from "table(1)" to any via  vr1  ## Ping all
${FwCMD} add 00214 allow all from any to me 12255  via  vr0
${FwCMD} add 00215 allow all from any to me 4115  via  vr0
${FwCMD} add 00216 allow all from any to me 12256  via  vr0
${FwCMD} add 00217 allow all from any to me via  vr1
${FwCMD} add 00218 allow all from any to me via  lo0

${FwCMD} add 00221 allow icmp from "table(1)" to any via  vr0   ##
${FwCMD} add 00230 allow icmp from any to any via vr0          ##
${FwCMD} add 00231 allow all from ${NetInt} to me via vr1
${FwCMD} add 00232 allow all from me to ${NetInt} via vr1
${FwCMD} add 00250 allow all from "table(1)" to me 22 via vr1
${FwCMD} add 00251 allow all from $NetInt to me via vr1
${FwCMD} add 00300 allow all from any to me 21 via vr0
${FwCMD} add 00400 allow all from any to me 80 via vr0
${FwCMD} add 00500 allow all from any to me 80 via vr1
${FwCMD} add 00510 allow all from any to me 53 via vr1

                       # NAT #

${FwCMD} nat 1 config log if vr0 deny_in reset same_ports

${FwCMD} add 00600 allow all from ${NetInt} to me in recv vr1
${FwCMD} add 00700 allow all from me to ${NetInt} out xmit vr1
${FwCMD} add 00800 allow all from "table(1)" to any in recv vr1
${FwCMD} add 00900 allow all from any to "table(1)" out xmit vr1
${FwCMD} add 01000 deny all from any to any via vr1
${FwCMD} add 01100  nat 1  all from any to any via vr0
${FwCMD} add 01200 allow all from any to any

terminus

Что-то я не понял - как сейчас работает редирекция трафика на внутренний веб сервер, если нат вообще не настроен на редирекцию? Используете какой-то прокси сервер или rinetd?

Правила ipfw к тому же какие-то не аккуратные (черт ногу сломит)...

Kazak · Непрочитанное сообщение **Kazak** » 2010-12-12 16:17:50

terminus писал(а):Что-то я не понял - как сейчас работает редирекция трафика на внутренний веб сервер, если нат вообще не настроен на редирекцию? Используете какой-то прокси сервер или rinetd?

Правила ipfw к тому же какие-то не аккуратные (черт ногу сломит)...

Редирекцию убрал, раньше было так

Код: Выделить всё

ipfw      add  00211 fwd 192.168.0.3,80 ip from any to (Белый Ип) 80
${FwCMD} add  00212 allow all from any to 192.168.0.3 80

forum.lissyara.su

Сохранение реального адреса приходящего пакета

Сохранение реального адреса приходящего пакета

Услуги хостинговой компании Host-Food.ru

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета

Re: Сохранение реального адреса приходящего пакета