URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5466
[ Назад ]

Исходное сообщение
"правило ipfw"
Отправлено jimx , 26-Июл-18 16:53

Здравствуйте.
Подскажите пожалуйста правил на ipfw
в ситуации:
есть 2 интерфейса freebsd (лан-ван)
мне надо завернуть все исходящие в мир из внутренней сети и приходящие на ЛАН freebsd все пакеты которые идут на ip в мире x.x.x.x port x
на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой машине
Спасибо

Содержание

правило ipfw,Аноним, 18:59 , 26-Июл-18
- правило ipfw,jimx, 09:21 , 27-Июл-18
  - правило ipfw,Аноним, 09:50 , 27-Июл-18
  - правило ipfw,ann none, 13:34 , 27-Июл-18
- правило ipfw,ыы, 14:00 , 27-Июл-18
  - правило ipfw,Аноним, 14:38 , 27-Июл-18
    - правило ipfw,Аноним, 17:18 , 27-Июл-18
    - правило ipfw,ыы, 18:22 , 28-Июл-18
      - правило ipfw,Аноним, 19:36 , 28-Июл-18
правило ipfw,green, 09:17 , 27-Июл-18

Сообщения в этом обсуждении

"правило ipfw"
Отправлено Аноним , 26-Июл-18 18:59

> мне надо завернуть все исходящие в мир из внутренней сети и приходящие
> на ЛАН freebsd все пакеты которые идут на ip в мире
> x.x.x.x port x
> на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой
> машине
Per rectum ad astra.
Настройте DNS правильно.
Вашим путем теоретически пойти можно, но nat lan-to-lan - это как минимум странно, а в практической реализации еще и криво.

"правило ipfw"
Отправлено jimx , 27-Июл-18 09:21

Да, может быть, спасибо.
Только я рулить той зоной изнутри сети я не могу.
У меня один IP, если с мира я
могу прокинуть соединение на внутреннюю
машину, т.е, кто пришел по VPN обращаясь
к DNS получают честный резольв domen-IP и славненько туда бегут и облом,
потому как я снимаю 443 порт и закидываю внутрь сети для тех, кто пришел снаружи.

"правило ipfw"
Отправлено Аноним , 27-Июл-18 09:50

> Только я рулить той зоной изнутри сети я не могу.
Внутренний DNS настраивайте же!
Его адрес отдавайте в локалку и тем кто ходит по ВПН, да не забудьте про форвардинг наружу всего, что вне вашей локалки.
Если DNS нет - поднимайте, это всяко полезнее, чем извращаться с форвардами на файрволе.

"правило ipfw"
Отправлено ann none , 27-Июл-18 13:34

> Да, может быть, спасибо.
> Только я рулить той зоной изнутри сети я не могу.
> У меня один IP, если с мира я
> могу прокинуть соединение на внутреннюю
> машину, т.е, кто пришел по VPN обращаясь
> к DNS получают честный резольв domen-IP и славненько туда бегут и облом,
> потому как я снимаю 443 порт и закидываю внутрь сети для тех,
> кто пришел снаружи.
ip vpn-server'а и внешний ip который хочется редиректить часом не один и тот же?

"правило ipfw"
Отправлено ыы , 27-Июл-18 14:00

>> мне надо завернуть все исходящие в мир из внутренней сети и приходящие
>> на ЛАН freebsd все пакеты которые идут на ip в мире
>> x.x.x.x port x
>> на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой
>> машине
> Per rectum ad astra.
> Настройте DNS правильно.
> Вашим путем теоретически пойти можно, но nat lan-to-lan - это как минимум
> странно, а в практической реализации еще и криво.
ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...

"правило ipfw"
Отправлено Аноним , 27-Июл-18 14:38

> ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...
Это штатное черезжопство.
Форвардить на шлюзе запросы самому себе, вместо того, чтобы сразу отдать через ДНС нужный адрес? ну если мсье очень хочется странного, то man ipfw ему в руки.

"правило ipfw"
Отправлено Аноним , 27-Июл-18 17:18

> Это штатное черезжопство.
не ну в принципе можно найти пару-тройку-десяток причин делать именно так, хотя по большей части у меня это все было временно и связано с какимито нештатными ситаациями...
И да, выход с днс проще и правильней

"правило ipfw"
Отправлено ыы , 28-Июл-18 18:22

>> ну причем же тут нат? это штатная функциональность - прозрачный форвардинг...
> Это штатное черезжопство.
> Форвардить на шлюзе запросы самому себе, вместо того, чтобы сразу отдать через
> ДНС нужный адрес? ну если мсье очень хочется странного, то man
> ipfw ему в руки.
Я не специалист почерезжопству, но чисто из любопытства- а как вы в этом случае ОБЯЖЕТЕ клиента воспользоваться именно этим адресом? Вы ему отдали новый ip- а он проигнорировал и идет по настоящему...например потому что у него забит ip, или он пользуется собственным DNS.. гугловским например а не вашим...
Что делать будете? Рвать волосы в междужопстве?

"правило ipfw"
Отправлено Аноним , 28-Июл-18 19:36

> Я не специалист почерезжопству, но чисто из любопытства- а как вы
> в этом случае ОБЯЖЕТЕ клиента воспользоваться именно этим адресом? Вы ему
> отдали новый ip- а он проигнорировал и идет по настоящему...например потому
> что у него забит ip,
пользуешься прибитыми гвоздями ip - значит или понимаешь что к чему и не будешь истерить не проведя элеметарных проверок и не сложив 2 и 2, ну или ты ССЗБ.
> или он пользуется собственным DNS.. гугловским
> например а не вашим...
але, папаша, прочтите условие задачи /*внимательно/*... ч
ел хочет заруливать юзеров из /*локалки/* топчущих на /*внешний/* адрес на сервак в /*локалке/* куда вы с гуглами, ваши не лезут...

"правило ipfw"
Отправлено green , 27-Июл-18 09:17

> Здравствуйте.
> Подскажите пожалуйста правил на ipfw
> в ситуации:
> есть 2 интерфейса freebsd (лан-ван)
> мне надо завернуть все исходящие в мир из внутренней сети и приходящие
> на ЛАН freebsd все пакеты которые идут на ip в мире
> x.x.x.x port x
> на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой
> машине
> Спасибо
man ipfw /forward ( - примерно пятое попадание) кто за вас будет? Хотя, значительно лучше будет с самого начала.
Если с английским совсем туго, начать можно отсюда: https://www.opennet.me/man.shtml?topic=ipfw&category=8&russi.... Но ман своей версии *bsd, всё равно, прочитать потом нужно будет - с момента публикации на сайте могли произойти немаленькие изменения.