Страница 1 из 1
IPFW & FWD
Добавлено: 2007-09-17 11:18:57
openx
Хочу чтобы если кто то щемится на вряху, на внешний интерфейс по определенному порту, она кидала его на сервак внутри. Соотв правило
Код: Выделить всё
ipfw add fwd ${xxx},143 tcp from ${NetIn} to ${IpOut} 143 via ${LanIn} setup
но эффекта 0, в логах тоже ничего. Поковыряв man ipfw выяснилось, что если проброс портов идет на другую машину, то фряха пытается действовать согласно таблице маршрутизации.
Вопрос - где ковырять.
Снаружи мап портов работает все ок, с помощью natd, но мне с локалки надо.
Re: IPFW & FWD
Добавлено: 2007-09-17 11:32:40
dikens3
При команде FWD не происходит замена IP-Адресов.
Т.е. к примеру:
Обычно работает так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза(100.100.100.100) на порт 143
Ты хочешь сделать так:
Внутренний_ИП(192.168.1.1) -> ИП_Твоего_Шлюза на порт 143(100.100.100.100) -> Внутренний_ИП2 (192.168.100.1)
А получаешь вот что на Внутренний_ИП2:
1. От Внутренний_ИП(192.168.1.1) пакет идёт на шлюз и адрес назначения у него ИП_Шлюза(100.100.100.100)
2. Ты его форвардишь, но замен ИП никаких не делаешь и что получаешь на выходе?
На Внутренний_ИП2 (192.168.100.1) приходит пакет с IP-Адресом источника Внутренний_ИП(192.168.1.1) и адресом назначения (100.100.100.100).
3. Внутренний_ИП2 (192.168.100.1) его закономерно отбрасывает, т.к. адрес назначения не его.
P.S. Заменами IP-Адресов кто занимается? NAT? Боишься запустить их 2-а, 3-ри?
Re: IPFW & FWD
Добавлено: 2007-09-17 11:38:26
openx
ок, щя поковыряем.
Re: IPFW & FWD
Добавлено: 2007-09-17 12:18:37
Morty
я вот так пробрасывал
Код: Выделить всё
/etc/rc.conf
natd_enable="YES"
natd_interface="rl1"
natd_flags="-f /etc/natd.conf"
Код: Выделить всё
cat /etc/natd.conf
same_ports yes
use_sockets yes
redirect_port tcp 192.168.0.251:3389 3389
redirect_port tcp 192.168.0.251:88 88
redirect_port tcp 192.168.0.251:99 99
redirect_port tcp 192.168.0.251:100 100
redirect_port tcp 192.168.0.251:3306 3306
redirect_port tcp 192.168.0.251:90 90
redirect_port tcp 192.168.0.251:98 98
redirect_port tcp 192.168.0.251:3690 3690
и в IPFW правило - открываешь порты
если IPFW type OPEN то ниче в ипфв делать не нада
Re: IPFW & FWD
Добавлено: 2007-09-17 12:30:50
openx
Это у тебя извне. Попробуй законектица из нутри на этот порт по внешнему интерфейсу что будет?
Re: IPFW & FWD
Добавлено: 2007-09-17 15:34:16
Dolphin_BSD
rc.firewall
Код: Выделить всё
$cmd 1010 divert natd tcp from $citrix to any src-port Порт out via $eif
$cmd 1012 allow tcp from $palladina to $citrix dst-port Порт in via $eif
$cmd 1013 allow tcp from $gate to $citrix dst-port Порт in via $eif
$cmd 1016 allow tcp from me to any src-port Порт out via $eif
natd.conf
Код: Выделить всё
interface rl0
use_sockets yes
dynamic yes
same_ports yes
redirect_port tcp IP:Порт Порт
Re: IPFW & FWD
Добавлено: 2007-09-18 12:42:13
dikens3
Вообщем так:
есть прокся фряха, есть почтовый сервак на винде, с фряхи если пытаются залезть за почтой снаружи, то идет проброс на виндовый почтовый сервак.
У клиентов в качестве почтовых серваков указан внешний ИП фряхи, т.к. многие по командировкам мотаются.
Так вот чтобы не перестраивать каждый раз почтовые серваки у клиента, хотелось бы чтобы если из локалки лезут за почтой (на внешний ИП фряхи) она его также отсылала на виндовый сервак как это делает снаружи
есть проброс портов без natd, к примеру datapipe. Правда у меня он падал периодически.
Я бы на твоём месте перенёс сервак с почтой в DMZ, а потом пофиг на настройки - ВСЕ ОДИНАКОВЫЕ. :-)
Re: IPFW & FWD
Добавлено: 2007-09-18 13:10:36
Dolphin_BSD
Незнаю, так как я показал ... у меня за 4 года ни разу не падал, не считая когда просто нет инета
