forum.opennet.ru - "fwd в ipfw" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"fwd в ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"fwd в ipfw"
Сообщение от roos (ok) on 12-Окт-05, 16:49 (MSK)
Привет непонятка по ipfw точнее его функции fwd: не хочет форвардить пакеты на внешние адресса (только на интерфесы самого сервера), никакие правила не закрывают, фаервол делает только форвард и NAT. Например он замечательно заворачивает http трафик на прокси, а вот зафорвардить с одного внешнего pop3 на другой внешний сервер не получается чтоб не бегать у юзверей не менять ПОП3 сервер в почтовых клиентах. У меня подозрение что это он так с натом работает стоит freebsd 4.11
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

fwd в ipfw, Nimdar, 17:06 , 12-Окт-05, (1)
- fwd в ipfw, roos, 17:15 , 12-Окт-05, (2)
  - fwd в ipfw, Nimdar, 17:17 , 12-Окт-05, (4)
    - fwd в ipfw, roos, 17:32 , 12-Окт-05, (6)
fwd в ipfw, miha_nax, 17:16 , 12-Окт-05, (3)
- fwd в ipfw, roos, 17:26 , 12-Окт-05, (5)
  - fwd в ipfw, iasb, 17:38 , 12-Окт-05, (7)
    - fwd в ipfw, roos, 18:21 , 12-Окт-05, (8)
      - fwd в ipfw, iasb, 15:25 , 13-Окт-05, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "fwd в ipfw"

Сообщение от Nimdar (ok) on 12-Окт-05, 17:06  (MSK)

man ipfw
fwd ipaddr[,port]
                     Change the next-hop on matching packets to ipaddr, which
                     can be an IP address in dotted quad or a host name.  If
                     ipaddr is not a directly-reachable address, the route as
                     found in the local routing table for that IP is used
                     instead.  If ipaddr is a local address, then on a packet
                     entering the system from a remote host it will be
                     diverted to port on the local machine, keeping the local
                     address of the socket set to the original IP address the
                     packet was destined for.  This is intended for use with
                     transparent proxy servers.  If the IP is not a local
                     address then the port number (if specified) is ignored
                     and the rule only applies to packets leaving the system.
                     This will also map addresses to local ports when packets
                     are generated locally.  The search terminates if this
                     rule matches.  If the port number is not given then the
                     port number in the packet is used, so that a packet for
                     an external machine port Y would be forwarded to local
                     port Y.  The kernel must have been compiled with the
                     IPFIREWALL_FORWARD option.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "fwd в ipfw"

Сообщение от roos (ok) on 12-Окт-05, 17:15  (MSK)

>man ipfw
>
>fwd ipaddr[,port]
>
>         Change the
>next-hop on matching packets to ipaddr, which
>
>         can be
>an IP address in dotted quad or a host name.
>If
>
>         ipaddr is
>not a directly-reachable address, the route as
>
>         found in
>the local routing table for that IP is used
>
>         instead.
>If ipaddr is a local address, then on a packet
>
Я первым делом это читал
>         entering the
>system from a remote host it will be
>
>         diverted to
>port on the local machine, keeping the local
>
>         address of
>the socket set to the original IP address the
>
>         packet was
>destined for.  This is intended for use with
>
>         transparent proxy
>servers.  If the IP is not a local
>
>         address then
>the port number (if specified) is ignored
>
>         and the
>rule only applies to packets leaving the system.
>
>         This will
>also map addresses to local ports when packets
>
>         are generated
>locally.  The search terminates if this
>
>         rule matches.
> If the port number is not given then the
>
>         port number
>in the packet is used, so that a packet for
>
>         an external
>machine port Y would be forwarded to local
>
>         port Y.
> The kernel must have been compiled with the
>
>         IPFIREWALL_FORWARD option.
>

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "fwd в ipfw"

Сообщение от Nimdar (ok) on 12-Окт-05, 17:17  (MSK)

Первым делом надо читать все!
>If the IP is not a local address then the port number (if specified) is ignored and the
> rule only applies to packets leaving the system.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "fwd в ipfw"

Сообщение от roos (ok) on 12-Окт-05, 17:32  (MSK)

>Первым делом надо читать все!
>
>>If the IP is not a local address then the port number (if specified) is ignored and the
>> rule only applies to packets leaving the system.
Ну превожу:
Если адрес не является локальным, тогда номер порта(если указан) -игнорируется и правило применятся к пакетам покидающим систему.
И что вы хотели этим сказать? Что если указан порт назначения -то он игнорируется? Ну так я понимаю что етот самий порт тогда берется из пакета попавшего в правило ,а он 110 -я то
отлавливаю ,к примеру, все пакеты идушие наружу к серверу на 110 порт и форваржу на другой внешний адресс

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "fwd в ipfw"

Сообщение от miha_nax (ok) on 12-Окт-05, 17:16  (MSK)

>Привет непонятка по ipfw точнее его функции fwd:
>не хочет форвардить пакеты на внешние адресса (только на интерфесы самого сервера),
>
>никакие правила не закрывают, фаервол делает только форвард и NAT.
>Например он замечательно заворачивает http трафик на прокси, а вот зафорвардить с
>одного внешнего pop3 на другой внешний сервер не получается чтоб не
>бегать у юзверей не менять ПОП3 сервер в почтовых клиентах.
>
>У меня подозрение что это он так с натом работает
>стоит freebsd 4.11
А вообще, что бы по пользователям не бегать - сделай адресс сервера не в виде ip, а в виде имени хоста. Гораздо проще менять DNS, чем бегать по компам или придумывать новое правило фаерволла :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "fwd в ipfw"

Сообщение от roos (ok) on 12-Окт-05, 17:26  (MSK)

>>Привет непонятка по ipfw точнее его функции fwd:
>>не хочет форвардить пакеты на внешние адресса (только на интерфесы самого сервера),
>>
>>никакие правила не закрывают, фаервол делает только форвард и NAT.
>>Например он замечательно заворачивает http трафик на прокси, а вот зафорвардить с
>>одного внешнего pop3 на другой внешний сервер не получается чтоб не
>>бегать у юзверей не менять ПОП3 сервер в почтовых клиентах.
>>
>>У меня подозрение что это он так с натом работает
>>стоит freebsd 4.11
>
>А вообще, что бы по пользователям не бегать - сделай адресс сервера
>не в виде ip, а в виде имени хоста. Гораздо проще
>менять DNS, чем бегать по компам или придумывать новое правило фаерволла
>:)

ПОП3 сервер внешний , переезжает на новый адрес, у людей он прописан по разному(адресом, именем- это делали до меня), вот я и хочу ПОП3 пакеты идущие на старый адрес форвардить на новый. Вопрос ведь не в том что лучше , а в том что уже имеем. Мне нужно именно зафорвардить поп3 пакети с одного адреса на другой!!!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "fwd в ipfw"

Сообщение от iasb (??) on 12-Окт-05, 17:38  (MSK)

топорно сделал через sysutils/socket - и все что на внешний интерфейс(ы) приходит - валится на любой интранетовский сервак - и в локалке и через VtunD - в другую локалку - ему пофигу. Единственное - какое-то время держит сессии незакрытыми, но они сами потом нормально закрываются со временем.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "fwd в ipfw"

Сообщение от roos (ok) on 12-Окт-05, 18:21  (MSK)

>топорно сделал через sysutils/socket - и все что на внешний интерфейс(ы) приходит
>- валится на любой интранетовский сервак - и в локалке и
>через VtunD - в другую локалку - ему пофигу. Единственное -
>какое-то время держит сессии незакрытыми, но они сами потом нормально закрываются
>со временем.
Может я не понял но аналогичного ефекта можна достичь с помощью NATD
Но мне кажется что это не относится к описаной задаче.
Мне ну жно исходу чем то переписывать адрес назначения в заголовке(добится переадресации)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "fwd в ipfw"

Сообщение от iasb (??) on 13-Окт-05, 15:25  (MSK)

Тоесть если по русски - надо сделать так, чтобы ящик анализировал трафик и если вылавливал пакет с IP-старый-POP/110 то переруливал бы его на IP-новый-POP/110 ?  Если так - то ты золото для банковских мошенников.
А если серьезно - я не развлекался бы с IPFW - поставил бы у себя на приходящем интерфейсе (в сторону пользователей) алиас на старый адрем POP и сделал бы все через socket

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "fwd в ipfw"
Сообщение от Nimdar (ok) on 12-Окт-05, 17:06 (MSK)
man ipfw fwd ipaddr[,port] Change the next-hop on matching packets to ipaddr, which can be an IP address in dotted quad or a host name. If ipaddr is not a directly-reachable address, the route as found in the local routing table for that IP is used instead. If ipaddr is a local address, then on a packet entering the system from a remote host it will be diverted to port on the local machine, keeping the local address of the socket set to the original IP address the packet was destined for. This is intended for use with transparent proxy servers. If the IP is not a local address then the port number (if specified) is ignored and the rule only applies to packets leaving the system. This will also map addresses to local ports when packets are generated locally. The search terminates if this rule matches. If the port number is not given then the port number in the packet is used, so that a packet for an external machine port Y would be forwarded to local port Y. The kernel must have been compiled with the IPFIREWALL_FORWARD option.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "fwd в ipfw"
	Сообщение от roos (ok) on 12-Окт-05, 17:15 (MSK)
	>man ipfw > >fwd ipaddr[,port] > > Change the >next-hop on matching packets to ipaddr, which > > can be >an IP address in dotted quad or a host name. >If > > ipaddr is >not a directly-reachable address, the route as > > found in >the local routing table for that IP is used > > instead. >If ipaddr is a local address, then on a packet > Я первым делом это читал > entering the >system from a remote host it will be > > diverted to >port on the local machine, keeping the local > > address of >the socket set to the original IP address the > > packet was >destined for. This is intended for use with > > transparent proxy >servers. If the IP is not a local > > address then >the port number (if specified) is ignored > > and the >rule only applies to packets leaving the system. > > This will >also map addresses to local ports when packets > > are generated >locally. The search terminates if this > > rule matches. > If the port number is not given then the > > port number >in the packet is used, so that a packet for > > an external >machine port Y would be forwarded to local > > port Y. > The kernel must have been compiled with the > > IPFIREWALL_FORWARD option. >
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "fwd в ipfw"
	Сообщение от Nimdar (ok) on 12-Окт-05, 17:17 (MSK)
	Первым делом надо читать все! >If the IP is not a local address then the port number (if specified) is ignored and the > rule only applies to packets leaving the system.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "fwd в ipfw"
	Сообщение от roos (ok) on 12-Окт-05, 17:32 (MSK)
	>Первым делом надо читать все! > >>If the IP is not a local address then the port number (if specified) is ignored and the >> rule only applies to packets leaving the system. Ну превожу: Если адрес не является локальным, тогда номер порта(если указан) -игнорируется и правило применятся к пакетам покидающим систему. И что вы хотели этим сказать? Что если указан порт назначения -то он игнорируется? Ну так я понимаю что етот самий порт тогда берется из пакета попавшего в правило ,а он 110 -я то отлавливаю ,к примеру, все пакеты идушие наружу к серверу на 110 порт и форваржу на другой внешний адресс
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "fwd в ipfw"
Сообщение от miha_nax (ok) on 12-Окт-05, 17:16 (MSK)
>Привет непонятка по ipfw точнее его функции fwd: >не хочет форвардить пакеты на внешние адресса (только на интерфесы самого сервера), > >никакие правила не закрывают, фаервол делает только форвард и NAT. >Например он замечательно заворачивает http трафик на прокси, а вот зафорвардить с >одного внешнего pop3 на другой внешний сервер не получается чтоб не >бегать у юзверей не менять ПОП3 сервер в почтовых клиентах. > >У меня подозрение что это он так с натом работает >стоит freebsd 4.11 А вообще, что бы по пользователям не бегать - сделай адресс сервера не в виде ip, а в виде имени хоста. Гораздо проще менять DNS, чем бегать по компам или придумывать новое правило фаерволла :)
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "fwd в ipfw"
	Сообщение от roos (ok) on 12-Окт-05, 17:26 (MSK)
	>>Привет непонятка по ipfw точнее его функции fwd: >>не хочет форвардить пакеты на внешние адресса (только на интерфесы самого сервера), >> >>никакие правила не закрывают, фаервол делает только форвард и NAT. >>Например он замечательно заворачивает http трафик на прокси, а вот зафорвардить с >>одного внешнего pop3 на другой внешний сервер не получается чтоб не >>бегать у юзверей не менять ПОП3 сервер в почтовых клиентах. >> >>У меня подозрение что это он так с натом работает >>стоит freebsd 4.11 > >А вообще, что бы по пользователям не бегать - сделай адресс сервера >не в виде ip, а в виде имени хоста. Гораздо проще >менять DNS, чем бегать по компам или придумывать новое правило фаерволла >:) ПОП3 сервер внешний , переезжает на новый адрес, у людей он прописан по разному(адресом, именем- это делали до меня), вот я и хочу ПОП3 пакеты идущие на старый адрес форвардить на новый. Вопрос ведь не в том что лучше , а в том что уже имеем. Мне нужно именно зафорвардить поп3 пакети с одного адреса на другой!!!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "fwd в ipfw"
	Сообщение от iasb (??) on 12-Окт-05, 17:38 (MSK)
	топорно сделал через sysutils/socket - и все что на внешний интерфейс(ы) приходит - валится на любой интранетовский сервак - и в локалке и через VtunD - в другую локалку - ему пофигу. Единственное - какое-то время держит сессии незакрытыми, но они сами потом нормально закрываются со временем.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "fwd в ipfw"
	Сообщение от roos (ok) on 12-Окт-05, 18:21 (MSK)
	>топорно сделал через sysutils/socket - и все что на внешний интерфейс(ы) приходит >- валится на любой интранетовский сервак - и в локалке и >через VtunD - в другую локалку - ему пофигу. Единственное - >какое-то время держит сессии незакрытыми, но они сами потом нормально закрываются >со временем. Может я не понял но аналогичного ефекта можна достичь с помощью NATD Но мне кажется что это не относится к описаной задаче. Мне ну жно исходу чем то переписывать адрес назначения в заголовке(добится переадресации)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "fwd в ipfw"
	Сообщение от iasb (??) on 13-Окт-05, 15:25 (MSK)
	Тоесть если по русски - надо сделать так, чтобы ящик анализировал трафик и если вылавливал пакет с IP-старый-POP/110 то переруливал бы его на IP-новый-POP/110 ? Если так - то ты золото для банковских мошенников. А если серьезно - я не развлекался бы с IPFW - поставил бы у себя на приходящем интерфейсе (в сторону пользователей) алиас на старый адрем POP и сделал бы все через socket
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]