Страница 1 из 1
правило IPFW
Добавлено: 2009-03-20 16:38:42
AHapku
FreeBSD 7.1
Добрый день, такая ситуации: хочу настроить ipfw таким образом, чтоб пользователи моей внутренней сети, при попытке выйти на наш сайт через внешний интерфейс, перенаправлялись непосредственно на сервер,который тоже находится в нашей сети, на котором этой сайт находится. Пишу такое правило:
Код: Выделить всё
${ipfw} add divert 172.16.0.3:80 from ${NetIn}/12 to ${IpOut}:80
При перезагрузке фаервол пишет мне следующее:
ipfw: unrecognised option [-1] from
подскажите в чём проблема?
Re: правило IPFW
Добавлено: 2009-03-20 16:39:28
hizel
fwd используйте
Re: правило IPFW
Добавлено: 2009-03-20 16:48:37
AHapku
вместо divert прописать fwd?) и это правило должно до натовский стоять или после?
Re: правило IPFW
Добавлено: 2009-03-20 16:50:50
hizel
ммм если знать что собственно делает nat то ответ очевиден
Пы.Сы. да да такая я бяка сегодня
Re: правило IPFW
Добавлено: 2009-03-20 17:05:07
AHapku
Воть:
Код: Выделить всё
${ipfw} add fwd 172.16.0.3:80 tcp from ${NetIn}/12 to ${IpOut} 80
Правило написано до правил NAT, ipfw show показывает что правило работает:
Код: Выделить всё
00200 36 1728 fwd 172.16.0.3,80 tcp from 172.16.0.0/12 to 55.111.222.333 dst-port 80
А на сайт всё равно не пускает:(
Re: правило IPFW
Добавлено: 2009-03-20 17:09:21
hizel
tcpdump-ом поглядите
Re: правило IPFW
Добавлено: 2009-03-20 17:18:07
AHapku
Погляжу=) спасибо и удачных выходных! буду разбираться в понедельник=)
Re: правило IPFW
Добавлено: 2009-03-20 17:23:59
hizel
похоже на "синдром обратного пути"
спс, вам того же
Re: правило IPFW
Добавлено: 2009-03-20 17:44:04
Laa
Юзайте .... in recv $_iface_in в правиле файервола!
Re: правило IPFW
Добавлено: 2009-03-24 12:51:28
AHapku
А можно поподробнее про recv, пожалуйста
ман читаю, понять не могу! если возможно дайте работающий пример=)
Re: правило IPFW
Добавлено: 2009-03-24 13:30:57
FenX
я так понимаю dns в сети свой...
так не проще ли в этом самом dns`е просто зону малясь поправить? Оо
ну а если всётаки правилом хотитсо:
Код: Выделить всё
${ipfw} add fwd 172.16.0.3,80 tcp from ${NetIn}/12 to <HOST IP> 80 in via $ll
где:
<HOST IP> - внешний ip адрес вашего web`а
$ll - имя внутреннего интерфейса.
Edit:
с натом отпало
косячит
Re: правило IPFW
Добавлено: 2009-03-24 14:10:17
AHapku
Попробовал так, результат тот же:( А что значит с натом не работает? правило до правил nat написано=)
Re: правило IPFW
Добавлено: 2009-03-24 16:32:02
FenX
да не, я просто в посте ещё и попытку натом завернуть писал
с другом тестанули на одном из шлюзов...
начался косяк с заворотом трафика...
переодически пытался в никуда отправить,
а самое главное - нужного результата так и не добились =\
в общем, имхо, самый верный вариант,
это если есть локальный dns сервер, на нём прописать сою зону и всё.
Re: правило IPFW
Добавлено: 2009-03-24 18:21:10
AHapku
Ладно, спасибо=) попробум с dns что-нибудь намутить...
Re: правило IPFW
Добавлено: 2009-03-25 16:56:08
AHapku
dns не катит, потому что у нас внутрення доменная зона local, а внешняя ru...А наш виндовый сервер не позволяет создавать зону ru.
А можно поподробнее про "Синдром обратного пути"? уже перепробовал массу вариантов, последний:
Код: Выделить всё
${ipfw} add fwd 172.16.0.3,80 tcp from ${NetIn}/12 to ${IpOut} recv ${LanIn}
результат тот же....
показания ipfw show при обращении к сайту:
Код: Выделить всё
00200 18 864 fwd 172.16.0.3,80 tcp from 172.16.0.0/12 to 11.222.333.444 recv fxp0
Re: правило IPFW
Добавлено: 2009-03-25 19:29:33
FenX
кстате, помониторь tcpdump`ом куда ходят пакеты,
при обращении людей из локалки к сейту.
есть подозрение, что они заворачиваются на полпути...
Re: правило IPFW
Добавлено: 2009-03-26 9:51:43
AHapku
Верно, tcpdump вообще не показывает попытки обращения к сайту...
Re: правило IPFW
Добавлено: 2009-03-26 9:58:34
zingel
Re: правило IPFW
Добавлено: 2009-03-26 10:02:58
AHapku
ngrep: Command not found.
Re: правило IPFW
Добавлено: 2009-03-26 10:03:51
zingel
Код: Выделить всё
cd /usr/ports/net/ngrep && make install clean