natd redirect_port, как закрыть порт ?

[a.barminov]

Здравствуйте.

Код: Выделить всё

FreeBSD 6.2. natd.

Каким приложением можно ограничить подключение к порту, который открыт с помощью
cat /etc/natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.1:21 9921

ipfw не срабатывает.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

ipfw срабатывает если вы поставите правила ограничения до divert natd ..... in via $uplink_int

[a.barminov]

ipfw срабатывает если вы поставите правила ограничения до divert natd ..... in via $uplink_int

Спасибо громадное.
Есть еще один вопрос: Если прописать множественный редирект, срабатывает только первая строчка.
Делаю так:
cat /etc/natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.1:21 9921
redirect_port tcp 192.168.0.1:22 9922
redirect_port tcp 192.168.0.1:23 9923

redirect_port tcp 192.168.0.1:22 9922 и redirect_port tcp 192.168.0.1:23 9923 не срабатывают.

[hizel]

стряноо, форма вполне кореектна
видно проблема всетаки в ipfw

[paradox]

народ
вас не поймешь
одни никак пробросить порт немогут
другие закрыть

вы хоть кооперируйтесь )))

[a.barminov]

народ
вас не поймешь
одни никак пробросить порт немогут
другие закрыть

вы хоть кооперируйтесь )))

Нужно сначала его пробросить, а потом закрыть для недругов.

[hizel]

нет не так, можно и по другому
если вы фильтруете до divet natd .... in
то фильтруйте порты с которых редиректите
если вы фильтруете после divert natd in
то фильтруйте айпи и порты на которые редиректите

[a.barminov]

У меня всё равно не работает, уже всё перепробовал, один раз работало, но как-то криво. Конфиги такие:
#ipfw show:

Код: Выделить всё

00100      0         0 allow tcp from any to 192.168.1.2 dst-port 25 in via tun0
00200  96665  23964539 divert 8668 ip from any to any via tun0
~~~
03800 839734 582213577 allow ip from any to any
65535    554     83410 allow ip from any to any

#cat /etc/rc.conf |grep natd:

Код: Выделить всё

natd_enable="YES"
natd_interface="vr0"
natd_flags="-same_ports -redirect_port tcp 192.168.1.2:25 25"

По #tcpdump -i tun0 port 25 всё нормально, данные на порт приходят, а вот на машине 192.168.1.2 по tcpdump -i vr0 port 25 пустота.
Причем, часа на 4 всё работало, и по обоим tcpdump'ам всё было нормально, после по tcpdump'ам было, а Exim вообще ничего не принимал, хотя до этого всё было нормально.

[a.barminov]

Мне показалось, или natd не совсем предпочтительное решение для проброса портов?

[paradox]

каждый пробрасывает тем чем умеет пользоваться

крупные специалисты пользуються тем что предпочтительнее изходя из задачи

[прохожий]

Мне показалось, или natd не совсем предпочтительное решение для проброса портов?

natd в процессах то есть? (или помер? или нЕсколько штук?)
т.е.
ps -A | grep nat

[a.barminov]

Мне показалось, или natd не совсем предпочтительное решение для проброса портов?

natd в процессах то есть? (или помер? или нЕсколько штук?)
т.е.
ps -A | grep nat

ps -A |grep nat

Код: Выделить всё

391  ??  Ss     0:41.12 /usr/sbin/ppp -quiet -ddial -nat prov
1960  ??  Ss     0:41.35 /sbin/natd -same_ports -redirect_port tcp 192.168.1.2:25 25 -n vr0

[прохожий]

у меня опциями
same_ports
unregistered_only
работает как метроном

и потом, правила в ipfw для исходящих пакетов где?

[paradox]

nat в ppp выключи
а то както странно получаеться

[a.barminov]

nat в ppp выключи
а то както странно получаеться

Я тоже об этом подумал, но где убирать?
cat /etc/rc.conf |grep ppp

Код: Выделить всё

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="prov"

cat /etc/ppp/ppp.conf

Код: Выделить всё

default:
  set log Phase Chat LCP IPCP CCP tun command
prov:
  set device PPPoE:vr1
  set authname username
  set authkey password
  set dial
  set login
  add default HISADDR
  enable lqr
  set lqrperiod 5

[paradox]

ppp_nat="YES" # Use PPP's internal network address translation or NO.

добавить
ppp_nat="NO"

[a.barminov]

у меня опциями
same_ports
unregistered_only
работает как метроном

и потом, правила в ipfw для исходящих пакетов где?

Код: Выделить всё

# cat /etc/natd.conf
same_ports yes
use_sockets yes
unregistered_only
redirect_port tcp 192.168.1.2:25 25

Какие правила в ipfw?


Добавил ppp_NAT="NO"
После этого нат на сетку перестал работать.
Где глянуть лог natd?

[a.barminov]

Ошибка была в natd_interface, исправил, после перезагрузки natd поднимается только вручную, почему такое может быть?

[paradox]

потому что ppp нет
если natd за него цепляеться

[a.barminov]

потому что ppp нет
если natd за него цепляеться

А как сделать, чтобы ppp был до?

[paradox]

вы хоть контроллируйте что я говорю

я предположил
что вернтяно у вас natd на ppp

но он то у вас

на

/sbin/natd -same_ports -redirect_port tcp 192.168.1.2:25 25 -n vr0

значит проблема не там

[a.barminov]

вы хоть контроллируйте что я говорю

я предположил
что вернтяно у вас natd на ppp

но он то у вас

на

/sbin/natd -same_ports -redirect_port tcp 192.168.1.2:25 25 -n vr0

значит проблема не там

Я контролирую, просто я нашел ошибку в rc.conf, где natd_interface стоял на vr0 а не на tun0, а в handbook'е я только что прочитал, что natd_interface должен быть на внешнем интерфейсе, исправил, но при рестарте natd не стартует. Судя по вашему посту не стартует из-за того что natd стартует до ppp и просто tun0 не находит. Вопрос -- как быть?

[paradox]

смотреть есть ли в ppp ip-up/down
скрипты
если нет
то ставить mpd
у него точно есть
и запускать natd
в этих скриптах

[a.barminov]

смотреть есть ли в ppp ip-up/down
скрипты
если нет
то ставить mpd
у него точно есть
и запускать natd
в этих скриптах

Ясно, и всё-таки придется крутить mpd-клиент ) Ура) Спасибо всем за ответы!

[paradox]

вообще то в ppp есть такие скрипты
но раз вы так хотели Mpd
то нужно ссамого начала начинать
мы бы сразу вам его посоветовали)))

а то редирект
редирект
...