URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80814
[ Назад ]

Исходное сообщение
"Проброс портов во FreeBSD"

Отправлено vladsol , 19-Июн-08 18:48 
Имеется сервер с двумя интерфейсами, одним - смотрящим в мир, вторым - во внутреннюю сеть. Нужно перенаправить пакеты, поступающие на порт хх внешнего интерфейса, на порт уу машины в локальной сети.
Читал про natd, ipnat, и т.п. - нужно пересобирать ядро (опции options IPDIVERT, к примеру, options IPFILTER (у меня только IPFIREWALL)) - на сервере клиентская почта и хостинг, поэтому вариант отпадает. Можно ли в данном случае обойтись лишь ipfw, или какими-нибудь отдельными утилитками? (во втором варианте - какими ?)

Содержание

Сообщения в этом обсуждении
"Проброс портов во FreeBSD"
Отправлено PavelR , 19-Июн-08 19:26 
>Имеется сервер с двумя интерфейсами, одним - смотрящим в мир, вторым -
>во внутреннюю сеть. Нужно перенаправить пакеты, поступающие на порт хх внешнего
>интерфейса, на порт уу машины в локальной сети.
> Читал про natd, ipnat, и т.п. - нужно пересобирать ядро (опции
>options IPDIVERT, к примеру, options IPFILTER (у меня только IPFIREWALL)) -
>на сервере клиентская почта и хостинг, поэтому вариант отпадает. Можно ли
>в данном случае обойтись лишь ipfw, или какими-нибудь отдельными утилитками? (во
>втором варианте - какими ?)

пересобрать ядро - это не так страшно, попробуй.


"Проброс портов во FreeBSD"
Отправлено vladsol , 19-Июн-08 20:09 

>пересобрать ядро - это не так страшно, попробуй.

Хех :) Да я не пересборки боюсь (не первый раз) а простоев в работе :) Хотя, видимо, придется.


"Проброс портов во FreeBSD"
Отправлено PavelR , 19-Июн-08 20:32 
>
>>пересобрать ядро - это не так страшно, попробуй.
>
>Хех :) Да я не пересборки боюсь (не первый раз) а простоев
>в работе :) Хотя, видимо, придется.

пересобрал ядро, установил, запланировал перезагрузку на допустимое время, перезагрузился  - всё ок. Простои минимальны.


"Проброс портов во FreeBSD"
Отправлено hate , 19-Июн-08 20:48 
>>
>>>пересобрать ядро - это не так страшно, попробуй.
>>
>>Хех :) Да я не пересборки боюсь (не первый раз) а простоев
>>в работе :) Хотя, видимо, придется.
>
>пересобрал ядро, установил, запланировал перезагрузку на допустимое время, перезагрузился  - всё
>ок. Простои минимальны.

Смешно.


"Проброс портов во FreeBSD"
Отправлено exn , 19-Июн-08 22:38 
>Смешно.

эххх, сучий русский менталитет :(


"Проброс портов во FreeBSD"
Отправлено hate , 20-Июн-08 02:00 
>>Смешно.
>
> эххх, сучий русский менталитет :(

Ну да, ну да... А ты считаешь что поставить в "авторебут" не тестированный кернел
это "круть"? Вот так всё через жопу. Как только ракеты летают, диву даюсь.


"Проброс портов во FreeBSD"
Отправлено PavelR , 20-Июн-08 10:17 
>>>Смешно.
>>
>> эххх, сучий русский менталитет :(
>
> Ну да, ну да... А ты считаешь что поставить в "авторебут"
>не тестированный кернел
>это "круть"? Вот так всё через жопу. Как только ракеты летают, диву
>даюсь.

Ну ты крут без меры, реально. Крутизна так и прет.

1. Я что, написал - поставь в крон команду на ребут ? Я как-то такого не заметил в своих словах. Запланировал - перезагрузил, проверил - успокоился. Уточняю, я это написал к тому, что пока машина собирает ядро - это не время простоя. Старое ядро тоже удалять насильно никто не заставляет.

2. Если сильно хочется надежности и уверенности, то можно поставить вторую идентичную машину и протестировать все настройки и изменения на ней (я просто уверен, что у Вас именно так и происходит). Но и это не отменяет потенциальных незамеченных проблем с первой машиной и вариантов отката к старому ядру. Так какие проблемы ?



"Проброс портов во FreeBSD"
Отправлено hate , 20-Июн-08 18:09 
>>>>Смешно.
>>> эххх, сучий русский менталитет :(
>> Ну да, ну да... А ты считаешь что поставить в "авторебут"
>>не тестированный кернел
>>это "круть"? Вот так всё через жопу. Как только ракеты летают, диву
>>даюсь.
>Ну ты крут без меры, реально. Крутизна так и прет.

Тебя это беспокоит? Хочешь поговорить об этом?

>1. Я что, написал - поставь в крон команду на ребут ?

Нет. А я про крон что-то сказал? Запланировать ты чем предлогаешь? В блокнот записать, узелок завязать? Конкретней.



>Я как-то такого не заметил в своих словах. Запланировал - перезагрузил,
>проверил - успокоился.

Еще раз, что такое запланировал в твоем понимании?


> Уточняю, я это написал к тому, что пока
>машина собирает ядро - это не время простоя. Старое ядро тоже
>удалять насильно никто не заставляет.

Верно. Речь не об этом.


>2. Если сильно хочется надежности и уверенности, то можно поставить вторую идентичную
>машину и протестировать все настройки и изменения на ней

Верно.


>(я просто уверен, что у Вас именно так и происходит).

Зачет. :)


>Но и это не отменяет потенциальных незамеченных проблем с первой машиной и вариантов отката к старому ядру.

То-же верно.


>Так какие проблемы ?

У меня никаких. А вот человеку ты посоветовал "запланировать". Мне крайне любопытно узнать, как это в реалии? Ну обьясни старому-крутому-тупому, плиз.



"Проброс портов во FreeBSD"
Отправлено PavelR , 20-Июн-08 19:26 
>>>>>Смешно.
>>>> эххх, сучий русский менталитет :(
>>> Ну да, ну да... А ты считаешь что поставить в "авторебут"
>>>не тестированный кернел
>>>это "круть"? Вот так всё через жопу. Как только ракеты летают, диву
>>>даюсь.
>>Ну ты крут без меры, реально. Крутизна так и прет.
>
> Тебя это беспокоит? Хочешь поговорить об этом?

Я реально вижу, кого это беспокоит. И это ты.

> Еще раз, что такое запланировал в твоем понимании?

Планирование — это вид деятельности, связанный с составлением планов. Планирование в самом общем виде подразумевает выполнение следующих этапов:

Постановка целей и задач
Составление программы действий
Выявление необходимых ресурсов и их источников
Доведение планов до их непосредственных исполнителей


Разжевывать ?


"Проброс портов во FreeBSD"
Отправлено hate , 20-Июн-08 19:52 
>[оверквотинг удален]
>Планирование — это вид деятельности, связанный с составлением планов. Планирование в самом
>общем виде подразумевает выполнение следующих этапов:
>
>Постановка целей и задач
>Составление программы действий
>Выявление необходимых ресурсов и их источников
>Доведение планов до их непосредственных исполнителей
>
>
>Разжевывать ?

Ну все ясно. Планируй дальше.


"Проброс портов во FreeBSD"
Отправлено vladsol , 20-Июн-08 00:38 
>>
>>>пересобрать ядро - это не так страшно, попробуй.
>>
>>Хех :) Да я не пересборки боюсь (не первый раз) а простоев
>>в работе :) Хотя, видимо, придется.
>
>пересобрал ядро, установил, запланировал перезагрузку на допустимое время, перезагрузился  - всё
>ок. Простои минимальны.

Пересобрал, правда, без IPTABLES. Впрочем, в Handbook'е оно и не требуется.
Пытался запустить из командной строки, к примеру:
natd -v -interface bge0 -redirect_port tcp 127.0.0.1:80 4343
и телнетом на 4343 порт - ничего не происходит. Синтаксис неправильный, или же обязательно запускать из rc.d ? (что очень ненужно, т.к., включать проброс портов на пару часов в сутки...)


"Проброс портов во FreeBSD"
Отправлено aZ , 20-Июн-08 03:51 
Хахаха. :D

"Проброс портов во FreeBSD"
Отправлено BLACK MAX , 20-Июн-08 05:29 
>[оверквотинг удален]
>>
>>пересобрал ядро, установил, запланировал перезагрузку на допустимое время, перезагрузился  - всё
>>ок. Простои минимальны.
>
>Пересобрал, правда, без IPTABLES. Впрочем, в Handbook'е оно и не требуется.
> Пытался запустить из командной строки, к примеру:
>natd -v -interface bge0 -redirect_port tcp 127.0.0.1:80 4343
> и телнетом на 4343 порт - ничего не происходит. Синтаксис неправильный,
>или же обязательно запускать из rc.d ? (что очень ненужно, т.к.,
>включать проброс портов на пару часов в сутки...)

можно было без пересборки обойтись, подгрузить модули ipfw и ipdivert. Не понял при чем тут iptables? Это же вроде в линуксе? Чтобы natd юзать надо соответствующие правила в ipfw написать, если нужно на пару часов в сутки, то можно скриптиком по крону


"Проброс портов во FreeBSD"
Отправлено kiyaleks , 20-Июн-08 00:51 
> какими-нибудь отдельными утилитками? (во
>втором варианте - какими ?)

portfwd,можно с портов.


"Проброс портов во FreeBSD"
Отправлено vladsol , 20-Июн-08 11:02 
>portfwd,можно с портов.

За помощь спасибо - программка действительно работает, но это "не совсем то". Tcpdump говорит, что сервер (НА который был перенаправлен пакет) отвечает серверу, на котором установлет portfwd, а не машине, с которой был сделан запрос. Буду экспериментировать с НАТом.

ЗЫ. После ребута возникла проблема с mysql - сервером. В top`е стабильно WCPU выше 50%, как только вырубаю httpd (Apache 2.2) - всё становится нормально. Запускаю апач - опять mysql выше 50% (проц Xeon 3.4, 2Гб ОЗУ) - ненормально.


"Проброс портов во FreeBSD"
Отправлено Grey , 20-Июн-08 18:53 
>[оверквотинг удален]
>
> За помощь спасибо - программка действительно работает, но это "не совсем
>то". Tcpdump говорит, что сервер (НА который был перенаправлен пакет) отвечает
>серверу, на котором установлет portfwd, а не машине, с которой был
>сделан запрос. Буду экспериментировать с НАТом.
>
>ЗЫ. После ребута возникла проблема с mysql - сервером. В top`е стабильно
>WCPU выше 50%, как только вырубаю httpd (Apache 2.2) - всё
>становится нормально. Запускаю апач - опять mysql выше 50% (проц Xeon
>3.4, 2Гб ОЗУ) - ненормально.

в ядро:
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=100
options   IPFIREWALL_FORWARD
options   IPDIVERT

/etc/natd.conf
... #что ещё понравится
redirect_port tcp 192.168.0.10:80 81
... #что ещё понравится

/etc/rc.conf
...
firewall_enable="YES"
firewall_type="OPEN" # для примера

natd_enable="YES"
natd_interface="rl0"
natd_flags="-config /etc/natd.conf"
...

после всего reboot и проверять.


"Проброс портов во FreeBSD"
Отправлено vladsol , 21-Июн-08 07:09 
Благодарю - вроде получилось :)

Но появилась одна очень, гм...Странная проблема.
Откатился на 1.3.41 апач, если user www, group www - всё нормально, mysqld - загрузка ЦПУ - по нулям. Но если ставю group webhosting (а именно такая у всех сайтов, хостящихся на этом сервере) - то mysqld загрузка ЦПУ сразу за 60% :( Даже если нет запросов к серверу. Чудеса? Кто-нибудь сталкивался с таким?