The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проброс портов freebsd"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Изначальное сообщение [ Отслеживать ]

"Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 04:29 
Надо сделать divert пакетов из вне
Потом надо отредиректить пакет на внутренний сервер
Скиньте маны по теме. заепался уже все перепробывал чето не получаеться!
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс портов freebsd"  +/
Сообщение от crash (ok) on 22-Сен-10, 05:34 
>уже все перепробывал чето не получаеться!

что именно перепробовали?
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 16:54 
>>уже все перепробывал чето не получаеться!
>
>что именно перепробовали?
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...

А если просо natd -ом пробрасывать он будет подменять в заголовке ип с внешнего?
или divert надо?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Проброс портов freebsd"  +/
Сообщение от PavelR (??) on 22-Сен-10, 18:14 
>>>уже все перепробывал чето не получаеться!
>>
>>что именно перепробовали?
>>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/netwo...
>
>А если просо natd -ом пробрасывать он будет подменять в заголовке ип
>с внешнего?
>или divert надо?

открой для себя понимание, что диверт, это просто метод передачи пакета из уровня ядра на уровень приложений, и всё. Натд - это даймон уровня приложений, который умеет принимать и передавать пакеты, используя диверт сокеты, производя соответствующую корректировку заголовков пакетов.

Исходя из этого, первое сообщение топика является неверным.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 21:02 
>[оверквотинг удален]
>>А если просо natd -ом пробрасывать он будет подменять в заголовке ип
>>с внешнего?
>>или divert надо?
>
>открой для себя понимание, что диверт, это просто метод передачи пакета из
>уровня ядра на уровень приложений, и всё. Натд - это даймон
>уровня приложений, который умеет принимать и передавать пакеты, используя диверт сокеты,
>производя соответствующую корректировку заголовков пакетов.
>
>Исходя из этого, первое сообщение топика является неверным.

Я делаю Natd с пробросом, но пакеты на внутреенний сервер идут от внешнего адреса, тоесть заголовок не меняеться, и веб сервер пытаеться напрямую ответить клиенту.
Разжуйте, ятуплю пипец.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 21:31 
В rc.conf пишу например
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"

в natd.conf

redirect_port tcp 192.168.0.2:22 22
redirect_port tcp 192.168.0.3:80 80


На веб сервер идут пакеты с внешним ип клиента

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 22:45 
Вот к примеру ipnat
map tap0 from any to any -> 192.168.137.2
rdr tap0 192.168.137.2 port 80 -> 192.168.11.2 port 80 tcp
надо что бы весь трафик пришедший на 192.168.137.2 от клиента подменялся на 192.168.11.1 на редиректился от 192.168.137.2 на 192.168.11.2.
Как?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 22-Сен-10, 23:41 
закрыто
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Проброс портов freebsd"  +/
Сообщение от PavelR (??) on 22-Сен-10, 23:45 
>[оверквотинг удален]
>>уровня ядра на уровень приложений, и всё. Натд - это даймон
>>уровня приложений, который умеет принимать и передавать пакеты, используя диверт сокеты,
>>производя соответствующую корректировку заголовков пакетов.
>>
>>Исходя из этого, первое сообщение топика является неверным.
>
>Я делаю Natd с пробросом, но пакеты на внутреенний сервер идут от
>внешнего адреса, тоесть заголовок не меняеться, и веб сервер пытаеться напрямую
>ответить клиенту.
>Разжуйте, ятуплю пипец.

бред :-)
Поясняю:
есть s-nat и есть d-nat

когда делаем проброс - заменяется адрес получателя, тоесть д-нат (дестинейшн)

т.е. всё верно, пакеты на внутренний сервер идут от внешнего адреса.

внешние пакеты - до дната имели один адрес получателя, после дната - имеют адресом получателя адрес внутреннего сервера.

веб-сервер должен напрямую отвечать клиенту :-)

только маршрут пакета должен пройти сквозь натд, и натд обратно подменит адрес отправителя (_отправителя_, которым для ответного пакета является внутренний сервер) на адрес рутера, на которой исходно пришел входящий пакет.


Исходя из этих размышлений, делаем вывод, что либо у вас машина, на которой  происходит днат, не является шлюзом по умолчанию для машины, на которую делается проброс, либо не происходит заворачивание на натд ответных пакетов в ипфв (что характерно для изначально изучивших айпитаблесы линуха, где это делается "автоматически" :-) ).


Ну и далее, надо как-то это дело исправлять.


-------------------

да, можно забить костыль, заменяя во входящем пакете как адрес отправителя, так и адрес получателя, но тогда вебсервер никогда не узнает, с какого адреса к нему пришел исходный запрос - такое решение технически возможно, но я его считаю некорректным :-)
//запускается два натд и делается по два диверта на каждый из них, два диверта для входящего пакета, на первый натд и на второй, и два диверта для ответных пакетов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Проброс портов freebsd"  +/
Сообщение от xservices (ok) on 23-Сен-10, 00:17 
Осталась проблемма фтп
Статус:    Сервер отправил пассивный ответ с неопределяемым адресом. Использую существующий адрес сервера.

Сервер отдает клиенту фтп внутренний ип.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Проброс портов freebsd"  +/
Сообщение от PavelR (??) on 23-Сен-10, 09:21 
>Осталась проблемма фтп
>Статус: Сервер отправил пассивный ответ с неопределяемым адресом. Использую существующий адрес сервера.
>
>
>Сервер отдает клиенту фтп внутренний ип.

я использую

alias_ftp_load="YES" в loader.conf

и скрипт, кусок которого приведен ниже:

ipfw nat 1 config ip $IP_NATD1 same_ports
ipfw nat 2 config ip $IP_NATD2 same_ports \
redirect_port tcp 10.60.0.122:3389 3389 \
redirect_port tcp 10.60.0.122:4899 4899


ipfw add 04410 nat 1 all from any to $IP_NATD1 in via $IFACE
ipfw add 05410 nat 2 all from any to any in via $IFACE2
#
ipfw add 06050 nat 1 all from $IP_NATD1 to any out via $IFACE
ipfw add 06051 nat 1 all from $IP_NATD1 to any out via $IFACE2
#
ipfw add 06060 nat 2 all from $IP_NATD2 to any out via $IFACE
ipfw add 06061 nat 2 all from $IP_NATD2 to any out via $IFACE2
#
ipfw add 06100 nat 2 tcp from 10.60.0.122 3389 to any out
ipfw add 06105 nat 2 tcp from 10.60.0.122 4899 to any out
#
ipfw add 06110 nat 1 all from 10.60.0.0/24 to any out via $IFACE
#
ipfw add 06310 nat 2 all from 10.60.4.0/24 to any out via $IFACE
ipfw add 06315 nat 2 all from 10.60.4.0/24 to any out via $IFACE2
#
#
#
ipfw add 06910 allow ip from $IP_NATD1 to $IFACE_NET out via $IFACE
ipfw add 06911 fwd $IFACE_GW ip from $IP_NATD1 to any out via $IFACE
ipfw add 06912 fwd $IFACE_GW ip from $IP_NATD1 to any out via $IFACE2
#
ipfw add 06930 allow ip from $IP_NATD2 to $IFACE2_NET out via $IFACE2
ipfw add 06931 fwd $IFACE2_GW ip from $IP_NATD2 to any out via $IFACE
ipfw add 06932 fwd $IFACE2_GW ip from $IP_NATD2 to any out via $IFACE2


(тут работает тема "фряха и два провайдера". На самом деле провайдеров - 4 :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру