forum.opennet.ru - "port mapping (двойной переброс)" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"port mapping (двойной переброс)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"port mapping (двойной переброс)"		+/–
Сообщение от olegpon2 (ok) on 22-Сен-09, 10:28
Что имеем: локальная сеть 192.168.14.0/24, на 192.168.14.10 находится ФТП-сервер. Для всех ПК шлюз - интерфейс rl1 сервера с ФриБСД (192.168.14.1), внешний интерфейс сервера (192.168.15.2) смотрит на роутер Cisco (с внутренним IP 192.168.15.1). Циска уже смотрит в инет. Зачем мне фактически 2 шлюза - не спрашивайте, так надо :) Когда не было сервера с ФриБСД, на Циске я прописал проброс портов 20, 21 с внешнего IP на 14.168.14.10 (тогда внутренний адрес Циски был 192.168.14.1). После установки сервера с ФриБСД возникла необходимость пробросить порты 20 21 с 192.168.15.2 (а именно туда сейчас Циска кидает трафик, приходящий ей на 20 и 21 порт) на 20 и 21 порт 192.168.14.10 Что я для этого сделал: /etc/rc.conf natd_enable="YES" natd_flags="-f /etc/nard.conf" /etc/nard.conf #rl0 - "внешний" интерфейс сервера ФриБСД interface rl0 same_ports unregistered_only redirect_port tcp 192.168.14.10:20 20 redirect_port tcp 192.168.14.10:21 21 Перезагрузился. Далее добавил правила: /sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0 /sbin/ipfw add allow tcp from any to 192.168.14.10 21 via rl0 В результате при попытке коннекта - "Ошибка в установлении связи" :( Даже пробовал в rc.conf прописать firewall_type="OPEN" (как я понимаю, разрешив любые соединения), результата не получил
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

port mapping (двойной переброс), DN, 12:56 , 22-Сен-09, (1)

port mapping (двойной переброс), olegpon2, 13:13 , 22-Сен-09, (2)

port mapping (двойной переброс), DN, 14:09 , 22-Сен-09, (3)

port mapping (двойной переброс), olegpon2, 14:19 , 22-Сен-09, (4)

port mapping (двойной переброс), olegpon2, 14:56 , 22-Сен-09, (5)
port mapping (двойной переброс), DN, 14:59 , 22-Сен-09, (6)

port mapping (двойной переброс), olegpon2, 15:14 , 22-Сен-09, (7)

port mapping (двойной переброс), DN, 16:01 , 22-Сен-09, (8)

port mapping (двойной переброс), olegpon2, 09:24 , 23-Сен-09, (9)

port mapping (двойной переброс), olegpon2, 12:54 , 23-Сен-09, (10)

port mapping (двойной переброс), olegpon2, 15:28 , 23-Сен-09, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "port mapping (двойной переброс)" +/–

Сообщение от DN (ok) on 22-Сен-09, 12:56

>redirect_port tcp 192.168.14.10:20 20
>redirect_port tcp 192.168.14.10:21 21
>Перезагрузился.
>Далее добавил правила:
>/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0
>/sbin/ipfw add allow tcp from any to 192.168.14.10 21 via rl0
>
>В результате при попытке коннекта - "Ошибка в установлении связи" :(
>Даже пробовал в rc.conf прописать
>firewall_type="OPEN" (как я понимаю, разрешив любые соединения), результата не получил
firewall_type="OPEN"  Вам ничего не даст, нет диверта на natd .
Читайте man natd, опции use_sockets и punch_fw .
redirect_port tcp 192.168.14.10:20 20  надо убрать.
Это правило тоже не верно для active mode .
/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0
А больше информации о правилах ipfw Вы не предоставили.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 22-Сен-09, 13:13

>firewall_type="OPEN"  Вам ничего не даст, нет диверта на natd .
>
>Читайте man natd, опции use_sockets и punch_fw .
>
>redirect_port tcp 192.168.14.10:20 20  надо убрать.
>Это правило тоже не верно для active mode .
>/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0
>
>А больше информации о правилах ipfw Вы не предоставили.
в данный момент:
/sbin/ipfw list
00050 divert 8668 ip4 from any to any via rl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
Вообще, фаерволл на ФриБСД мне не оч. и нужен, он у меня поднят на Циске и отлично там работает.
Я так понимаю, правило 00050 НАТит исходящий трафик, правило 65000 разрешает свободно гулять трафику. Насчет диверта на natd буду читать... "redirect_port tcp 192.168.14.10:20 20  надо убрать" а тогда, собственно, как ФриБСД поймет, куда ей фтп-трафик сливать?
PS ФТП-сервер использует пассивный режим.
PSS спасибо за подсказку насчет диверта натд, как-то сам не подумал сразу

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "port mapping (двойной переброс)" +/–

