Страница 1 из 1
ipfw fwd 22 порт
Добавлено: 2010-10-12 15:27:11
Time
хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.
Код: Выделить всё
01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT
ядро собрано с опциями
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
#options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options IPDIVERT
options IPFIREWALL_FORWARD
options IPFILTER
options IPFILTER_LOG
#options IPSEC
#options IPSEC_FILTERTUNNEL
options NETGRAPH
P.S. Если можно скажите где можно прочитать подробно про фаервол его описание синтаксис и т.д. кроме как в man.
В инглише я не силен ровно как и в фаерволах
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 15:47:08
schizoid
я что-то не совсем догнал что куда вы хотите пробросить...
p.s.: смените аватар, если это не ваше лицо.
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 15:54:32
Time
хочу пробросить порт ssh(22) на порт 33315
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 16:27:44
BlackJaguar
Time писал(а):хочу пробросить с внешки на другой порт ssh не помгу понять где косяк?
по умолчанию все правила запрещены кроме разрешенных, в локалке все разрешено.
Код: Выделить всё
01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT
если у Вас ядро собрано с такими опциями, то у Вас по-умолчанию весь трафик разрешен - это раз. (если убрать нужную опцию, то весь трафик будет заблокирован. ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).
К чему этот огород? если Вы хотите заставить sshd слушать другой порт - так редактируйте тогда /etc/sshd.conf (вроде так файл называется)
Если у Вас задача захостить несколько вирт. машин - ну тогда думаем так:
сначала надо разрешить входящий трафик с любого IP на нужный IP:порт, затем то же самое, но исходящий с этого же IP:порта на любой IP
потом делать форвард. короче, строка 01497 станет 01499
ну и via можно убрать, ради чистоты эксперимента. чем проще конструкция, тем проще ее потом через пару-тройку лет понимать с похмелья.
и делайте комменты в конфиге - потом пригодится.
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 16:39:49
Time
нет мне нужно просто знать как это делаеться, что бы приминить и для других похожих правил это например рдп или это не выполнимая задача?
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 16:41:59
schizoid
Re: ipfw fwd 22 порт
Добавлено: 2010-10-12 16:55:50
Time
Признателен за статью сейчас буду изучать, а по моим правилам вы не скажите где косяк?
Re: ipfw fwd 22 порт
Добавлено: 2010-10-13 9:17:17
vadim64
ОСТОРОЖНЕЕ С ЯДРОМ. Считайте, что, редактируя ядро, Вы режете свою зарплату).
Это достойно подписи какой нибудь, или /etc/motd
Re: ipfw fwd 22 порт
Добавлено: 2010-10-13 11:44:19
Shuba
Не проще ли будет просто в файле /etc/ssh/sshd_config заменить
на
, после чего рестиртить sshd???
Re: ipfw fwd 22 порт
Добавлено: 2010-10-14 2:54:30
QweЯty
не про ssh но в ту же степь...
какие порты надо пробосить на машине для удаленного доступа на винду?
Код: Выделить всё
01497 fwd 127.0.0.1,22 tcp from any to IpInternet dst-port 33315
01498 allow ip from IpInternet to any dst-port 33315 via LanOUT
01499 allow ip from any to IpInternet dst-port 33315 via LanOUT
обязательно ли 127,0,0,1? а если мне например надо из 10,10,241,241 пробросить в 192,168,50,241
но в локалке 192,168/16 чтобы управление функционировало как обычно...
и как получается?
заворачиваем с локалхоста порт 22 tcp на внешний ip изменяя порт на 33315
разрешаем ходить пакетам на внешней сетевухе на порту 33315 внешнего интрефейса....
что то совсем непонятно...
upd.
все, понял... тему не стого конца читать начал...
то етсь мне нужен проброс портов через машину, а не их редирект с 22 на 33315
Re: ipfw fwd 22 порт
Добавлено: 2010-10-23 15:12:10
falcon39
У меня тоже есть проблемка с SSH только другая.
Код: Выделить всё
#!/bin/sh -
FwCMD="/sbin/ipfw"
LanOut="rl0"
Wan="tun0"
LanIn="bge0"
IpOut="`ifconfig tun0 | awk '/inet/{print $2}'`"
IpOut1="`ifconfig rl0 | awk '/inet/{print $2}'`"
IpIn="192.168.0.1"
NetMask="24"
NetIn="192.168.0.0"
${FwCMD} -f flush
#${FwCMD} add check-state
${FwCMD} add allow log ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add deny ip from 172.25.0.0/24 to any out via ${LanOut}
${FwCMD} add deny tcp from any to ${IpOut} 25 via ${IpOut1}
${FwCMD} add deny tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpIn} 22 via ${LanIn}
${FwCMD} add allow log tcp from any to ${IpOut} 22 via ${Wan}
${FwCMD} add deny tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add deny tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow log all from any to any
Если убрать это правило то доступ пропадает
Где я ошибся
Re: ipfw fwd 22 порт
Добавлено: 2010-10-23 19:00:17
risk94
natd.conf либо прям в rc.conf отдельными флагами, если не юзаеете natd.conf
Код: Выделить всё
redirect_port tcp внутренний_ip:22 внешний_ip:22
фаер:
Код: Выделить всё
allow tcp from any to внутренний_ip 22
allow внутренний_ip 22 to any established
Re: ipfw fwd 22 порт
Добавлено: 2010-11-01 19:57:28
Termitnik
Time писал(а):хочу пробросить порт ssh(22) на порт 33315
ipfw add fwd 127.0.0.1,33315 tcp from any to me 22