https://slinkov.ru/openforum/vsluhforumID1/83215.html Есть вот такой вот конфиг PF на FreeBSD 7.0 , по адрессу 10.0.0.254 стоит 2003 сервер с настроенным Lotus Notes(порт 1533), RDP(порт 3389) и VPN(1723) сервером. Так вот эти уважаемые ПОРТЫ не пробросились(((( Хотя вроде как 25 порт , который нужен для отправки и получения почты в лотусе пробросился т.к. почта приходит и уходит... В чём проблема? Оччень нужна помощь... <br><br>#макросы<br>ext_if="tun0"<br>int_if="fxp0"<br>#опции<br><br>set block-policy return<br>set loginterface $ext_if<br><br>set skip on lo<br><br>#нормализация траффика<br><br>scrub in<br><br>#NAT<br><br>nat on $ext_if from $int_if to any -&gt; $ext_if<br><br>#проброс портов<br><br>rdr pass on { $ext_if, re0 } proto tcp from any to any port { 3389, 1533, 8888, 1352, 1723, 25, 80, 4090 } -&gt; 10.0.0.254<br><br>#фильтрация<br>block in all<br><br>pass out keep state<br><br>antispoof quick for { lo, $int_if } inet<br><br>pass in on $ext_if inet proto tcp from any to $ext_if \<br> port { 22, 113 } flags S/SA keep state<br><br>pass in inet proto icmp all icmp-type echoreq keep state<br><br>pass quick on $int_if<br><br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#17 Fri, 05 Dec 2008 13:29:20 GMT &gt;&gt;&gt;freebsd# pfctl -sn <br>&gt;&gt;&gt;nat on tun0 inet from 10.0.0.253 to any -&gt; Внешний АЙПИ<br>&gt;&gt;&gt;rdr pass on tun0 inet proto gre all -&gt; 10.0.0.254<br>&gt;&gt;<br>&gt;&gt;почему nat разрешён только для 10.0.0.253 ? <br>&gt;&gt;и через что 10.0.0.254 обшается с внешним миром ? <br>&gt;<br>&gt;на сервере 10.0.0.254 стоит шлюзом 10.0.0.253 так что через НАТ <br><br> from 10.0.0.253 to any <br>означает<br>пакет отправляемый с адреса .253 куда угодно <br>пакеты с сервера .254 идут мимо этого правила <br><br>у вас классическая DMZ - куча примеров <br>http://www.openbsd.org/faq/pf/example1.html - один из<br><br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#16 Fri, 05 Dec 2008 13:14:37 GMT &gt;&gt;freebsd# pfctl -sn <br>&gt;&gt;nat on tun0 inet from 10.0.0.253 to any -&gt; Внешний АЙПИ<br>&gt;&gt;rdr pass on tun0 inet proto gre all -&gt; 10.0.0.254<br>&gt;<br>&gt;почему nat разрешён только для 10.0.0.253 ? <br>&gt;и через что 10.0.0.254 обшается с внешним миром ? <br><br>на сервере 10.0.0.254 стоит шлюзом 10.0.0.253 так что через НАТ<br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#15 Fri, 05 Dec 2008 13:05:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;pass quick on $int_if <br>&gt;<br>&gt;я вот так делаю и работает: <br>&gt;<br>&gt;rdr on $ext_if inet proto tcp from any to ($ext_if) port 65525:65529 tag EXT_NET -&gt; 192.168.12.2 port 65525:65529<br>&gt;# <br>&gt;#... <br>&gt;# <br>&gt;pass out on { ng0 ng1 ng2 ng3 ng4 ng5 } inet <br>&gt;all keep state tagged EXT_NET <br><br>А можна поподробнее и весь конфиг ПЛЗ<br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#14 Fri, 05 Dec 2008 12:38:27 GMT &gt;freebsd# pfctl -sn <br>&gt;nat on tun0 inet from 10.0.0.253 to any -&gt; Внешний АЙПИ<br>&gt;rdr pass on tun0 inet proto gre all -&gt; 10.0.0.254<br><br>почему nat разрешён только для 10.0.0.253 ?<br>и через что 10.0.0.254 обшается с внешним миром ?<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#13 Fri, 05 Dec 2008 12:31:23 GMT gre-траффик пробрасывтаь не надо, надо разрешить gre-траффик между pptp-сервером и pptp-клиентом.<br>&gt;[оверквотинг удален]<br>&gt;&gt;pass quick on $int_if <br>&gt;<br>&gt;я вот так делаю и работает: <br>&gt;<br>&gt;rdr on $ext_if inet proto tcp from any to ($ext_if) port 65525:65529 tag EXT_NET -&gt; 192.168.12.2 port 65525:65529<br>&gt;# <br>&gt;#... <br>&gt;# <br>&gt;pass out on { ng0 ng1 ng2 ng3 ng4 ng5 } inet <br>&gt;all keep state tagged EXT_NET <br><br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#12 Fri, 05 Dec 2008 12:24:09 GMT &gt;[оверквотинг удален]<br>&gt;1533, 8888, 1352, 1723, 25, 80, 4090 } keep state <br>&gt;<br>&gt;pass in on $ext_if inet proto tcp from any to $ext_if \ <br>&gt;<br>&gt; port { 22, 113 <br>&gt;} flags S/SA keep state <br>&gt;<br>&gt;pass in inet proto icmp all icmp-type echoreq keep state <br>&gt;<br>&gt;pass quick on $int_if <br><br>я вот так делаю и работает:<br><br>rdr on $ext_if inet proto tcp from any to ($ext_if) port 65525:65529 tag EXT_NET -&gt; 192.168.12.2 port 65525:65529<br>#<br>#...<br>#<br>pass out on { ng0 ng1 ng2 ng3 ng4 ng5 } inet all keep state tagged EXT_NET<br><br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#11 Fri, 05 Dec 2008 12:18:06 GMT &gt;[оверквотинг удален]<br>&gt;antispoof quick for { lo, $int_if } inet <br>&gt;<br>&gt;pass in on $ext_if inet proto tcp from any to $ext_if \ <br>&gt;<br>&gt; port { 22, 113 <br>&gt;} flags S/SA keep state <br>&gt;<br>&gt;pass in inet proto icmp all icmp-type echoreq keep state <br>&gt;<br>&gt;pass quick on $int_if <br><br>Выложу заново конфиг:<br><br>#макросы<br>ext_if="tun0"<br>int_if="fxp0"<br>#опции<br><br>set block-policy return<br>set loginterface $ext_if<br><br>set skip on lo<br><br>#нормализация траффика<br><br>scrub in<br><br>#NAT<br><br>nat on $ext_if from $int_if to any -&gt; $ext_if<br><br>#проброс портов<br>rdr on $ext_if proto gre from any to $ext_if -&gt; 10.0.0.254<br>rdr on $ext_if proto tcp from any to $ext_if port { 3389, 1494, 1533, 8888, 1352, 1723, 25, 80, 4090 } -&gt; 10.0.0.254<br><br>#фильтрация<br>block in all<br><br>pass out keep state<br><br>antispoof quick for { lo, $int_if } inet<br><br>pass in on $ext_if inet proto tcp from any to $ext_if \<br> port { 3389, 1494, 1533, 8888, 1352, 1723, 25, 80, 4090 } keep state<br><br>pass in on $ext_if inet proto tcp from any to $ext_if \<br> port { 22 https://slinkov.ru/openforum/vsluhforumID1/83215.html#10 Fri, 05 Dec 2008 12:16:53 GMT &gt;кроме 1723 порта нужно еще пробросить gre протокол, который не дружит с <br>&gt;pf. Корректно с ним работает только (по моему) только ipfw. <br><br>пробросил :<br><br>rdr on $ext_if proto gre from any to $ext_if -&gt; 10.0.0.254<br><br>НЕ РАБОТАЕТ ((((( уже не знаю где копать....<br> https://slinkov.ru/openforum/vsluhforumID1/83215.html#9 Fri, 05 Dec 2008 12:07:17 GMT кроме 1723 порта нужно еще пробросить gre протокол, который не дружит с pf. Корректно с ним работает только (по моему) только ipfw.<br>