forum.opennet.ru

Составление сообщения

Исходное сообщение

"И снова Free9.0 + PF: NAT есть, проброса нет"
Отправлено Yarikson, 04-Апр-12 11:32

Сейчас попробую ваши причесанные правила.
Судя по всему у меня проблема с недопониманием НАТа, свято верил что на внешнем интерфейсе можно по отправителю из локальной сети фильтровать :)
Посмотрел на дамп, понял всю глубину своего заблуждения...
UPDATE
прописал ровно ваш конфиг без последних трех бесполезных правил. Проброса внутри так и нет.
Не может быть такого что в стоковом ядре нужно что-то включить через sysctl например?
У меня возникло смутное дежавю - разве при перенаправлении в дампе нет в скобках указания куда оно идет? На вашей системе дамп выглядит так же? (хотя возможно путаю с записами таблицы состояний)
tcpdump -i fxp0 -vv | grep 192.168.200.8
    192.168.200.8.63629 > www.yandex.ru.http: Flags [S], cksum 0x8cfb (correct), seq 3067585866, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
pfctl -sn
nat on xl0 inet from 192.168.200.0/24 to any -> (xl0) round-robin
nat-anchor "ftp-proxy/*" all
rdr-anchor "ftp-proxy/*" all
rdr on xl0 inet proto tcp from <remote> to [IP] port = hosts2-ns -> 192.168.200.1
rdr on xl0 inet proto tcp from <remote> to [IP] port = https -> 192.168.200.7
rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port = ftp -> 127.0.0.1 port 8021
rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port = http -> 127.0.0.1 port 3127
pfctl -ss | grep 192.168.200.8
fxp0 udp 255.255.255.255:1947 <- 192.168.200.8:60474       NO_TRAFFIC:SINGLE
fxp0 udp 192.168.200.255:1947 <- 192.168.200.8:60474       NO_TRAFFIC:SINGLE
fxp0 tcp 127.0.0.1:3127 (93.158.134.3:80) <- 192.168.200.8:63707       CLOSED:SYN_SENT
fxp0 tcp 127.0.0.1:3127 (93.158.134.203:80) <- 192.168.200.8:63711       CLOSED:SYN_SENT
fxp0 tcp 127.0.0.1:3127 (213.180.193.3:80) <- 192.168.200.8:63712       CLOSED:SYN_SENT
pfctl -sr
block drop in quick on ! lo inet6 from ::1 to any
block drop in quick on ! lo inet from 127.0.0.0/8 to any
block drop in quick inet from 127.0.0.1 to any
block drop in quick on ! fxp0 inet from 192.168.200.0/24 to any
block drop in quick inet from 192.168.200.1 to any
block drop in quick inet6 from ::1 to any
block drop in quick on lo0 inet6 from fe80::1 to any
block drop in quick on fxp0 inet6 from [fe80:IPv6] to any
block drop in all
block drop out all
pass in on xl0 inet proto tcp from any to (xl0) port = ssh-nst flags S/SA keep state (if-bound)
pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.1 port = hosts2-ns flags S/SA keep state (if-bound)
pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.7 port = https flags S/SA keep state (if-bound)
pass out quick on xl0 inet from [IP] to any flags S/SA keep state (if-bound)
anchor "ftp-proxy/*" all
pass in log quick on fxp0 inet proto tcp from (fxp0:network) to 127.0.0.1 port = 3127 flags S/SA keep state (if-bound)
pass in quick on fxp0 from (fxp0:network) to any flags S/SA keep state (if-bound)
pass out quick on fxp0 from any to (fxp0:network) flags S/SA keep state (if-bound)

Исходное сообщение
"И снова Free9.0 + PF: NAT есть, проброса нет" Отправлено Yarikson, 04-Апр-12 11:32
Сейчас попробую ваши причесанные правила. Судя по всему у меня проблема с недопониманием НАТа, свято верил что на внешнем интерфейсе можно по отправителю из локальной сети фильтровать :) Посмотрел на дамп, понял всю глубину своего заблуждения... UPDATE прописал ровно ваш конфиг без последних трех бесполезных правил. Проброса внутри так и нет. Не может быть такого что в стоковом ядре нужно что-то включить через sysctl например? У меня возникло смутное дежавю - разве при перенаправлении в дампе нет в скобках указания куда оно идет? На вашей системе дамп выглядит так же? (хотя возможно путаю с записами таблицы состояний) tcpdump -i fxp0 -vv \| grep 192.168.200.8 192.168.200.8.63629 > www.yandex.ru.http: Flags [S], cksum 0x8cfb (correct), seq 3067585866, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 pfctl -sn nat on xl0 inet from 192.168.200.0/24 to any -> (xl0) round-robin nat-anchor "ftp-proxy/" all rdr-anchor "ftp-proxy/" all rdr on xl0 inet proto tcp from <remote> to [IP] port = hosts2-ns -> 192.168.200.1 rdr on xl0 inet proto tcp from <remote> to [IP] port = https -> 192.168.200.7 rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port = ftp -> 127.0.0.1 port 8021 rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port = http -> 127.0.0.1 port 3127 pfctl -ss \| grep 192.168.200.8 fxp0 udp 255.255.255.255:1947 <- 192.168.200.8:60474 NO_TRAFFIC:SINGLE fxp0 udp 192.168.200.255:1947 <- 192.168.200.8:60474 NO_TRAFFIC:SINGLE fxp0 tcp 127.0.0.1:3127 (93.158.134.3:80) <- 192.168.200.8:63707 CLOSED:SYN_SENT fxp0 tcp 127.0.0.1:3127 (93.158.134.203:80) <- 192.168.200.8:63711 CLOSED:SYN_SENT fxp0 tcp 127.0.0.1:3127 (213.180.193.3:80) <- 192.168.200.8:63712 CLOSED:SYN_SENT pfctl -sr block drop in quick on ! lo inet6 from ::1 to any block drop in quick on ! lo inet from 127.0.0.0/8 to any block drop in quick inet from 127.0.0.1 to any block drop in quick on ! fxp0 inet from 192.168.200.0/24 to any block drop in quick inet from 192.168.200.1 to any block drop in quick inet6 from ::1 to any block drop in quick on lo0 inet6 from fe80::1 to any block drop in quick on fxp0 inet6 from [fe80:IPv6] to any block drop in all block drop out all pass in on xl0 inet proto tcp from any to (xl0) port = ssh-nst flags S/SA keep state (if-bound) pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.1 port = hosts2-ns flags S/SA keep state (if-bound) pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.7 port = https flags S/SA keep state (if-bound) pass out quick on xl0 inet from [IP] to any flags S/SA keep state (if-bound) anchor "ftp-proxy/*" all pass in log quick on fxp0 inet proto tcp from (fxp0:network) to 127.0.0.1 port = 3127 flags S/SA keep state (if-bound) pass in quick on fxp0 from (fxp0:network) to any flags S/SA keep state (if-bound) pass out quick on fxp0 from any to (fxp0:network) flags S/SA keep state (if-bound)

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Сейчас попробую ваши причесанные правила. > Судя по всему у меня проблема с недопониманием НАТа, свято верил что > на внешнем интерфейсе можно по отправителю из локальной сети фильтровать :) > Посмотрел на дамп, понял всю глубину своего заблуждения... > UPDATE > прописал ровно ваш конфиг без последних трех бесполезных правил. Проброса внутри так > и нет. > Не может быть такого что в стоковом ядре нужно что-то включить через > sysctl например? > У меня возникло смутное дежавю - разве при перенаправлении в дампе нет > в скобках указания куда оно идет? На вашей системе дамп выглядит > так же? (хотя возможно путаю с записами таблицы состояний) > tcpdump -i fxp0 -vv \| grep 192.168.200.8 > 192.168.200.8.63629 > www.yandex.ru.http: Flags [S], cksum 0x8cfb (correct), > seq 3067585866, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 > pfctl -sn > nat on xl0 inet from 192.168.200.0/24 to any -> (xl0) round-robin > nat-anchor "ftp-proxy/" all > rdr-anchor "ftp-proxy/" all > rdr on xl0 inet proto tcp from <remote> to [IP] port = > hosts2-ns -> 192.168.200.1 > rdr on xl0 inet proto tcp from <remote> to [IP] port = > https -> 192.168.200.7 > rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port > = ftp -> 127.0.0.1 port 8021 > rdr on fxp0 inet proto tcp from (fxp0:network) to ! (fxp0) port > = http -> 127.0.0.1 port 3127 > pfctl -ss \| grep 192.168.200.8 > fxp0 udp 255.255.255.255:1947 <- 192.168.200.8:60474 NO_TRAFFIC:SINGLE > fxp0 udp 192.168.200.255:1947 <- 192.168.200.8:60474 NO_TRAFFIC:SINGLE > fxp0 tcp 127.0.0.1:3127 (93.158.134.3:80) <- 192.168.200.8:63707 > CLOSED:SYN_SENT > fxp0 tcp 127.0.0.1:3127 (93.158.134.203:80) <- 192.168.200.8:63711 > CLOSED:SYN_SENT > fxp0 tcp 127.0.0.1:3127 (213.180.193.3:80) <- 192.168.200.8:63712 > CLOSED:SYN_SENT > pfctl -sr > block drop in quick on ! lo inet6 from ::1 to any > block drop in quick on ! lo inet from 127.0.0.0/8 to any > block drop in quick inet from 127.0.0.1 to any > block drop in quick on ! fxp0 inet from 192.168.200.0/24 to any > block drop in quick inet from 192.168.200.1 to any > block drop in quick inet6 from ::1 to any > block drop in quick on lo0 inet6 from fe80::1 to any > block drop in quick on fxp0 inet6 from [fe80:IPv6] to any > block drop in all > block drop out all > pass in on xl0 inet proto tcp from any to (xl0) port > = ssh-nst flags S/SA keep state (if-bound) > pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.1 > port = hosts2-ns flags S/SA keep state (if-bound) > pass in quick on xl0 inet proto tcp from <remote> to 192.168.200.7 > port = https flags S/SA keep state (if-bound) > pass out quick on xl0 inet from [IP] to any flags S/SA > keep state (if-bound) > anchor "ftp-proxy/*" all > pass in log quick on fxp0 inet proto tcp from (fxp0:network) to > 127.0.0.1 port = 3127 flags S/SA keep state (if-bound) > pass in quick on fxp0 from (fxp0:network) to any flags S/SA keep > state (if-bound) > pass out quick on fxp0 from any to (fxp0:network) flags S/SA keep > state (if-bound)
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру