Страница 1 из 1
Проброс порта, IPFW
Добавлено: 2010-02-22 13:15:01
ss25
Хочу зделать проброс порта(RDP для Вынь), читал тут что можна через натД но понял что это как бы не есть идеологически правильно и IPWF это умеет вроде бы но вот ниче не получается
в процесе освоения чтиво
http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
Код: Выделить всё
7.2-RELEASE-p4 FreeBSD 7.2-RELEASE-p4
[root@genesis /sbin]# ./ipfw nat 1 config ip 193.26.xxx.xxx log redirect_port tcp 193.26.yyy.yyy:3389 3389
ipfw: setsockopt(IP_FW_NAT_CFG): Invalid argument
[root@genesis /sbin]#
опции ядра
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
#options NETGRAPH_MPPC_ENCRYPTION
#options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 14:35:18
schizoid
и? и что вы делали и что не заработало?
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 14:58:17
ss25
выполнил команду указанную в первом листинге она отработала с ошибкой
сейчас пересобрал ядро с такими опциями
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=5
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options HZ="1000"
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
#options NETGRAPH_MPPC_ENCRYPTION
#options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
команда проходит но редирект не работает и по
ipfw show
ipfw list не вижу правил
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 15:03:53
ss25
Код: Выделить всё
[root@genesis /home/ss25]# ipfw flush
Are you sure? [yn] y
Flushed all rules.
[root@genesis /home/ss25]# ipfw list
65535 allow ip from any to any
[root@genesis /home/ss25]# /sbin/ipfw nat 1 config log ip 193.26.xxx.xxx redirect_port tcp 193.26.yyy.yyy:3389 3389
ipfw nat 1 config ip 193.26.yyy.yyy log redirect_port tcp 193.26.yyy.yyy:3389 3389
[root@genesis /home/ss25]# telnet 193.26.xxx.xxx 3389
Trying 193.26.xxx.xxx...
telnet: connect to address 193.26.xxx.xxx: Connection refused
telnet: Unable to connect to remote host
[root@genesis /home/ss25]#
сборосил все правила потом опять пишу редирект порта и телнет молчит
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 15:16:57
ss25
тспдамп с машинки с фрей которая должна делать редирект
Код: Выделить всё
[root@genesis /home/ss25]# tcpdump dst port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
14:12:32.888388 IP provider.com.ua.3584 > domen.dp.ua.rdp: S 555607993:555607993(0) win 16384 <mss 1460,nop,nop,sackOK>
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 15:34:12
schizoid
для машины 193.26.yyy.yyy машина 193.26.xxx.xxx является шлюзом по-умолчанию?
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 15:44:01
ss25
насколько я понял вопрос
шлюз у ууу.ууу это шлюз провайдера через который она ходит в инет как и ххх.ххх
физически обе машинки и провайдер подключены к обычному свичу и находятся в одной сети /248
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 16:32:34
schizoid
тогда я ниче не понял. нарисуйте схему сети и что куда вам нужно пробросить
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 17:21:53
ss25
2шизоид написал в ЛС
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 22:25:15
СС25
косяки с правилами фаерфола, посколь ку не до пер буду методом тыка перебирать какое проблемное
Re: Проброс порта, IPFW
Добавлено: 2010-02-22 23:54:53
ss25
Не пойму что не так с правилами файрвола
В такой конфигурации порт пробрасывается но файрвола фактически нету из за этой строки:
Код: Выделить всё
${FwCMD} add nat 1 ip from any to any via ${LanOut}
Манипуляции с
Код: Выделить всё
${FwCMD} add nat 1 ip from any to any via ${LanOut}
и проброс не работает.
Если раскоментирую любую строку которая закоменчена ## двумя решетками проброс перестает работать
net.inet.ip.fw.one_pass=1
Код: Выделить всё
#!/bin/sh
FwCMD="/sbin/ipfw"
LanOut="re0"
#LanIn="sis0"
IpOut="193.26.aaa.ххх"
IpWin="193.26.aaa.ууу"
IpHom="195.189.www.zzz"
#IpIn="192.168.20.254"
NetMask="24"
#NetIn="192.168.20.0"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} -f table 0 flush
${FwCMD} add deny not icmp from "table(0)" to me
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
##${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
#${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 20 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
#${FwCMD} add allow tcp from any to ${IpOut} 3389 via ${LanOut}
#${FwCMD} add allow ip from ${IpWin} to ${IpOut} via ${LanOut}
#${FwCMD} add allow ip from ${IpOut} to ${IpWin} via ${LanOut}
##${FwCMD} add allow ip from ${IpHom} to ${IpOut} via ${LanOut}
##${FwCMD} add allow ip from ${IpOut} to ${IpHom} via ${LanOut}
#${FwCMD} add allow ip from any to any via ${LanIn}
#${FwCMD} add allow gre from any to any via ${LanIn}
#${FwCMD} add allow tcp from any to any via ${LanIn}
#${FwCMD} add allow udp from any to any via ${LanIn}
#${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} nat 1 config log if ${LanOut} redirect_port tcp ${IpWin}:3389 3389
${FwCMD} add nat 1 ip from any to any via ${LanOut}
${FwCMD} add deny ip from any to any
Re: Проброс порта, IPFW
Добавлено: 2010-03-02 21:11:17
ss25
АП. проблема для меня актуальна.
Re: Проброс порта, IPFW
Добавлено: 2010-03-04 23:22:00
vadim64
Тогда по новой в одном топике всё обьясняйте
Re: Проброс порта, IPFW
Добавлено: 2010-03-05 0:26:10
ProFTP
tcpdump?
Re: Проброс порта, IPFW
Добавлено: 2010-03-05 1:07:19
ss25