https://www.opennet.ru/openforum/vsluhforumID1/88878.html Здрасьте всем. <br>От старого админа достался прокси-сервер на FreeBSD 6.1, поднят squid 2.6, с FreeBSD я столкнулся первый раз в жизни.<br>Перестало работать RDP соединение у директора из дома на рабочий компьютер. При запуске команда netstate -a показывает что RDP открыт, но соединение с домашнего компа не проходит.<br>Где искать подскажите, или может есть готовые решения для "фри", тогда ткните носом...<br><br>P.S. запущены какие то unixgate-ы и nat.d (насколько я понимаю они используются для перенаправления из внешней сети по внутренним адресам) но как они настраиваются не нашел (((<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#27 Fri, 14 May 2010 10:20:20 GMT &gt;Всем спасибо. <br>&gt;Проблема решилась написанием: <br>&gt;./unixgate 3389 192.168.1.9 3389 & <br>&gt;<br>&gt;Тему можно закрывать <br><br>Вы не моглибы показать содержимое этого файла? А то гугл о существовании такой программы не знает...<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#26 Fri, 14 May 2010 03:08:19 GMT Всем спасибо. <br>Проблема решилась написанием:<br>./unixgate 3389 192.168.1.9 3389 &<br><br>Тему можно закрывать<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#25 Tue, 11 May 2010 23:01:28 GMT em1 внутренний интерфейс<br>em0 внешний интерфейс<br>/etc/natd.conf<br>..<br>same_ports yes<br>interface em0<br>use_sockets yes<br>unregistered_only yes<br><br>..<br>redirect_port tcp 192.168.1.149:3389 3389<br>..<br>-------------<br>Для того, чтобы правила не терялись - пропиши их в файле /etc/rc.firewall.local (так у меня)<br><br>ipfw show:<br>.....<br>10000 divert 8668 ip from any to ВНЕШНИЙ_ИП in via em0<br>10100 divert 8668 ip from 192.168.1.0/24 to any out via em0<br>...<br>10200 allow tcp from any to 192.168.1.149 dst-port 3389 in recv em0<br>10300 allow tcp from any to 192.168.1.149 dst-port 3389 out via em1<br>...<br>Почему natd два правила? Честно - не знаю, но с одним "any to any" были тормоза на исходящий трафик, даже в шелле.<br>Делаешь этот конфиг, перезапускаешь natd и должно работать.<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#24 Tue, 11 May 2010 10:31:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;allow tcp from any to хост_RDP dst-port 3389 <br>&gt;&gt;- располагаясь до правила с divert, оно не принесет вреда так как <br>&gt;&gt;адрес назначения до divert еще публичный и оно работать на внешнем <br>&gt;&gt;интерфейсе до divert не будет <br>&gt;<br>&gt;Нет, вы определенно не обладаете должной мерой параноидальности :))) <br>&gt;Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети <br>&gt;провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от <br>&gt;себя в вашу серую сеть? Конечно может :)) Так что никакого <br>&gt;публичного адреса там не будет. <br><br>Провайдер может, только только, можно еще до нат поместить правила<br>deny log logamount 1 ip from any to 192.168.0.0/16 in<br>deny log logamount 1 ip from any to 172.16.0.0/12 in<br>deny log logamount 1 ip from any to 10.0.0.0/8 in<br><br>&gt;Но поскольку остальные пакетики на этот порт мы публикуем в нате, <br>&gt;то это правило лишнее. <br>&gt;Более того, в обратную сторону ответный пакет пойдет через нат.. и связь <br>&gt;на этом прервется. Может с таком случае это https://www.opennet.ru/openforum/vsluhforumID1/88878.html#23 Tue, 11 May 2010 09:17:16 GMT &gt;[оверквотинг удален]<br>&gt;строка дениинкомингс-обязательна,иначеваш файрвол ничего не зафайрволит <br>&gt;<br>&gt;Но есть одно обстоятельство: у вас странные строчки в файрволе... Доблирующие друг <br>&gt;друга правила, ссылки указывающие в никуда... вероятно какието строчки исчезли... некоторые <br>&gt;строчки вобще безсмысленны...а стандартно нужных- не хватает... <br>&gt;Не исключено что в вашем сервере еще много сюрпризов. <br>&gt;<br>&gt;На самом деле лучше всего сделеать трасировку прохождения пакетов через файрвол (просмотреть <br>&gt;глазами логи проследив какой пакетик куда не дошел) но для этого <br>&gt;у вас вероятно нет опыта. <br><br>RDP из локалки работает замечательно... снаружи никак<br>nat.d не работает совершенно....<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#22 Fri, 07 May 2010 05:52:08 GMT &gt;а поспорим? <br>&gt;allow tcp from any to хост_RDP dst-port 3389 <br>&gt;- располагаясь до правила с divert, оно не принесет вреда так как <br>&gt;адрес назначения до divert еще публичный и оно работать на внешнем <br>&gt;интерфейсе до divert не будет <br><br>Нет, вы определенно не обладаете должной мерой параноидальности :)))<br>Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от себя в вашу серую сеть? Конечно может :)) Так что никакого публичного адреса там не будет. <br>Но поскольку остальные пакетики на этот порт мы публикуем в нате, то это правило лишнее.<br>Более того, в обратную сторону ответный пакет пойдет через нат.. и связь на этом прервется. Может с таком случае это правило тут безвредно? Нет, не безвредно. <br>Его можно использовать чтобы задосить машинку с РДП. Это потенциальная "трудно-обнаруживаемая дыра".<br><br>Вобщем размещать это правило до ната- безсмысленно и зловредно.<br><br>&gt;- располагаясь после правила с divert, пакет подпада https://www.opennet.ru/openforum/vsluhforumID1/88878.html#21 Fri, 07 May 2010 05:47:45 GMT а поспорим?<br>allow tcp from any to хост_RDP dst-port 3389 <br>- располагаясь до правила с divert, оно не принесет вреда так как адрес назначения до divert еще публичный и оно работать на внешнем интерфейсе до divert не будет<br>- располагаясь после правила с divert, пакет подпадает под правило и пропускается<br>- при этом стоит заметить, что такой пакет после правила divert считается все еще входящим для внешнего интерфейса.<br>- повторюсь или другое пропускающее правило.<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#20 Fri, 07 May 2010 05:23:52 GMT &gt;&gt;&gt;Возможно нужно добавить разрешающее правило в ipfw <br>&gt;&gt;<br>&gt;&gt;это ipfw show <br>&gt;<br>&gt;192.168.1.24 это не машина с рдп случаем? <br>&gt;<br><br>192.168.1.24 это машина с файл-сервером, но на нем тоже терминалы пашут. а проброс на машину 192.168.1.9<br> https://www.opennet.ru/openforum/vsluhforumID1/88878.html#19 Fri, 07 May 2010 05:18:03 GMT &gt;<br>&gt;&gt;сложно приведенную команду в консоль скопипастить??? <br>&gt;&gt;sockstat <br>&gt;&gt;sockstat &#124; grep 3386 <br>&gt;<br>&gt;порт для рдп - 3389 :) <br><br>епта описка ))<br>топикстартер ввел в заблуждение ))<br>