forum.lissyara.su

Мы — долго запрягаем, быстро ездим, и сильно тормозим.
https://forum.lissyara.su/

natd+ipfw проброс порта 1723 и протокола gre

https://forum.lissyara.su/viewtopic.php?f=8&t=2961

Страница 1 из 1

natd+ipfw проброс порта 1723 и протокола gre

Добавлено: 2007-03-16 12:26:58
andy3000
Имеем машинку с двумя интерфейсами rl0-внешний fxp0-внутренний.
Задача сделать переброс средствами natd порта 1723 и протокола gre на внутреннюю машинку с адресом 192.168.0.24 VPN сервер

rc.conf

Код: Выделить всё


gateway_enable="YES"
samba_enable="YES"
winbindd_enable="YES"
apache_enable="YES"
squid_enable="YES"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/script/rc.firewall"
sshd_enable="YES"
natd.conf

Код: Выделить всё

same_ports yes
use_sockets yes
unregistered_only yes
deny_incoming no
verbose no
port 8668
interface rl0
redirect_port tcp 192.168.0.24:1723 1723
на время проверки работоспособности в IPFW следующие правила

100 allow ip from any to any
200 divert 8668 ip from any to any

команда ps auxw | grep natd выдает следующее:

root 591 0.0 0.2 1484 984 ?? Ss 12:08PM 0:00.02 /sbin/natd -f /etc/natd.conf
root 1036 0.0 0.2 1552 1020 p0 R+ 12:21PM 0:00.00 grep natd

пытаюсь подключиться с помощью созданного VPN соединения с удаленной машины не коннектит.

мож кто знает в чем грабли? :(

Добавлено: 2007-03-16 12:31:03
dikens3

Код: Выделить всё

100 allow ip from any to any
200 divert 8668 ip from any to any
Странные строки, ей богу.

ipfw -a list
И смотри сколько пакетов прошло через правило под номером 200 :-)

1. Если не работает, действие log никто не отменял.
2. Если логов нет, файрвол написан неверно.

Добавлено: 2007-03-16 12:45:17
andy3000
ipfw -a list
И смотри сколько пакетов прошло через правило под номером 200
все по нулям :(

Код: Выделить всё

00100 3848 691498 allow ip from any to any
00200    0      0 divert 8668 log logamount 100 ip from any to any
65535 6475 635186 deny ip from any to any

Добавлено: 2007-03-16 13:19:06
andy3000
Вот лог

Код: Выделить всё

Mar 16 13:13:02 inet kernel: ipfw: 100 Divert 8668 TCP 81.208.14.250:54426 83.52.96.182:1723 in via rl0

Добавлено: 2007-03-16 13:59:38
dikens3
Поменял местами, гений просто.
100 divert 8668 ip from any to any via rl0
200 allow ip from any to any
так сделай.

Добавлено: 2007-03-16 14:46:55
andy3000
не получается приконнектится все равно... :(

Добавлено: 2007-03-16 15:04:25
andy3000
Причем rinetd работает на ура, ток при коннекте с удаленной машины, зависает окно проверки логина и пароля, и так и висит пока сервак не рубанет клиента :(

Добавлено: 2007-03-16 15:05:40
alex3
gre через NAT по моему впечатлению пробросить не получится... как вариант - alias на rl0 и в NAT -redirect_address

Добавлено: 2007-03-16 15:11:08
andy3000
А вообще есть способ помимо ната, как разрулить такую ситуацию?
Ктонить занимался подобным?

Добавлено: 2007-03-16 17:44:43
Гость
:?: :?

Добавлено: 2007-03-16 18:02:27
dikens3
andy3000 писал(а):А вообще есть способ помимо ната, как разрулить такую ситуацию?
Ктонить занимался подобным?
Нет невозможного. Прыгай от этого.
Сам не делал.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/