The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Ну не пойму я этот NAT...."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 07-Окт-04, 18:29  (MSK)
Просьба на маны и прочие руководства не отсылать, т.к. перечитано всего туева хуча. Каким образом файрвол пускает на определенные порты, если изначально файрвол в состоянии "закрыто все" и стоит NAT?
Поясню. Взять например сервер ICQ. Серверный порт у него 5190, клиентский - любой. Клиент, сидя в локалке, для настройки аськи не указывает ничего специфического, т.е. его натом кидает на порт сервера ICQ.

А проблема у меня в следующем. Есть некая софтина, в настройках которой указывается адрес сервера и порт. Сервер для етой софтины висит на порту 65501. Пробую настраивать - неработает. Что нужно прописать на файрволе, чтобы эта собака заработала?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Ну не пойму я этот NAT...."
Сообщение от hatta Искать по авторуВ закладки(ok) on 07-Окт-04, 18:34  (MSK)
А это у вас какая система? Судя по терминологии - FreeBSD, не так ли? Потом, еще вопрос, у вас там не работает сервер или клиент?
В общем, попробуйте напр. поставить keep-state.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 07-Окт-04, 18:45  (MSK)
>А это у вас какая система? Судя по терминологии - FreeBSD, не
>так ли? Потом, еще вопрос, у вас там не работает сервер
>или клиент?
>В общем, попробуйте напр. поставить keep-state.

FreeBSD.
Сервер или клиент чего или кого?
keep-state для какого правила ставить?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Ну не пойму я этот NAT...."
Сообщение от mezantrop emailИскать по авторуВ закладки(??) on 07-Окт-04, 19:21  (MSK)
>>А это у вас какая система? Судя по терминологии - FreeBSD, не
>>так ли? Потом, еще вопрос, у вас там не работает сервер
>>или клиент?
>>В общем, попробуйте напр. поставить keep-state.
>
>FreeBSD.
>Сервер или клиент чего или кого?
>keep-state для какого правила ставить?
Уважаемый reticon, немогли бы Вы сформулировать вопрос точнее, потому что это Вам виднее клиент у Вас не работает или сервер.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 07-Окт-04, 19:40  (MSK)
>>>А это у вас какая система? Судя по терминологии - FreeBSD, не
>>>так ли? Потом, еще вопрос, у вас там не работает сервер
>>>или клиент?
>>>В общем, попробуйте напр. поставить keep-state.
>>
>>FreeBSD.
>>Сервер или клиент чего или кого?
>>keep-state для какого правила ставить?
>Уважаемый reticon, немогли бы Вы сформулировать вопрос точнее, потому что это Вам
>виднее клиент у Вас не работает или сервер.

Не могу из локальной сети подключится на сервер (в интернете) на его порт 65501. Сервер работает. Из другого города на него подключаются. Сдесь же этот NAT меня задолюал. Заранее сорри за вопрос который у многих уже в печенках сидит...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Ну не пойму я этот NAT...."
Сообщение от hatta Искать по авторуВ закладки(ok) on 07-Окт-04, 20:08  (MSK)
если не вру с синтаксисом ipfw, то что-то в этом роде:
ipfw add allow tcp from me to SERVER 65501 keep-state
и надо разрешить соединения с сохраненным state
ipfw add check-state - это где-нибудь в начале
и еще, у вас NAT настроен через natd или ipfw?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 07-Окт-04, 20:22  (MSK)
>если не вру с синтаксисом ipfw, то что-то в этом роде:
>ipfw add allow tcp from me to SERVER 65501 keep-state

хорошо, это попробую...

>и надо разрешить соединения с сохраненным state
>ipfw add check-state - это где-нибудь в начале

это обязательно?

>и еще, у вас NAT настроен через natd или ipfw?

natd


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Ну не пойму я этот NAT...."
Сообщение от hatta Искать по авторуВ закладки(ok) on 07-Окт-04, 20:35  (MSK)

>>ipfw add check-state - это где-нибудь в начале
>
>это обязательно?
да, это правило должно быть одним из первых, оно активирует динамически созданное keep-state'ом правило. Подробнее man ipfw.
>
>>и еще, у вас NAT настроен через natd или ipfw?
>
>natd

Просто я думал, что если у вас ipfw divert, то можно поиграться его расположением тоже.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 07-Окт-04, 21:12  (MSK)
>Просто я думал, что если у вас ipfw divert, то можно поиграться
>его расположением тоже.

ну правила диверта в rc.firewall у меня тоже есть, это естественно, без этого не будет работать :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Ну не пойму я этот NAT...."
Сообщение от Loky emailИскать по авторуВ закладки on 08-Окт-04, 09:57  (MSK)
>если не вру с синтаксисом ipfw, то что-то в этом роде:
>ipfw add allow tcp from me to SERVER 65501 keep-state
>и надо разрешить соединения с сохраненным state
>ipfw add check-state - это где-нибудь в начале
>и еще, у вас NAT настроен через natd или ipfw?

я бы сделал по другому (не люблю когда комп сам решает как ему поступить)

#разрешаем любые исходящие пакеты с нашей машины на порт 65501 сервера выходящие через вненший интерфейс
ipfw add allow tcp from me to <server address> 65501 out xmit <external interface>
#разрешаем пакеты установленного соединения с порта 65501 удаленного сервера входящие на внешний интерфейс
ipfw add allow tcp from <server address> 65501 to me in recv <external interface> established

Вобщем дело вкуса. Хошь - жестко правила прописывай, хошь - юзай keep-state, хот я бы не рекомендовал (имхо для ленивых это :).
И еще. Настоятельно рекомендую все таки изучить стек протокола IP. Много, очень много встанет на свои места :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Ну не пойму я этот NAT...."
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Окт-04, 10:10  (MSK)
для начала
ipfw l
далее клиент соединяется с сервером,
- сервер ждет соединения с любого порта клиента?
- сервер не инициирует какие либо соедиенния на клиента на определенный порт, как это происходит в активном режиме ftp?

Если изначально стоит запретить все и стоит фаерволл, никаких соеднений не будет. Не придумывай.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Ну не пойму я этот NAT...."
Сообщение от Loky emailИскать по авторуВ закладки on 08-Окт-04, 11:12  (MSK)
>для начала
>ipfw l
>далее клиент соединяется с сервером,
>- сервер ждет соединения с любого порта клиента?
>- сервер не инициирует какие либо соедиенния на клиента на определенный порт,
>как это происходит в активном режиме ftp?
>
>Если изначально стоит запретить все и стоит фаерволл, никаких соеднений не будет.
>Не придумывай.

Я уважаю Ваше мнение, вопросы справедливы, но я и ничего не придумываю.
Это всего лишь фрагмент варианта решения на предмет поставленной проблемы. В общем случае будет работать. Писать полный вариант настойки ipfw у меня нет ни времени ни желания.
С какого порта ждет соединение сервер - нам глубоко фиолетово, но если есть конкретное значение, то это всего лишь ужесточит текущие правила.
Про установку встречного соединения в постановке проблемы ничего сказано не было, так что придумываете Вы.
Если по-умолчанию стоить запретить все, то автоматически добавляется правило ipfw add deny all под номером 65535. Все что добавляется админом уже имеет заведомо меньший номер и проверяется раньше.

С уажением. Всего хорошего.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Ну не пойму я этот NAT...."
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 08-Окт-04, 11:29  (MSK)
Loky.
Это все не к тебе.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Ну не пойму я этот NAT...."
Сообщение от Loky emailИскать по авторуВ закладки on 08-Окт-04, 11:38  (MSK)
>Loky.
>Это все не к тебе.

Извини пжста! :)
Без цитирования непонятно :)
С меня пиво за моральный ущерб! :)))))))))))
Heineken пьешь?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 11-Окт-04, 12:52  (MSK)
это все понятно....
я про другое. почему в одних случаях не надо ничего настраивать (например, для ICQ) а в других надо?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Ну не пойму я этот NAT...."
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 11-Окт-04, 12:54  (MSK)
А в каких случаях надо?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Ну не пойму я этот NAT...."
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 11-Окт-04, 12:57  (MSK)
Подумай об отпуске...
Клиентская программа так устроена. В ней загнано, что надо установить соединение с таким то сервером по такому то порту. Поэтому пользователю не надо не о чем думать.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 11-Окт-04, 13:26  (MSK)
>Подумай об отпуске...
>Клиентская программа так устроена. В ней загнано, что надо установить соединение с
>таким то сервером по такому то порту. Поэтому пользователю не надо
>не о чем думать.

да. ладно... вопрос снят...

кстати, скоро отпуск :)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Ну не пойму я этот NAT...."
Сообщение от reticon emailИскать по авторуВ закладки(??) on 11-Окт-04, 12:58  (MSK)
>А в каких случаях надо?

например, в том, который я в начале описал, с портом 65501

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру