forum.opennet.ru

Составление сообщения

Исходное сообщение

"Редирект соединения в PF"
Отправлено kam, 28-Янв-07 17:54

>Доброго времени суток всем.
>
>Столкнулся с интересной проблемой, не получается сделать редирект из внешней сети на
>внутренние IP.
>Что имеем-
>1) FreeBSD 6.0-RELEASE
>2) pf фильтр (ядро компилировал с опциями)
>
>
>options ALTQ
>options ALTQ_CBQ
>options ALTQ_RED
>options ALTQ_RIO
>options ALTQ_HFSC
>options ALTQ_CDNR
>options ALTQ_PRIQ
>
>device pf
>device pflog
>device pfsync
>
>Кури маны....
>http://www.opennet.ru/base/net/pf_faq.txt.html
>http://www.opennet.ru/base/sec/pf_openbsd_altq.txt.html
>
>Всё работает на ура, вот только не удается перебросить траффик скажем с
>какого-нибудь внешнего адреса для протокола RDP (порт 3389) на внутренний сервер,
>обратное соединение работает.
>
>Может для редиректа нужно что нибудь указывать в ядре?
>ПОмогите ПОЖАЛУЙСТА, с утра бьюсь и ничего, перекурил множество манов и нифига....
>Знаю что руки кривые, но не настолько же...
>
>pf.conf
>
>cat /etc/pf.conf
>.
>ext_if="rl0" # external interface
>int_if="fxp0" # internal interface
>internal_net="192.168.0.0/24"
>external_addr="192.168.*.*" # СЕРАЯ СЕТЬ ПРОВА
>
>table <boss> { 192.168.0.70, 192.168.0.1, 192.168.0.110, 192.168.0.112, 192.168.0.2, 192.168.0.10 }
>
># Options: tune the behavior of pf, default values are given.
>set timeout { interval 10, frag 30 }
>set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
>set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
>set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
>set timeout { icmp.first 20, icmp.error 10 }
>set timeout { other.first 60, other.single 30, other.multiple 60 }
>set timeout { adaptive.start 0, adaptive.end 0 }
>set limit { states 10000, frags 5000 }
>set loginterface none
>set optimization normal
>set block-policy drop
>set require-order yes
>set fingerprints "/etc/pf.os"
>
>scrub in all
>
>nat on $ext_if from <boss> to any -> *.*.*.* # ВНЕШНИЙ ip организации
>
>rdr on $ext_if proto tcp from any to *.*.*.* # ВНЕШНИЙ ip организации port 3389 -> 192.168.0.10 port 3389
>
>pass in all
>pass out all
>
>Как видно всё и всем разрешено. (ПОКА))))
>
>
>Надеюсь на помощь OpenSource братии.
Приветствую! Посмотри tcpdump-ом на интерфейсах что происходит?

Исходное сообщение
"Редирект соединения в PF" Отправлено kam, 28-Янв-07 17:54
>Доброго времени суток всем. > >Столкнулся с интересной проблемой, не получается сделать редирект из внешней сети на >внутренние IP. >Что имеем- >1) FreeBSD 6.0-RELEASE >2) pf фильтр (ядро компилировал с опциями) > > >options ALTQ >options ALTQ_CBQ >options ALTQ_RED >options ALTQ_RIO >options ALTQ_HFSC >options ALTQ_CDNR >options ALTQ_PRIQ > >device pf >device pflog >device pfsync > >Кури маны.... >http://www.opennet.ru/base/net/pf_faq.txt.html >http://www.opennet.ru/base/sec/pf_openbsd_altq.txt.html > >Всё работает на ура, вот только не удается перебросить траффик скажем с >какого-нибудь внешнего адреса для протокола RDP (порт 3389) на внутренний сервер, >обратное соединение работает. > >Может для редиректа нужно что нибудь указывать в ядре? >ПОмогите ПОЖАЛУЙСТА, с утра бьюсь и ничего, перекурил множество манов и нифига.... >Знаю что руки кривые, но не настолько же... > >pf.conf > >cat /etc/pf.conf >. >ext_if="rl0" # external interface >int_if="fxp0" # internal interface >internal_net="192.168.0.0/24" >external_addr="192.168.." # СЕРАЯ СЕТЬ ПРОВА > >table <boss> { 192.168.0.70, 192.168.0.1, 192.168.0.110, 192.168.0.112, 192.168.0.2, 192.168.0.10 } > ># Options: tune the behavior of pf, default values are given. >set timeout { interval 10, frag 30 } >set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 } >set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 } >set timeout { udp.first 60, udp.single 30, udp.multiple 60 } >set timeout { icmp.first 20, icmp.error 10 } >set timeout { other.first 60, other.single 30, other.multiple 60 } >set timeout { adaptive.start 0, adaptive.end 0 } >set limit { states 10000, frags 5000 } >set loginterface none >set optimization normal >set block-policy drop >set require-order yes >set fingerprints "/etc/pf.os" > >scrub in all > >nat on $ext_if from <boss> to any -> ... # ВНЕШНИЙ ip организации > >rdr on $ext_if proto tcp from any to ... # ВНЕШНИЙ ip организации port 3389 -> 192.168.0.10 port 3389 > >pass in all >pass out all > >Как видно всё и всем разрешено. (ПОКА)))) > > >Надеюсь на помощь OpenSource братии. Приветствую! Посмотри tcpdump-ом на интерфейсах что происходит?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру