Страница 1 из 1
Natd -redirect_port
Добавлено: 2008-03-06 12:31:53
mr_A3ap41k
Нужно помочь, уже запарился тупить...
Нужно сделать редирект порта 3389 в местную локалку. Есть gateway на FreeBSD 6.3, по НАТу в инет ходят машины.
Соединение у провайдера PPTP. Значит конфигурация такая:
Есть два интерфейса, fxp0 - местная лакалка и re0 - инет.
Код: Выделить всё
# cat /etc/rc.conf | grep natd
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /usr/local/etc/natd.conf"
Код: Выделить всё
# cat /usr/local/etc/natd.conf
interface re0
dynamic yes
unregistered_only yes
use_sockets yes
same_ports yes
Код: Выделить всё
# ps -ax | grep natd
698 ?? Ss 0:00.26 /sbin/natd -f /usr/local/etc/natd.conf -dynamic -n re0
Код: Выделить всё
# ipfw show
00100 0 0 allow ip from me to me
00200 0 0 allow ip from 217.172.29.24 to me
00300 0 0 allow ip from me to 217.172.29.24
00400 0 0 allow ip from 172.17.174.203 to me
00500 0 0 allow ip from me to 172.17.174.203
00600 1465 175129 allow ip from 192.168.88.0/24 to me
00700 1142 215563 allow ip from me to 192.168.88.0/24
00800 12595 2933589 count ip from any to any in via re0
00900 10282 1080476 count ip from any to any out via re0
01000 5317 588950 count ip from any to any in via fxp0
01100 5629 2137863 count ip from any to any out via fxp0
01200 5786 2117186 count ip from any to any in via tun0
01300 5269 589591 count ip from any to any out via tun0
01400 11812 2765565 divert 8668 ip from any to me in via re0
01500 143 10429 divert 8668 ip from 192.168.88.0/24 to any out via re0
01600 46 2340 deny tcp from any to any dst-port 69,135-136,445,4445,9996
01700 0 0 deny udp from any to any dst-port 69,135-136,445,4445,9996
01800 0 0 deny tcp from any to me dst-port 22
01900 0 0 deny udp from any to me dst-port 23,161,199,514,330
65535 44044 9433162 allow ip from any to any
Вот такой у меня ваервол.
Когда я пытаюсь зайти, по tcpdump-y видно запросы в одну сторону:
Код: Выделить всё
# tcpdump -i re0 dst port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
15:27:41.914778 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
15:27:42.334411 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
15:27:42.837342 IP инет_хост.telefinder > мой_ип_адрес.rdp: S 4076350970:4076350970(0) win 65535 <mss 1460,nop,nop,sackOK>
Если послушать одновременно fxp0 то там ничего нет
, соответвенно и не пашит RDP.
Re: Natd -redirect_port
Добавлено: 2008-03-06 12:58:18
dikens3
редирект порта 3389
И где он?
Добавь в конфиг natd:
Код: Выделить всё
deny_incoming no
redirect_port tcp IP-ЛОКАЛЬНЫЙ:3389 3389
Re: Natd -redirect_port
Добавлено: 2008-03-06 13:06:33
mr_A3ap41k
тьфу, конфиг уже просто поправил, убрал редирект, а вот опцию deny_incoming никогда не ставил.
уже попробовал, все так же...
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:02:45
dikens3
ifconfig покажи, что за устройство tun0?
По какому интерфейсу приходит интернет re0 или tun0?
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:09:03
mr_A3ap41k
re0 это сетевушка смотрящая в локалку провайдера, а tun0 это PPTP соединение с инетом.
Код: Выделить всё
# ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
inet 10.156.88.44 netmask 0xffffff00 broadcast 10.156.88.255
ether 00:0c:76:13:08:7b
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
ether 00:30:4f:57:c2:d3
media: Ethernet autoselect (none)
status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.88.1 netmask 0xffffff00 broadcast 192.168.88.255
ether 00:13:20:29:b5:4e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 89.20.141.241 --> 192.168.91.103 netmask 0xffffffff
Opened by PID 409
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:14:47
dikens3
Я не пойму, если у тебя в инет ходят через tun0, тогда зачем используется нат на re0?
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:16:28
mr_A3ap41k
значит мне нат запускать нужно на tun0?
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:21:36
dikens3
mr_A3ap41k писал(а):значит мне нат запускать нужно на tun0?
Ага, только скорее всего он там уже есть (если пользователи в инет ходят не через прокси)
Почитай про то, что такое нат и с чем его едят. (поищи в интернет). Потрать время.
http://www.lissyara.su/?id=1536
Re: Natd -redirect_port
Добавлено: 2008-03-06 14:29:45
mr_A3ap41k
Тема в том, когда я делаю NAT на tun0 у меня перестает работать локалка провайдера, а когда на re0 то все работает кроме редиректа.
Думаю что нужно два НАТа запускать... буду пробовать, спасибо хотябы на этом...
Re: Natd -redirect_port
Добавлено: 2008-03-23 1:51:03
schizoid
дабы не плодит ьаналогичные темы, напишу тут.
встал и у мну такой вопрос, как проброс портов во внутрь локалки. вроде и статей полно и нефиг делать, а чета не вышло.
делаю с помощью ipnat:
Код: Выделить всё
]# ipnat -l
List of active MAP/Redirect filters:
map vlan113 192.168.10.32/32 -> 0.0.0.0/32
rdr vlan113 0.0.0.0/0 port 80 -> 192.168.10.32 port 80 tcp
когда пытаюсь из мира прислюнявится:
то вижу на шлюзе:
Код: Выделить всё
# ipnat -l
List of active MAP/Redirect filters:
map vlan113 192.168.10.32/32 -> 0.0.0.0/32
rdr vlan113 0.0.0.0/0 port 80 -> 192.168.10.32 port 80 tcp
List of active sessions:
RDR 192.168.10.32 80 <- -> 193.16.хх.хх 80 [82.207.хх.хх 3016]
т.е. как я понимаю с адреса 82.207.хх.хх идет запрос на 193.16.хх.хх:80 и перебрасывает на 192.168.10.32:80
но в итоге получаю:
Код: Выделить всё
C:\>telnet 193.16.xx.xx 80
Подключение к 193.16.xx.xx...Не удается подключиться к узлу на порт 80 : Сбой подключения
ну и ессесно на машине 192.168.10.32 тспдампом пусто
фаер вроде не режет, по крайней мере все deny логируются и там ниче не режется.
на тачке 192.168.10.32 тож фаера нету. апач там пашет 100%.
Код: Выделить всё
# uname -a
FreeBSD stl.ok.net.ua 6.2-RELEASE-p4 FreeBSD 6.2-RELEASE-p4 #1: Mon Jun 4 01:17:57 EEST 2007 eugene@stl.ok.net.ua:/usr/obj/usr/src/sys/KERN6_2_03062007 i386
вразумите плиз...
Re: Natd -redirect_port
Добавлено: 2008-03-23 9:19:29
dikens3
дефолтовым шлюзом для твоего компа с Apache должен быть тот, который делает редирект.
Re: Natd -redirect_port
Добавлено: 2008-03-23 9:46:21
schizoid
все правильно, так и есть. он и в инет выходит через дефолтовый шлюз. это я уже так. для експеримента делал (ваще все по ВПНу работает, а его я выпускал именно с 192,168,10,32-го ИПа).
еще , к сведению, на шлюзе тоже есть свой апач. но он крутится только на локальном порту, может мешать?
Код: Выделить всё
# sockstat -4l|grep http
www httpd 96667 3 tcp4 192.168.10.100:80 *:*
www httpd 96667 4 tcp4 192.168.10.100:90 *:*
www httpd 96667 5 tcp4 192.168.10.100:443 *:*
www httpd 61329 3 tcp4 192.168.10.100:80 *:*
www httpd 61329 4 tcp4 192.168.10.100:90 *:*
www httpd 61329 5 tcp4 192.168.10.100:443 *:*
www httpd 61328 3 tcp4 192.168.10.100:80 *:*
www httpd 61328 4 tcp4 192.168.10.100:90 *:*
www httpd 61328 5 tcp4 192.168.10.100:443 *:*
www httpd 61326 3 tcp4 192.168.10.100:80 *:*
www httpd 61326 4 tcp4 192.168.10.100:90 *:*
www httpd 61326 5 tcp4 192.168.10.100:443 *:*
www httpd 60589 3 tcp4 192.168.10.100:80 *:*
www httpd 60589 4 tcp4 192.168.10.100:90 *:*
www httpd 60589 5 tcp4 192.168.10.100:443 *:*
www httpd 60587 3 tcp4 192.168.10.100:80 *:*
www httpd 60587 4 tcp4 192.168.10.100:90 *:*
www httpd 60587 5 tcp4 192.168.10.100:443 *:*
www httpd 60580 3 tcp4 192.168.10.100:80 *:*
www httpd 60580 4 tcp4 192.168.10.100:90 *:*
www httpd 60580 5 tcp4 192.168.10.100:443 *:*
www httpd 60579 3 tcp4 192.168.10.100:80 *:*
www httpd 60579 4 tcp4 192.168.10.100:90 *:*
www httpd 60579 5 tcp4 192.168.10.100:443 *:*
www httpd 60577 3 tcp4 192.168.10.100:80 *:*
www httpd 60577 4 tcp4 192.168.10.100:90 *:*
www httpd 60577 5 tcp4 192.168.10.100:443 *:*
root httpd 17991 3 tcp4 192.168.10.100:80 *:*
root httpd 17991 4 tcp4 192.168.10.100:90 *:*
root httpd 17991 5 tcp4 192.168.10.100:443 *:*
Re: Natd -redirect_port
Добавлено: 2008-03-23 10:06:49
dikens3
Смотри с помощью tcpdump.
На шлюзе на внутреннем интерфейсе:
1. Уходят ли пакеты на твой Apache?
2. Возвращаются?
На сервере:
1. Приходят ли пакеты на твой Apache?
2. Отправляется ответ?
Re: Natd -redirect_port
Добавлено: 2008-03-23 10:33:07
schizoid
при
Код: Выделить всё
C:\Documents and Settings\eugene>telnet 193.16.хх.хх 80
Подключение к 193.16.хх.хх...Не удается подключиться к узлу на порт 80 : Сбой подключения
на шлюзе:
Код: Выделить всё
# tcpdump -n -i vlan113 host 82.207.хх.хх|grep -v 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan113, link-type EN10MB (Ethernet), capture size 96 bytes
09:28:36.059333 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>
09:28:39.302676 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>
09:28:45.866661 IP 82.207.хх.хх.4113 > 193.16.хх.хх.80: S 1843726237:1843726237(0) win 65535 <mss 1452,nop,nop,sackOK>
Код: Выделить всё
# tcpdump -n -i vr0 host 192.168.10.32
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vr0, link-type EN10MB (Ethernet), capture size 96 bytes
где vlan113-внешний интерфейс на шлюзе
vr0 - внутренний на шлюзе
пипец.
Код: Выделить всё
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
02000 13 640 deny log logamount 1000 ip from any to 192.168.10.100,193.16.хх.хх dst-port 3306
02200 0 0 deny log logamount 1000 tcp from any to 192.168.10.100 dst-port 1080
02800 3 144 deny log logamount 1000 ip from any to 192.168.10.100 dst-port 10000
02900 42 2068 deny log logamount 1000 ip from any to 193.16.хх.хх dst-port 10000
03000 0 0 deny log logamount 1000 ip from any to 192.168.10.100 dst-port 161,162,199
03100 1 68 deny log logamount 1000 ip from any to 193.16.хх.хх dst-port 161,162,199
03300 11 682 deny log logamount 1000 ip from 192.168.10.0/23 to any in via vlan113
03400 0 0 deny log logamount 1000 ip from 193.16.хх.0/30 to any in via vr0
03800 57614 2882449 deny log logamount 1000 ip from any to 192.168.0.0/16 via vlan113
03900 0 0 deny log logamount 1000 ip from any to 0.0.0.0/8 via vlan113
04000 1413 67608 deny log logamount 1000 ip from any to 169.254.0.0/16 via vlan113
04100 0 0 deny log logamount 1000 ip from any to 192.0.2.0/24 via vlan113
04200 14220 398160 deny log logamount 1000 ip from any to 224.0.0.0/4 via vlan113
04300 0 0 deny log logamount 1000 ip from any to 240.0.0.0/4 via vlan113
04700 433109 22711356 deny log logamount 1000 tcp from any to any in via vlan113 setup
05300 13128832 1158974692 deny log logamount 1000 ip from any to any
65535 122 10242 deny ip from any to any
может фаер все таки?
но в логах пусто
Re: Natd -redirect_port
Добавлено: 2008-03-23 10:52:49
schizoid
походу все-таки фаер режет
т.к. добавил разрешающие правила:
Код: Выделить всё
00330 0 0 allow tcp from 192.168.10.32 to any out via vlan113
00330 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vlan113
00340 75 3984 allow log logamount 1000 tcp from any to 192.168.10.32 in via vlan113
00350 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vr0
00360 0 0 allow log logamount 1000 tcp from any to 192.168.10.32 in via vr0
00370 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any in via vr0
00380 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any in via vlan113
увидел трафик на 192,168,10,32, вижу что пакет приходит, и уходит назад. а по правилам фаера видно, что только приходит. не пойму как ему написать исходящее правило?
Re: Natd -redirect_port
Добавлено: 2008-03-23 11:08:17
schizoid
мдя, че за бред?
Код: Выделить всё
# tcpdump -n -i vlan113 host 193.151.хх.хх
09:57:21.115641 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:24.314707 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.514436 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.713941 IP 193.151.хх.хх.63739 > 193.16.хх.хх.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
Код: Выделить всё
# tcpdump -n -i vr0 host 192.168.10.32
09:57:21.115736 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:24.314787 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.514533 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.714036 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
на 192,168,10,32-м:
Код: Выделить всё
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.0 0.0.0.0 255.255.254.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.100 0.0.0.0 UG 0 0 0 eth0
Код: Выделить всё
09:57:27.462648 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:27.462671 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672086[|tcp]>
09:57:33.156127 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672656[|tcp]>
09:57:33.662036 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:33.662057 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48672706[|tcp]>
09:57:45.861003 IP 193.151.хх.хх.63739 > 192.168.10.32.80: S 3465267115:3465267115(0) win 65535 <mss 1412,nop,nop,sackOK>
09:57:45.861026 IP 192.168.10.32.80 > 193.151.хх.хх.63739: S 559652030:559652030(0) ack 3465267116 win 5792 <mss 1460,sackOK,timestamp 48673926[|tcp]>
фаер выключил ваще.куда деваются пакеты, хз...
Re: Natd -redirect_port
Добавлено: 2008-03-23 16:38:12
dikens3
00350 0 0 allow log logamount 1000 tcp from 192.168.10.32 to any out via vr0
Интересное правило, вот только что оно делает?
Предположу что должно быть немного иначе:
Код: Выделить всё
00350 0 0 allow log logamount 1000 tcp from any to 192.168.10.32 out via vr0
Можешь порты проставить, если угодно.
Re: Natd -redirect_port
Добавлено: 2008-03-24 10:40:01
schizoid
спасибо. помогло.
з.ы.: нуно перечитать статью про фаерволы...