https://mobile.opennet.me/openforum/vsluhforumID1/97525.html Добрый день, Уважаемые.<br>Есть локалка, огорожена забором на FreeBSD 12.1, внутри кроме стандартных MS компов, есть машинка на Линуксе, на которой MySQL база, с которой работают локальные граждане и которая вместе с компом на Линуксе не моя, а внешних подрядчиков. Черный ящик для меня, вообщем. Обычно подрядчики/программисты клиентскую часть обновляли, например, через ТимВьювер, на тестовом MS-компе, а потом я уже этого клиента разносил по локальным гражданам по MS-компам. А тут они попросили сделать им прямой доступ к их серваку на Линуксе, по 22 и 3306 портам. А проброс портов у меня работал, RDP, например, WWW. Щас сделаю, говорю, трубочку не кладите, проверим. Ага... <br>Не вышел каменный цветок у Данилы мастера. Коннекшен рефьюзед, однако.<br>Вообщем, раньше был у меня natD, а тут на "ядрЁный" нат решил перейти. И затык с пробросом портов через фрю на линух. На мs - проброс работает. Есть ещё ньюанс, отличия в работе натД и ядерного. Но это чуть позже.<br>Вообщем, Уважаемые, подскажите, в какую сторону копать, https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#17 Sat, 01 Feb 2020 13:27:21 GMT &gt;&gt; Можно подумать, что между ними есть большая разница <br>&gt; Как раз между ними - очень большая разница. Natd юзерспейсный.<br>&gt; А вот из кернелспейсных есть еще ng_nat.<br><br> В смысле быстродействия, да большая, а в остальном...<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#16 Fri, 31 Jan 2020 18:58:30 GMT &gt; Можно подумать, что между ними есть большая разница <br><br>Как раз между ними - очень большая разница. Natd юзерспейсный.<br>А вот из кернелспейсных есть еще ng_nat.<br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#15 Fri, 31 Jan 2020 18:47:44 GMT <br> Шлюз по умолчанию на нём - это <br>&gt; фря?<br><br>!!! - ТОЧНО !!!! - вот жеж я, блин, совсем про это забыл! Я же сам микротик убрал, что до меня стоял, и вместо него фрю поставил, с заменой айпи и шлюза и днс. Привык, что остальным по днср раздается, а про линукс и не подумал, там наверняка статика прописана изначально, а клиенты по айпи к скульной базе цепляются, им шлюз и днс пофиг. <br>Точно, поэтому проброс и рефьюзит, потому как, ответ отправляется по айпи старого шлюза, а там нет ничего.<br>Точно! - Благодарствую, Уважаемый, многих Вам лет и доброй охоты!<br>Удачи Вам!<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#14 Fri, 31 Jan 2020 18:19:35 GMT Может на линуксе самом блокируется?<br><br>1. Инет на линуксе есть? Шлюз по умолчанию на нём - это фря?<br><br>2.<br>01500 105 12383 allow tcp from мой.домашний.айпи to мой.рабочий.айпи 22,3306,50220 in via re0<br>01600 68 10774 allow tcp from мой.рабочий.айпи 22,3306,50220 to мой.домашний.айпи out via re0<br><br>Эти два правила разрешают пакеты, и получается что если ты стучишься извне на ssh порт, то эти правила отрабатывют и всё, до ната уже не доходит дело. Проверь?<br><br>3. tcpdump'ом погляди что происходит на фре когда долбишься извне на ssh.<br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#13 Fri, 31 Jan 2020 17:14:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt; и вообще, если уж у вас <br>&gt;&gt; нет доступа на их сервак, находящийся в вашей локалке, что подразумевает, <br>&gt;&gt; что они могут делать в вашей локалке все что душа их <br>&gt;&gt; желает, то поднимите для них vpn, хотя бы на базе mpd...<br>&gt; - ставил себе лет несколько назад на 8_ой фре мпд. Вот <br>&gt; и сейчас думаю тоже, а не поставить ли снова? Только вот <br>&gt; тогда они точно всю мою локалку облазить смогут, при их желании, <br>&gt; без проблем. Хотя, скрывать мне нечего, <br>&gt; и не думаю, что в той конторе программистов все сплошь хакеры и <br>&gt; на моих компах будут биткойны майнить, или мне троянов сажать.<br><br> а разве по ssh ничего на линукс нельзя закачать, чтобы потом с этим пойти по вашей сети...<br> Можете выдать клиенту конкретный ip, и правилами файера разрешите доступ с этого ip только к линуксу, а в остальном с него и на него вигвам<br>&gt; Не, я наверно опять на натД вернусь, контора небольшая, порнофильмов не смотрят, <br>&gt; - хватит его по тырнету лазать. Если с ядрЁным не разберусь<br><br> Можно подумат https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#12 Fri, 31 Jan 2020 14:53:39 GMT &gt; Да сделайте редирект с нестандартного порта на стандартный, а ребятишкам скажите <br>&gt; по какому порту им лазать, <br><br> - это как? в правиле редиректа указать порт от балды, например, 1234, и редиректнуть его на реальный 22?<br>А что, надо попробовать.<br><br>&gt; и вообще, если уж у вас <br>&gt; нет доступа на их сервак, находящийся в вашей локалке, что подразумевает, <br>&gt; что они могут делать в вашей локалке все что душа их <br>&gt; желает, то поднимите для них vpn, хотя бы на базе mpd... <br><br> - ставил себе лет несколько назад на 8_ой фре мпд. Вот и сейчас думаю тоже, а не поставить ли снова? Только вот тогда они точно всю мою локалку облазить смогут, при их желании, без проблем. Хотя, скрывать мне нечего, <br>и не думаю, что в той конторе программистов все сплошь хакеры и на моих компах будут биткойны майнить, или мне троянов сажать. <br>Не, я наверно опять на натД вернусь, контора небольшая, порнофильмов не смотрят, - хватит его по тырнету лазать. Если с ядрЁным не разберусь.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#11 Fri, 31 Jan 2020 14:19:56 GMT &gt; а поделитесь выводом ipfw show и ipfw nat show config - а <br>&gt; то бывает, что в файлах конфигурации мы пишем одно, а по <br>&gt; выполнению оных - не совсем тот результат, который хотели <br><br> - выкладываю:<br>00100 0 0 check-state :default<br>00200 74 4818 allow ip from any to any via lo0<br>00300 0 0 deny ip from any to 127.0.0.0/8<br>00400 0 0 deny ip from 127.0.0.0/8 to any<br>00500 0 0 deny ip from any to 10.0.0.0/8 in via re0<br>00600 0 0 deny ip from any to 172.0.0.0/12 in via re0<br>00700 0 0 deny ip from any to 0.0.0.0/8 in via re0<br>00800 0 0 deny ip from any to 169.254.0.0/16 in via re0<br>00900 0 0 deny ip from any to 240.0.0.0/4 in via re0<br>01000 0 0 deny icmp from any to any frag<br>01100 0 0 deny icmp from any to 255.255.255.255 in via re0<br>01200 0 0 deny icmp from any to 255.255.255.255 out via re0<br>01300 185 13562 deny icmp from any to https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#10 Fri, 31 Jan 2020 13:30:14 GMT &gt;&gt; ага. перенаправь 22й порт и отруби себе ноги. делай им снаружи нестандартные <br>&gt;&gt; порты.<br>&gt; Не понял, Уважаемый. На фре своей я сразу 22 порт перебил на <br>&gt; другой, чтоб враги не догадались /шучу/.<br>&gt; Так что ноги целы. Это на линуксе я не могу 22 порт <br>&gt; поменять - правов не имею, это не мой мопед, а подрядчиков. <br>&gt; Вот и думаю, почему? и как?<br><br> Да сделайте редирект с нестандартного порта на стандартный, а ребятишкам скажите по какому порту им лазать, и вообще, если уж у вас нет доступа на их сервак, находящийся в вашей локалке, что подразумевает, что они могут делать в вашей локалке все что душа их желает, то поднимите для них vpn, хотя бы на базе mpd...<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/97525.html#9 Fri, 31 Jan 2020 13:27:29 GMT а поделитесь выводом ipfw show и ipfw nat show config - а то бывает, что в файлах конфигурации мы пишем одно, а по выполнению оных - не совсем тот результат, который хотели<br>