https://www.opennet.ru/openforum/vsluhforumID1/87510.html Доброго всем времени суток.<br><br>Возникла необходимость пробросить RDP внутрь сети. На машине, служащей роутером, установлен FreeBSD 5.3 c natd и ipfw. В ipfw такое правило: <br><br>allow tcp from any to any dst-port 3389 keep-state<br><br>в /etc/natd.cf такое:<br><br>redirect_port tcp 192.168.1.1:3389 3389<br><br>При этом ipfw show показывает, что правило работает. natd нормально транслирует пакеты внутрь сети на другие хосты (например, 25-й порт). Проблема конкретно с rdp.<br><br>Ну и второй вопрос: как применить этот: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/71910 патч? Насколько я смог понять, из-за этой ошибки не работает fwd, с помощью которого я пытался решить проблему.<br> https://www.opennet.ru/openforum/vsluhforumID1/87510.html#6 Fri, 04 Dec 2009 08:15:57 GMT &gt;начиная с номера 1001 (обязательно после дайверта) добавь: <br>&gt;allow tcp from any to 192.168.1.1 dst-port 3389 in via rl1 <br>&gt;allow tcp from any to 192.168.1.1 dst-port 3389 out via rl0 <br>&gt;allow tcp from 192.168.1.1 src-port 3389 to any in via rl0 <br>&gt;allow tcp from 111.223.333.444 src-port 3389 to any out via rl1 <br>&gt;<br>&gt;как то так - это чисто парвила для отработки rdp <br>&gt;я не стал ковырять весь фаревол ибо лень - думаю дальше сам <br>&gt;разберешся <br>&gt;вообще не советую увлекаться keep-state <br><br>Черт, действительно заработало. Премного благодарен. Пошел читать man ipfw еще раз, более внимательно. Спасибо огромное!<br> https://www.opennet.ru/openforum/vsluhforumID1/87510.html#5 Fri, 04 Dec 2009 06:39:58 GMT начиная с номера 1001 (обязательно после дайверта) добавь:<br>allow tcp from any to 192.168.1.1 dst-port 3389 in via rl1<br>allow tcp from any to 192.168.1.1 dst-port 3389 out via rl0<br>allow tcp from 192.168.1.1 src-port 3389 to any in via rl0<br>allow tcp from 111.223.333.444 src-port 3389 to any out via rl1<br><br>как то так - это чисто парвила для отработки rdp<br>я не стал ковырять весь фаревол ибо лень - думаю дальше сам разберешся<br>вообще не советую увлекаться keep-state<br><br> https://www.opennet.ru/openforum/vsluhforumID1/87510.html#4 Thu, 03 Dec 2009 14:27:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;правило идет после allow ip from localnet to me и from <br>&gt;&gt;me to localnet. другие правила на него не влияют.<br>&gt;<br>&gt;ща какойнибудь телепат придет напишет полный список правил фаревола <br>&gt;а также конфиги интерфейсов <br>&gt;пока чтото обсуждать безсмысленнно <br>&gt;&gt;3) послушайте, для меня нет проблем попадать внутрь сети. нужен именно rdp <br>&gt;&gt;на конкретный хост, и даже не мне. <br>&gt;<br>&gt;поже проблемы всетаки есть <br><br>01000 44141272 15482066376 divert 8668 ip from any to any via rl1<br>01010 2685729 278863376 allow icmp from any to any<br>01020 0 0 check-state<br>01030 0 0 allow ip from any to any frag<br>01040 675608 77342448 allow ip from any to any via lo0<br>01040 0 0 deny ip from any to 127.0.0.0/8<br>01040 0 0 deny ip from 127.0.0.0/8 to any<br>01050 1380 77816 allow tcp from any to any dst-port 21 keep-state<br>01050 0 0 allow udp from any to any dst-port 21<br>01060 30 1480 allow tcp from any to https://www.opennet.ru/openforum/vsluhforumID1/87510.html#3 Thu, 03 Dec 2009 13:32:31 GMT &gt;1) from any to any - для чистоты эксперимента. динамическое - чтобы <br>&gt;пакеты в обоих направлениях ходили. хотя этого, действительно, не требуется. в <br>&gt;любом случае, разве это критично? <br><br>это не критично - это тупо и безсмысленно - лишний мусор в фареволе это лишние ошибки и неудобства<br>&gt;2) и что я сделал не по манам? насчет файрволла - это <br>&gt;правило идет после allow ip from localnet to me и from <br>&gt;me to localnet. другие правила на него не влияют.<br><br>ща какойнибудь телепат придет напишет полный список правил фаревола<br>а также конфиги интерфейсов<br>пока чтото обсуждать безсмысленнно<br>&gt;3) послушайте, для меня нет проблем попадать внутрь сети. нужен именно rdp <br>&gt;на конкретный хост, и даже не мне. <br><br>поже проблемы всетаки есть<br><br> https://www.opennet.ru/openforum/vsluhforumID1/87510.html#2 Thu, 03 Dec 2009 13:01:38 GMT &gt;1) зачем вообще использовать динамические правила на фильтрацию заброса порта? да не <br>&gt;просто динамическое а динамическое типа "from any to any"? бред какойта <br>&gt;)) <br>&gt;2) манов/хауту/советов/топов по этой теме просто тьма - в чем проблема? <br>&gt;можно уж на крайняк весь фаер показать - ибо порядок правил имеет <br>&gt;большое значение <br>&gt;3) если уж не можешь сделать элементарного заброcа - берешь putty, настраиваешь в ней порт форвардинг скажем 10000 -&gt; 123.123.123.123:3389<br>&gt;подключаешься по ssh, затем на локальной машине делаешь коннект на 127.0.0.1:10000 в <br>&gt;терминальном клиенте и все - имеешь шифрованный канал для туннелирования tcp <br>&gt;<br><br>1) from any to any - для чистоты эксперимента. динамическое - чтобы пакеты в обоих направлениях ходили. хотя этого, действительно, не требуется. в любом случае, разве это критично?<br>2) и что я сделал не по манам? насчет файрволла - это правило идет после allow ip from localnet to me и from me to localnet. другие правила на него не влияют.<br>3) послушайте, для меня нет проблем https://www.opennet.ru/openforum/vsluhforumID1/87510.html#1 Thu, 03 Dec 2009 12:04:55 GMT 1) зачем вообще использовать динамические правила на фильтрацию заброса порта? да не просто динамическое а динамическое типа "from any to any"? бред какойта ))<br>2) манов/хауту/советов/топов по этой теме просто тьма - в чем проблема?<br>можно уж на крайняк весь фаер показать - ибо порядок правил имеет большое значение<br>3) если уж не можешь сделать элементарного заброcа - берешь putty, настраиваешь в ней порт форвардинг скажем 10000 -&gt; 123.123.123.123:3389<br>подключаешься по ssh, затем на локальной машине делаешь коннект на 127.0.0.1:10000 в терминальном клиенте и все - имеешь шифрованный канал для туннелирования tcp<br><br><br>