The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"freebsd 8.1 ipfw + natd Не могу добавить новое правило divert"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"freebsd 8.1 ipfw + natd Не могу добавить новое правило divert"  +/
Сообщение от dr_buben (ok) on 15-Сен-11, 01:31 
Господа, столкнулся с непонятной на данный момент для меня проблемой.
Есть работающий под freebsd 8.1 шлюз.
Работа с ipfw и natd организована следующим образом:
в /usr/local/etc/rc.d/ размещены три файла:
000.firewall.tables.sh - таблицы IP адресов с разным уровнем ограничений
001.natd.sh - применение настроек nat
002.firewall.sh - настройка firewall

С этим хозяйством я работаю давно, проблем не возникало, файрвол настраивается без каких либо проблем, в natd настроен редирект порта с внешнего IP на внутренний для exchange 2003 owa.
Был настроен второй сервер exchange 2010, для которого понадобилось тоже пробросить вебинтерфейс. Все сделал по аналогии:
В 001.natd.sh прописано следующее:
# mail
#Старый работающий сервер
/sbin/natd -dynamic yes -a X.X.X.140 -p 8676 -u -m yes -s yes -redirect_port tcp 10.0.0.20:443 443 -redirect_port tcp 10.0.0.20:143 143
#Новый сервер
/sbin/natd -dynamic yes -a X.X.X.141 -p 8677 -u -m yes -s yes -redirect_port tcp 10.0.0.21:443 443 -redirect_port tcp 10.0.0.21:143 143

В 002.firewall.sh добавлено это:
# mail
${fwcmd} add divert 8676 ip from table\(19\) to any out via ${oif}
${fwcmd} add divert 8676 ip from any to X.X.X.140 in via ${oif}

# mail2
${fwcmd} add divert 8677 ip from table\(19\) to any out via ${oif}
${fwcmd} add divert 8677 ip from any to X.X.X.141 in via ${oif}

В таблицу 19 добавлен IP адрес нового сервера.
ipfw show показывает следующее:

00750   1107    118583 divert 8676 ip from table(19) to any out via em0
00760   1559    204820 divert 8676 ip from any to X.X.X.140 in via em0
00770      0         0 divert 8677 ip from table(19) to any out via em0
00780     21      1080 divert 8677 ip from any to X.X.X.141 in via em0

IP адрес X.X.X.141 прекрасно пингуется извне, но порты закрыты.
Проброс портов не работает.
Но самое странное - если убрать настройку базового почтового сервера и прописать в правило для старого owa IP адрес нового owa, то все прекрасно работает, т.е. 8676 работает, 8677 не работает.

Господа, подскажите что и как тут не хватает. Меня эта ситуация уже нервы начинает трепать. Все везде прописано, все везде указано, но проброс портов не работает.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "freebsd 8.1 ipfw + natd Не могу добавить новое правило divert"  +/
Сообщение от hizel (ok) on 15-Сен-11, 10:49 

> 00750   1107    118583 divert 8676 ip from
> table(19) to any out via em0
> 00770      0      
>    0 divert 8677 ip from table(19) to any
> out via em0

если трафик попал в первое правило, то с чего ему идти во второе?
и если он не идет во второе, то с чего ему вообще работать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру