Страница 1 из 1

ipfw kernel nat + Jabber Video, VPN клиент (разрешить UDP)

Добавлено: 2014-01-15 14:59:08
Жендос80
Добрый день,

Прочитал статью http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
но к сожалению не разобрался (
Что нужно:
Нужно разрешить работать Jabber Video и VPN клиенту.
VPN клиент требует UDP 55777 в обе стороны
Jabber Video требует (цитирую):
- ip связность между ПК с Jabber Video и сервером 213.10.10.1
- обеспечить беспрепятственное прохождение трафика:
- исходящий TCP >= 1024 на TCP| UDP 5060 (213.10.10.1)
- исходящий TCP >= 1024 на TLS | TCP 5061 (213.10.10.1)
- исходящий RTP | UDP c 21000-21900 на 50000-52399 (213.10.10.1)

Код: Выделить всё

de0 - внешний интерфейс (10.10.10.1)
de1 - внутренний интерфейс
net.inet.ip.fw.one_pass: 1

Код: Выделить всё

00977 allow log udp from 213.10.10.1 to me in via de0
01000 allow udp from any 53 to any
01001 allow udp from any to any dst-port 53
01002 allow tcp from any to 10.10.10.1 dst-port 20,21 in via de0 setup
01003 allow tcp from 220.0.0.5 5000 to 10.10.10.1 dst-port 5000 keep-state
01003 allow tcp from 220.0.0.6 5000 to 10.10.10.1 dst-port 5000 keep-state
01003 allow tcp from 220.0.0.7 5000 to 10.10.10.1 dst-port 5000 keep-state
01010 allow log udp from me 21000-21900 to 213.10.10.1 dst-port 50000-52399
01011 allow log udp from any to any
01012 allow tcp from any to 10.10.10.1 dst-port 21 setup in via de0
01013 allow tcp from any to 10.10.10.1 setup in via de0
01018 allow log udp from any 55777 to any dst-port 55777 in via de1
01021 allow log ip from any to any via de1
01022 allow log udp from any to any
01030 allow tcp from any to 10.10.10.1 dst-port 25,110,53,3389 setup in via de0
01060 allow tcp from any to 10.10.10.1 dst-port 53 in via de0
10130 nat 1 ip from any to any via de0
10135 allow log udp from any to any via de0
10140 allow log udp from me 21000-21900 to 213.10.10.1 dst-port 50000-52399
65535 deny ip from any to any

Код: Выделить всё

ipfw nat 1 config log if de0 reset same_ports deny_in\
        redirect_port tcp 192.168.14.109:80 80\
        redirect_port tcp 192.168.14.109:22 24\
        redirect_port tcp 192.168.14.199:22 888\
        redirect_port tcp 192.168.14.69:3389 889
ipfw add 10130 nat 1 ip from any to any via de0
Jabber Video подключается к серверу и подгружает записную книгу. Может совершать звонки и принимать их. Но видео и звук не работает.
Есть подозрение, что UDP на вход не работают, но как открыть я не понимаю.

Если я правильно понял, то все пакеты из локальной сети разрешены на выход (1021). Правило 10130 на внешнем интерфейсе отправляет пакеты в nat - все пакеты. Если есть запись в таблицы, т.е. кто-то или что-то в локальной сети был инициатором связи и теперь идёт входные данные, то данные должны пропускаться.
UDP пакеты бегают только по 1011
TCP пакеты бегают по 1021

Re: ipfw kernel nat + Jabber Video, VPN клиент (разрешить UD

Добавлено: 2014-01-15 15:13:45
Жендос80

Код: Выделить всё

server# cat /var/log/security | grep 213.10.10.1 | grep 192.168.14.103
Jan 15 16:07:56 mail kernel: ipfw: 1021 Accept TCP 213.10.10.1:5060 192.168.14.103:1263 out via de1
Jan 15 16:07:56 mail kernel: ipfw: 1021 Accept TCP 213.10.10.1:5060 192.168.14.103:1263 out via de1
Jan 15 16:07:57 mail kernel: ipfw: 1021 Accept TCP 192.168.14.103:1263 213.10.10.1:5060 in via de1
Jan 15 16:08:16 mail kernel: ipfw: 1021 Accept TCP 192.168.14.103:1263 213.10.10.1:5060 in via de1
Jan 15 16:08:16 mail kernel: ipfw: 1021 Accept TCP 213.10.10.1:5060 192.168.14.103:1263 out via de1
Jan 15 16:08:16 mail kernel: ipfw: 1021 Accept TCP 192.168.14.103:1263 213.10.10.1:5060 in via de1
Jan 15 16:08:16 mail kernel: ipfw: 1021 Accept TCP 192.168.14.103:1263 213.10.10.1:5060 in via de1
Jan 15 16:08:16 mail kernel: ipfw: 1021 Accept TCP 213.10.10.1:5060 192.168.14.103:1263 out via de1

Re: ipfw kernel nat + Jabber Video, VPN клиент (разрешить UD

Добавлено: 2014-01-15 15:21:35
Жендос80

Код: Выделить всё

cat /var/log/security | grep UDP | grep 213.10.10.1
пусто (

Re: ipfw kernel nat + Jabber Video, VPN клиент (разрешить UD

Добавлено: 2014-01-16 19:24:58
Жендос80
решено

Код: Выделить всё

10110 nat 1 log udp from server 50000-52399 to any dst-port 21000-21900