Сообщение от DN (ok) on 22-Сен-09, 14:09

>
>Вообще, фаерволл на ФриБСД мне не оч. и нужен, он у меня
>поднят на Циске и отлично там работает.
>Я так понимаю, правило 00050 НАТит исходящий трафик, правило 65000 разрешает свободно
И входящий, и исходящий НАТит .
>гулять трафику. Насчет диверта на natd буду читать... "redirect_port tcp 192.168.14.10:20
>20  надо убрать" а тогда, собственно, как ФриБСД поймет, куда
>ей фтп-трафик сливать?
00400 divert 8668 ip4 from any to any via rl0
00050 убрать.
Думаю, что опции use_sockets будет достаточно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 22-Сен-09, 14:19

>00400 divert 8668 ip4 from any to any via rl0
>
>00050 убрать.
>
т.е. просто поменять порядок следования правил? Поясните, пожалуйста, а что это даст в моей ситуации?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 22-Сен-09, 14:56

в /etc/nard.conf добавил use_sockets:
interface rl0
same_ports
use_sockets
unregistered_only
redirect_port tcp 192.168.14.10:20 20
redirect_port tcp 192.168.14.10:21 21
добавил правила:
/sbin/ipfw list
00050 divert 8668 ip4 from any to any via rl0
00100 allow ip from any to any via lo0
00110 allow tcp from any to 192.168.14.10 dst-port 20 via rl0
00120 allow tcp from any to 192.168.14.10 dst-port 21 via rl0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any
ФТП по-прежнему не работает
Unable to connect to FTP server хх.хх.хх.хх on port 21

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "port mapping (двойной переброс)" +/–

Сообщение от DN (ok) on 22-Сен-09, 14:59

>>00400 divert 8668 ip4 from any to any via rl0
>>
>>00050 убрать.
>>
>
>т.е. просто поменять порядок следования правил? Поясните, пожалуйста, а что это даст
>в моей ситуации?
Ничего.
/etc/rc.firewall
...
setup_loopback () {
        ############
        # Only in rare cases do you want to change these rules
        #
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 22-Сен-09, 15:14

глупая мысль.. а может у меня IPFIREWALL_FORWARD в сборке ядра с поддержкой firewall-а не включено?
Но может ерунду говорю, конец рабочего дня всётаки :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "port mapping (двойной переброс)" +/–

Сообщение от DN (ok) on 22-Сен-09, 16:01

>глупая мысль.. а может у меня IPFIREWALL_FORWARD в сборке ядра с поддержкой
>firewall-а не включено?
>Но может ерунду говорю, конец рабочего дня всётаки :)
IPFIREWALL_FORWARD в вашем случае не нужен.
Включите лог и посмотрите, что у Вас не работает.
/sbin/ipfw 65500 add deny log logamount 0 all from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 23-Сен-09, 09:24

>Включите лог и посмотрите, что у Вас не работает.
>/sbin/ipfw 65500 add deny log logamount 0 all from any to any
Добавил /sbin/ipfw 65500 add deny log logamount 0 all from any to any
в rc.conf
firewall_logging="YES"
команда ps waxf | grep syslogd говорит, что сислогд запущен
смотрю /var/log/security - там только 1 строчка, что лог файл создан :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 23-Сен-09, 12:54

пересобрал ядро с опцией IPFIREWALL_DEFAULT_TO_ACCEPT - всёравно ФТП не работает. Так что, думаю, зря я в сторону фаерволла начал копать... наверное какая-нибудь мелочь мешает, типа не те атрибты у какого-нибудь файла (это я просто как пример), вот маппинг портов и не работает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "port mapping (двойной переброс)" +/–

Сообщение от olegpon2 (ok) on 23-Сен-09, 15:28

ЗАРАБОТАЛО!!! 4 рабочих дня не прошли даром :) Спасибо всем за помощь, оказалось ФриБСД с самого начала работала нормально, это фаерволл Циски блокировал трафик (связано с изменением подсети моей локалки).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "port mapping (двойной переброс)"		+/–
Сообщение от DN (ok) on 22-Сен-09, 12:56
>redirect_port tcp 192.168.14.10:20 20 >redirect_port tcp 192.168.14.10:21 21 >Перезагрузился. >Далее добавил правила: >/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0 >/sbin/ipfw add allow tcp from any to 192.168.14.10 21 via rl0 > >В результате при попытке коннекта - "Ошибка в установлении связи" :( >Даже пробовал в rc.conf прописать >firewall_type="OPEN" (как я понимаю, разрешив любые соединения), результата не получил firewall_type="OPEN" Вам ничего не даст, нет диверта на natd . Читайте man natd, опции use_sockets и punch_fw . redirect_port tcp 192.168.14.10:20 20 надо убрать. Это правило тоже не верно для active mode . /sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0 А больше информации о правилах ipfw Вы не предоставили.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 22-Сен-09, 13:13
	>firewall_type="OPEN" Вам ничего не даст, нет диверта на natd . > >Читайте man natd, опции use_sockets и punch_fw . > >redirect_port tcp 192.168.14.10:20 20 надо убрать. >Это правило тоже не верно для active mode . >/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0 > >А больше информации о правилах ipfw Вы не предоставили. в данный момент: /sbin/ipfw list 00050 divert 8668 ip4 from any to any via rl0 00100 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 65000 allow ip from any to any 65535 deny ip from any to any Вообще, фаерволл на ФриБСД мне не оч. и нужен, он у меня поднят на Циске и отлично там работает. Я так понимаю, правило 00050 НАТит исходящий трафик, правило 65000 разрешает свободно гулять трафику. Насчет диверта на natd буду читать... "redirect_port tcp 192.168.14.10:20 20 надо убрать" а тогда, собственно, как ФриБСД поймет, куда ей фтп-трафик сливать? PS ФТП-сервер использует пассивный режим. PSS спасибо за подсказку насчет диверта натд, как-то сам не подумал сразу
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "port mapping (двойной переброс)"		+/–
	Сообщение от DN (ok) on 22-Сен-09, 14:09
	> >Вообще, фаерволл на ФриБСД мне не оч. и нужен, он у меня >поднят на Циске и отлично там работает. >Я так понимаю, правило 00050 НАТит исходящий трафик, правило 65000 разрешает свободно И входящий, и исходящий НАТит . >гулять трафику. Насчет диверта на natd буду читать... "redirect_port tcp 192.168.14.10:20 >20 надо убрать" а тогда, собственно, как ФриБСД поймет, куда >ей фтп-трафик сливать? 00400 divert 8668 ip4 from any to any via rl0 00050 убрать. Думаю, что опции use_sockets будет достаточно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 22-Сен-09, 14:19
	>00400 divert 8668 ip4 from any to any via rl0 > >00050 убрать. > т.е. просто поменять порядок следования правил? Поясните, пожалуйста, а что это даст в моей ситуации?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 22-Сен-09, 14:56
	в /etc/nard.conf добавил use_sockets: interface rl0 same_ports use_sockets unregistered_only redirect_port tcp 192.168.14.10:20 20 redirect_port tcp 192.168.14.10:21 21 добавил правила: /sbin/ipfw list 00050 divert 8668 ip4 from any to any via rl0 00100 allow ip from any to any via lo0 00110 allow tcp from any to 192.168.14.10 dst-port 20 via rl0 00120 allow tcp from any to 192.168.14.10 dst-port 21 via rl0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 65000 allow ip from any to any 65535 deny ip from any to any ФТП по-прежнему не работает Unable to connect to FTP server хх.хх.хх.хх on port 21
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "port mapping (двойной переброс)"		+/–
	Сообщение от DN (ok) on 22-Сен-09, 14:59
	>>00400 divert 8668 ip4 from any to any via rl0 >> >>00050 убрать. >> > >т.е. просто поменять порядок следования правил? Поясните, пожалуйста, а что это даст >в моей ситуации? Ничего. /etc/rc.firewall ... setup_loopback () { ############ # Only in rare cases do you want to change these rules # ${fwcmd} add 100 pass all from any to any via lo0 ${fwcmd} add 200 deny all from any to 127.0.0.0/8 ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any }
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 22-Сен-09, 15:14
	глупая мысль.. а может у меня IPFIREWALL_FORWARD в сборке ядра с поддержкой firewall-а не включено? Но может ерунду говорю, конец рабочего дня всётаки :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "port mapping (двойной переброс)"		+/–
	Сообщение от DN (ok) on 22-Сен-09, 16:01
	>глупая мысль.. а может у меня IPFIREWALL_FORWARD в сборке ядра с поддержкой >firewall-а не включено? >Но может ерунду говорю, конец рабочего дня всётаки :) IPFIREWALL_FORWARD в вашем случае не нужен. Включите лог и посмотрите, что у Вас не работает. /sbin/ipfw 65500 add deny log logamount 0 all from any to any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 23-Сен-09, 09:24
	>Включите лог и посмотрите, что у Вас не работает. >/sbin/ipfw 65500 add deny log logamount 0 all from any to any Добавил /sbin/ipfw 65500 add deny log logamount 0 all from any to any в rc.conf firewall_logging="YES" команда ps waxf \| grep syslogd говорит, что сислогд запущен смотрю /var/log/security - там только 1 строчка, что лог файл создан :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 23-Сен-09, 12:54
	пересобрал ядро с опцией IPFIREWALL_DEFAULT_TO_ACCEPT - всёравно ФТП не работает. Так что, думаю, зря я в сторону фаерволла начал копать... наверное какая-нибудь мелочь мешает, типа не те атрибты у какого-нибудь файла (это я просто как пример), вот маппинг портов и не работает
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "port mapping (двойной переброс)"		+/–
	Сообщение от olegpon2 (ok) on 23-Сен-09, 15:28
	ЗАРАБОТАЛО!!! 4 рабочих дня не прошли даром :) Спасибо всем за помощь, оказалось ФриБСД с самого начала работала нормально, это фаерволл Циски блокировал трафик (связано с изменением подсети моей локалки).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору