forum.opennet.ru - "ipfw vpn 1 vpn 2" (31)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw vpn 1 vpn 2"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw vpn 1 vpn 2"	+/–
Сообщение от xservices (ok) on 27-Сен-10, 20:18
Опять нужна помошь! Вначале объясню как должно быть и как идут пакеты. На шлюзе есть 4 сетевых интерфейса 1) VPN1 (tap0) 2) VPN2 (tap1) 3) Провайдер (rl0) 4) Смотрящий на циску (rl1) На VPN 1 сервере стоит заворот 80 порта на впн и он приходит на tap0 Надо что бы оттуда он натился и редиректился на rl1 на циску (на циске он форвардит на 80 порт сервера) Потом когда сервер ответил он шлет пакет на циску, а циска в свою очередь отдает rl1 на шлюзе. А вот с rl1 надо что бы трафик именно пришедший с пометкой что он от 80 порта шел на tap0. Если же трафик от сервера идет не от 80 порта. а просто в инет сервер леезет то надо что бы он шел через rl0 (тоесть провайдера) Тоесть надо что бы ответы пришедшие от серверов за циской 21 80 110 25 шли именно на tap0 А остальное через rl0. Так-же надо сделать так что бы при падении первого VPN отвечал он в tap1. Решил все сделать natd + ipfw OS Freebsd Клиенты openvpn Помогите решить задачу. Начал набрасывать ipfw и застопоорилсяю. Подправте что и как не так. И как лучше сделать. #!/bin/sh FwCMD="/sbin/ipfw" # ipfw vpn1="tap0" # внешний интерфейс VPN 1 vpn2="tap1" # внешний интерфейс VPN 2 cisco="rl1" # Интерфейс идуший на cisco outin="rl0" # Интерфейс идуший на провайдера vpn1ip="192.168.137.2" # Ип VPN 1 vpn1gate="192.168.137.1" # Ип gateway vpn 1 vpn2ip="192.168.138.2" # Ип VPN 2 vpn2gate="192.168.138.1" # Ип gateway vpn 2 ciscoip="192.168.11.2" # Ип интерфейса на шлюзе смотрящего на цсику ciscogate="192.168.11.1" # Ип cisco outip="192.168.10.3" # Ип интерфейса на шлюзе смотряшего на прова outgate="192.168.10.1" # ип прова # Сбрасываем все правила ${FwCMD} -f flush # Проверяем - соответствует ли пакет динамическим правилам ${FwCMD} add check-state # Разрешаем весь траффик по внутреннему интерфейсу (петле) ${FwCMD} add allow ip from any to any via lo0 # рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 ${FwCMD} add deny ip from any to 127.0.0.0/8 ${FwCMD} add deny ip from 127.0.0.0/8 to any # рубим фрагментированные icmp ${FwCMD} add deny icmp from any to any frag # пропускаем траффик через трансляцию сетевых адресов (NAT) ${FwCMD} add divert natd ip from 192.168.11.0/24 to any out via ${outin} ${FwCMD} add divert natd ip from any to ${outgate} in via ${outin} # Редиректим ответы от циски на VPN 1 (можно обьединить в одно правило) ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # WWW ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 21 to any 21 # FTP Passive ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 110 to any 110 # dovecot ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 25 to any 25 # postfix ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 2020 to any 2020 # pbk ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 3306 to any 3306 # mysql # Редиректим запросы с впн на cisco ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # WWW ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 21 to any 21 # FTP Passive ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 110 to any 110 # dovecot ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 25 to any 25 # postfix ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 2020 to any 2020 # pbk ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 3306 to any 3306 # mysql С флагами на ipfw туго.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw vpn 1 vpn 2, Aquarius, 20:29 , 27-Сен-10, (1)

ipfw vpn 1 vpn 2, xservices, 20:44 , 27-Сен-10, (2) +1

ipfw vpn 1 vpn 2, xservices, 20:49 , 27-Сен-10, (3)
ipfw vpn 1 vpn 2, reader, 21:17 , 27-Сен-10, (4)

ipfw vpn 1 vpn 2, xservices, 21:25 , 27-Сен-10, (5)

ipfw vpn 1 vpn 2, Aquarius, 22:01 , 27-Сен-10, (6)

ipfw vpn 1 vpn 2, xservices, 22:10 , 27-Сен-10, (7)

ipfw vpn 1 vpn 2, Aquarius, 12:17 , 28-Сен-10, (27)

ipfw vpn 1 vpn 2, xservices, 15:33 , 28-Сен-10, (29)

ipfw vpn 1 vpn 2, Aquarius, 14:19 , 29-Сен-10, (30)

ipfw vpn 1 vpn 2, reader, 22:19 , 27-Сен-10, (9)

ipfw vpn 1 vpn 2, xservices, 22:24 , 27-Сен-10, (11)

ipfw vpn 1 vpn 2, PavelR, 22:33 , 27-Сен-10, (13)

ipfw vpn 1 vpn 2, xservices, 22:44 , 27-Сен-10, (16)

ipfw vpn 1 vpn 2, PavelR, 22:47 , 27-Сен-10, (18)

ipfw vpn 1 vpn 2, xservices, 23:07 , 27-Сен-10, (19)

ipfw vpn 1 vpn 2, xservices, 23:26 , 27-Сен-10, (20)

ipfw vpn 1 vpn 2, xservices, 01:14 , 28-Сен-10, (21)
ipfw vpn 1 vpn 2, DeadLoco, 04:37 , 28-Сен-10, (22)
ipfw vpn 1 vpn 2, xservices, 12:06 , 28-Сен-10, (24)
ipfw vpn 1 vpn 2, PavelR, 12:54 , 28-Сен-10, (28)

ipfw vpn 1 vpn 2, reader, 22:43 , 27-Сен-10, (15)

ipfw vpn 1 vpn 2, PavelR, 22:44 , 27-Сен-10, (17)

ipfw vpn 1 vpn 2, DeadLoco, 04:38 , 28-Сен-10, (23)

ipfw vpn 1 vpn 2, xservices, 12:06 , 28-Сен-10, (25)

ipfw vpn 1 vpn 2, xservices, 12:07 , 28-Сен-10, (26)

ipfw vpn 1 vpn 2, Aquarius, 13:35 , 30-Сен-10, (31)

ipfw vpn 1 vpn 2, PavelR, 22:14 , 27-Сен-10, (8)

ipfw vpn 1 vpn 2, xservices, 22:23 , 27-Сен-10, (10)

ipfw vpn 1 vpn 2, PavelR, 22:28 , 27-Сен-10, (12)

ipfw vpn 1 vpn 2, PavelR, 22:34 , 27-Сен-10, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw vpn 1 vpn 2" +/–

Сообщение от Aquarius (ok) on 27-Сен-10, 20:29

начнем с того, что порт источника почти никогда не совпадает с портом назначения, соответственно, эти правила почти никогда не будут работать, а продолжать уже и не хочется

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ipfw vpn 1 vpn 2" +1 +/–

Сообщение от xservices (ok) on 27-Сен-10, 20:44

>начнем с того, что порт источника почти никогда не совпадает с портом
>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать
>уже и не хочется
А как быть в такой ситуации?
Хотя бы направление?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 20:49

>>начнем с того, что порт источника почти никогда не совпадает с портом
>>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать
>>уже и не хочется
>
>А как быть в такой ситуации?
>Хотя бы направление?
Все это я решил до этого так просто ipnat.
Там сделал нат + проброс портов.
И написал скрипт который меня default router на нужный vpn при не доступности.
Но соответсвенно нет интернета на серверах.
Как сказал один умный человек ))) default router не для этого. вот и мучаюсь

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ipfw vpn 1 vpn 2" +/–

Сообщение от reader (ok) on 27-Сен-10, 21:17

>>начнем с того, что порт источника почти никогда не совпадает с портом
>>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать
>>уже и не хочется
>
>А как быть в такой ситуации?
>Хотя бы направление?
уберите номера портов в ненужных местах.
клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 21:25

>>>начнем с того, что порт источника почти никогда не совпадает с портом
>>>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать
>>>уже и не хочется
>>
>>А как быть в такой ситуации?
>>Хотя бы направление?
>
>уберите номера портов в ненужных местах.
>
>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.
А как это правельнее реализовать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "ipfw vpn 1 vpn 2" +/–

Сообщение от Aquarius (ok) on 27-Сен-10, 22:01

>[оверквотинг удален]
>>>>уже и не хочется
>>>
>>>А как быть в такой ситуации?
>>>Хотя бы направление?
>>
>>уберите номера портов в ненужных местах.
>>
>>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.
>
>А как это правельнее реализовать?
для проброса соединения соединения надо указывать только порт назначения
например, должно быть
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW
вместо
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # WWW

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 22:10

>[оверквотинг удален]
>>А как это правельнее реализовать?
>
>для проброса соединения соединения надо указывать только порт назначения
>
>например, должно быть
>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW
>
>вместо
>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 #
>WWW
это понял, это получаеться сервер будет отвечать в ВПН?
А остальной трафик пойдет через провайдера?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "ipfw vpn 1 vpn 2" +/–

Сообщение от Aquarius (ok) on 28-Сен-10, 12:17

>[оверквотинг удален]
>>для проброса соединения соединения надо указывать только порт назначения
>>
>>например, должно быть
>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW
>>
>>вместо
>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 #
>>WWW
> это понял, это получаеться сервер будет отвечать в ВПН?
> А остальной трафик пойдет через провайдера?
неплохо бы определиться, что требуется, от этого и плясать;
а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;
мне ближе 'мне надо чтобы'

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 28-Сен-10, 15:33

>[оверквотинг удален]
>>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW
>>>
>>>вместо
>>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 #
>>>WWW
>> это понял, это получаеться сервер будет отвечать в ВПН?
>> А остальной трафик пойдет через провайдера?
> неплохо бы определиться, что требуется, от этого и плясать;
> а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;
> мне ближе 'мне надо чтобы'
Я же вверху писал что надо!
Надо что бы ответ сервера за циской шел на впн а не на дефол гатевей.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "ipfw vpn 1 vpn 2" +/–

Сообщение от Aquarius (ok) on 29-Сен-10, 14:19

>[оверквотинг удален]
>>>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 #
>>>>WWW
>>> это понял, это получаеться сервер будет отвечать в ВПН?
>>> А остальной трафик пойдет через провайдера?
>> неплохо бы определиться, что требуется, от этого и плясать;
>> а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;
>> мне ближе 'мне надо чтобы'
> Я же вверху писал что надо!
> Надо что бы ответ сервера за циской шел на впн а не
> на дефол гатевей.
считай, что верха у меня нет, там слишком много информации для того, чтобы вычленить связанную именно с этим нюансом
и вместо "это получаеться сервер будет отвечать в ВПН?"
лучше было бы что-то вроде "это получается сервер будет отвечать в ВПН? меня это не устраивает потому-то-потому-то, в соответствии с тем, что я написал выше"
или просто "это получаеться сервер будет отвечать в ВПН? мне это не подходит"
или, наоборот, "это получается сервер будет отвечать в ВПН? вроде то, что мне надо"
на худой конец
P.S. если хочешь, это не поучения, не наставления, а просьба или пожелание
P.S.S. "... там слишком много информации ..." читать как "... там слишком много информации в неудобоваримом виде ..."

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "ipfw vpn 1 vpn 2" +/–

Сообщение от reader (ok) on 27-Сен-10, 22:19

>[оверквотинг удален]
>>>>уже и не хочется
>>>
>>>А как быть в такой ситуации?
>>>Хотя бы направление?
>>
>>уберите номера портов в ненужных местах.
>>
>>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.
>
>А как это правельнее реализовать?
правильней - это как сможете, раз уж такую замарочку себе устроили.
начните с простого, сделайте это для 80 порта.
${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # WWW
если это проброс к web серверу, через cisco, то порт клиента не будет 80, если только на 192.168.137.1 чегото не намутили
тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 22:24

>[оверквотинг удален]
>>>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.
>>
>>А как это правельнее реализовать?
>правильней - это как сможете, раз уж такую замарочку себе устроили.
>начните с простого, сделайте это для 80 порта.
>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 #
>WWW
>если это проброс к web серверу, через cisco, то порт клиента не
>будет 80, если только на 192.168.137.1 чегото не намутили
>тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс
Тоесть я понимаю что правило будет типа того
${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:33

>[оверквотинг удален]
>>начните с простого, сделайте это для 80 порта.
>>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 #
>>WWW
>>если это проброс к web серверу, через cisco, то порт клиента не
>>будет 80, если только на 192.168.137.1 чегото не намутили
>>тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс
> Тоесть я понимаю что правило будет типа того
> ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
>
> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
хз что ты понимаешь, но это не айпитаблес.
в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда и на пути обратно.
к примеру, для заворачивания в нат, в иптаблесе - правило одно. в ипфв - два.
(это не считая правил таблиц mangle и правил фильтрации - если упоминать линух).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 22:44

>[оверквотинг удален]
>> ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
>>
>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
> хз что ты понимаешь, но это не айпитаблес.
> в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда
> и на пути обратно.
> к примеру, для заворачивания в нат, в иптаблесе - правило одно. в
> ипфв - два.
> (это не считая правил таблиц mangle и правил фильтрации - если упоминать
> линух).
так у меня в моем конфиге divert вообще не прописан еще.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:47

>[оверквотинг удален]
>>>
>>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
>> хз что ты понимаешь, но это не айпитаблес.
>> в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда
>> и на пути обратно.
>> к примеру, для заворачивания в нат, в иптаблесе - правило одно. в
>> ипфв - два.
>> (это не считая правил таблиц mangle и правил фильтрации - если упоминать
>> линух).
> так у меня в моем конфиге divert вообще не прописан еще.
не знаю кому как, но мне лениво просчитывать пути пакетов в сети неизвестной конфигурации.
а вот ты путь пакетов просчитать _должен_.
Объясняю почему мне лениво: на пути "туда", входящий пакет, как правило, операции fwd не подвергается. форварду обычно подвергаются исходящие из твоей сети пакеты, а входяшие маршрутизируются обычным образом. Всё остальное - от лукавого.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 23:07

Ладно закрыли буду разбираться.
tcpdump не к чему я и так знаю как идут пакеты. уже юзал
Вопрос для меня в том как настроить такую конфигурацию именно в ipfw.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 23:26

ipfw add fwd 192.168.137.1 tcp from 192.168.11.0/24 80 to any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 28-Сен-10, 01:14

НАРОД ну хоть убейте
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ
Не работает!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "ipfw vpn 1 vpn 2" +/–

Сообщение от DeadLoco (ok) on 28-Сен-10, 04:37

> НАРОД ну хоть убейте
> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ
> Не работает!
Ядро, надеюсь, со строчками
options         IPFIREWALL
options         IPFIREWALL_FORWARD
собрано?
Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет, хоть тресни.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 28-Сен-10, 12:06

>> НАРОД ну хоть убейте
>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ
>> Не работает!
> Ядро, надеюсь, со строчками
> options         IPFIREWALL
> options         IPFIREWALL_FORWARD
> собрано?
> Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет,
> хоть тресни.
Да я ядро собранно нормально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 28-Сен-10, 12:54

>>> НАРОД ну хоть убейте
>>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ
>>> Не работает!
>> Ядро, надеюсь, со строчками
>> options         IPFIREWALL
>> options         IPFIREWALL_FORWARD
>> собрано?
>> Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет,
>> хоть тресни.
> Да я ядро собранно нормально.
1. Анализируем правила файрволла, проверяем чтобы пакет достигал правила. Уточняем, что счетчик пакетов правила - действительно увеличивается.
2. Анализируем трафик на интерфейсах. На интерфейсе, где должен быть пакет, и на интерфейсе, где мог бы быть пакет при отсутствии правила форварда (маршрутизация по таблице маршрутизации/дефолтному маршруту)

3. Может быть стоит использовать FIB ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "ipfw vpn 1 vpn 2" +/–

Сообщение от reader (ok) on 27-Сен-10, 22:43

>[оверквотинг удален]
>>>А как это правельнее реализовать?
>>правильней - это как сможете, раз уж такую замарочку себе устроили.
>>начните с простого, сделайте это для 80 порта.
>>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 #
>>WWW
>>если это проброс к web серверу, через cisco, то порт клиента не
>>будет 80, если только на 192.168.137.1 чегото не намутили
>>тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс
> Тоесть я понимаю что правило будет типа того
> ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
если на 192.168.137.1 был сделан nat перед отправкой в vpn, то да, а если на 192.168.137.1 был сделан проброс сразу на  ip web сервера (допустим 192.168.11.10) то и пиши правило для такого адреса, а nat c 192.168.137.1 убирай (писал уже что в логах при nat получиш)
${FwCMD} add fwd ${ciscogate} tcp from any to 192.168.11.10 80 # Запрос
>
> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
>
ну почему по вашему тут ответ должен быть на 80 порт? с 80 !!! (допустим ip web сервера 192.168.11.10)
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:44

> ну почему по вашему тут ответ должен быть на 80 порт? с
Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем и внешнем интерфейсах.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "ipfw vpn 1 vpn 2" +/–

Сообщение от DeadLoco (ok) on 28-Сен-10, 04:38

>> ну почему по вашему тут ответ должен быть на 80 порт? с
> Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем
> и внешнем интерфейсах.
Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 28-Сен-10, 12:06

>>> ну почему по вашему тут ответ должен быть на 80 порт? с
>> Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем
>> и внешнем интерфейсах.
> Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам.
Открыл и вижу что форфард не срабатывает, пытаеться отдать пакеты через шлюз провайдера.
А должен валить в впн.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 28-Сен-10, 12:07

${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ

Так то все верно
Все что пришло от 192.168.11.10 с порта 80 куда угодно форвардить на ${vpn1gate}

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "ipfw vpn 1 vpn 2" +/–

Сообщение от Aquarius (ok) on 30-Сен-10, 13:35

> Тоесть я понимаю что правило будет типа того
> ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
если эти оба правила касаются одной сессии, то я не понимаю, как это может быть;
IMHO, тогда должно быть что-то вроде
${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any # Ответ
ну, или наоборот,
${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 80 to any # Запрос
${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
, но тогда я совсем ничего не понимаю

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:14

># Редиректим ответы от циски на VPN 1 (можно обьединить в одно
>правило)
># Редиректим запросы с впн на cisco
Ну если можно объединить в одно правило, и ты понимаешь, что это будет хорошо, так какого не сделать это ?
Я же приводил пример с пробросом портов и "два провайдера" - ну посмотри в него внимательнее, всего-то делов.

Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо быть выше крыши энтузиастом и иметь призвание к "преподавательству"...
>С флагами на ipfw туго.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "ipfw vpn 1 vpn 2" +/–

Сообщение от xservices (ok) on 27-Сен-10, 22:23

>># Редиректим ответы от циски на VPN 1 (можно обьединить в одно
>>правило)
>># Редиректим запросы с впн на cisco
> Ну если можно объединить в одно правило, и ты понимаешь, что это
> будет хорошо, так какого не сделать это ?
> Я же приводил пример с пробросом портов и "два провайдера" - ну
> посмотри в него внимательнее, всего-то делов.
> Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо
> быть выше крыши энтузиастом и иметь призвание к "преподавательству"...
>>С флагами на ipfw туго.
Где приводил?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:28

>[оверквотинг удален]
>>>правило)
>>># Редиректим запросы с впн на cisco
>> Ну если можно объединить в одно правило, и ты понимаешь, что это
>> будет хорошо, так какого не сделать это ?
>> Я же приводил пример с пробросом портов и "два провайдера" - ну
>> посмотри в него внимательнее, всего-то делов.
>> Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо
>> быть выше крыши энтузиастом и иметь призвание к "преподавательству"...
>>>С флагами на ipfw туго.
> Где приводил?
в одной из твоих тем. Поискать ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "ipfw vpn 1 vpn 2" +/–

Сообщение от PavelR (??) on 27-Сен-10, 22:34

>[оверквотинг удален]
>>>># Редиректим запросы с впн на cisco
>>> Ну если можно объединить в одно правило, и ты понимаешь, что это
>>> будет хорошо, так какого не сделать это ?
>>> Я же приводил пример с пробросом портов и "два провайдера" - ну
>>> посмотри в него внимательнее, всего-то делов.
>>> Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо
>>> быть выше крыши энтузиастом и иметь призвание к "преподавательству"...
>>>>С флагами на ipfw туго.
>> Где приводил?
> в одной из твоих тем. Поискать ?
https://www.opennet.ru/openforum/vsluhforumID1/89859.html#10

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw vpn 1 vpn 2"	+/–
Сообщение от Aquarius (ok) on 27-Сен-10, 20:29
начнем с того, что порт источника почти никогда не совпадает с портом назначения, соответственно, эти правила почти никогда не будут работать, а продолжать уже и не хочется
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "ipfw vpn 1 vpn 2"	+1 +/–
	Сообщение от xservices (ok) on 27-Сен-10, 20:44
	>начнем с того, что порт источника почти никогда не совпадает с портом >назначения, соответственно, эти правила почти никогда не будут работать, а продолжать >уже и не хочется А как быть в такой ситуации? Хотя бы направление?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 20:49
	>>начнем с того, что порт источника почти никогда не совпадает с портом >>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать >>уже и не хочется > >А как быть в такой ситуации? >Хотя бы направление? Все это я решил до этого так просто ipnat. Там сделал нат + проброс портов. И написал скрипт который меня default router на нужный vpn при не доступности. Но соответсвенно нет интернета на серверах. Как сказал один умный человек ))) default router не для этого. вот и мучаюсь
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 21:17
	>>начнем с того, что порт источника почти никогда не совпадает с портом >>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать >>уже и не хочется > >А как быть в такой ситуации? >Хотя бы направление? уберите номера портов в ненужных местах. клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 21:25
	>>>начнем с того, что порт источника почти никогда не совпадает с портом >>>назначения, соответственно, эти правила почти никогда не будут работать, а продолжать >>>уже и не хочется >> >>А как быть в такой ситуации? >>Хотя бы направление? > >уберите номера портов в ненужных местах. > >клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте. А как это правельнее реализовать?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от Aquarius (ok) on 27-Сен-10, 22:01
	>[оверквотинг удален] >>>>уже и не хочется >>> >>>А как быть в такой ситуации? >>>Хотя бы направление? >> >>уберите номера портов в ненужных местах. >> >>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте. > >А как это правельнее реализовать? для проброса соединения соединения надо указывать только порт назначения например, должно быть ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW вместо ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # WWW
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 22:10
	>[оверквотинг удален] >>А как это правельнее реализовать? > >для проброса соединения соединения надо указывать только порт назначения > >например, должно быть >${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW > >вместо >${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # >WWW это понял, это получаеться сервер будет отвечать в ВПН? А остальной трафик пойдет через провайдера?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	27. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от Aquarius (ok) on 28-Сен-10, 12:17
	>[оверквотинг удален] >>для проброса соединения соединения надо указывать только порт назначения >> >>например, должно быть >>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW >> >>вместо >>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # >>WWW > это понял, это получаеться сервер будет отвечать в ВПН? > А остальной трафик пойдет через провайдера? неплохо бы определиться, что требуется, от этого и плясать; а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю; мне ближе 'мне надо чтобы'
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	29. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 28-Сен-10, 15:33
	>[оверквотинг удален] >>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW >>> >>>вместо >>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # >>>WWW >> это понял, это получаеться сервер будет отвечать в ВПН? >> А остальной трафик пойдет через провайдера? > неплохо бы определиться, что требуется, от этого и плясать; > а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю; > мне ближе 'мне надо чтобы' Я же вверху писал что надо! Надо что бы ответ сервера за циской шел на впн а не на дефол гатевей.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	30. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от Aquarius (ok) on 29-Сен-10, 14:19
	>[оверквотинг удален] >>>>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # >>>>WWW >>> это понял, это получаеться сервер будет отвечать в ВПН? >>> А остальной трафик пойдет через провайдера? >> неплохо бы определиться, что требуется, от этого и плясать; >> а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю; >> мне ближе 'мне надо чтобы' > Я же вверху писал что надо! > Надо что бы ответ сервера за циской шел на впн а не > на дефол гатевей. считай, что верха у меня нет, там слишком много информации для того, чтобы вычленить связанную именно с этим нюансом и вместо "это получаеться сервер будет отвечать в ВПН?" лучше было бы что-то вроде "это получается сервер будет отвечать в ВПН? меня это не устраивает потому-то-потому-то, в соответствии с тем, что я написал выше" или просто "это получаеться сервер будет отвечать в ВПН? мне это не подходит" или, наоборот, "это получается сервер будет отвечать в ВПН? вроде то, что мне надо" на худой конец P.S. если хочешь, это не поучения, не наставления, а просьба или пожелание P.S.S. "... там слишком много информации ..." читать как "... там слишком много информации в неудобоваримом виде ..."
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 22:19
	>[оверквотинг удален] >>>>уже и не хочется >>> >>>А как быть в такой ситуации? >>>Хотя бы направление? >> >>уберите номера портов в ненужных местах. >> >>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте. > >А как это правельнее реализовать? правильней - это как сможете, раз уж такую замарочку себе устроили. начните с простого, сделайте это для 80 порта. ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # WWW если это проброс к web серверу, через cisco, то порт клиента не будет 80, если только на 192.168.137.1 чегото не намутили тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 22:24
	>[оверквотинг удален] >>>клиент шлет пакет на ваш web сервер, например со своего 1024 порта на ваш 80 порт, а ответ должен получить с вашего 80 на свой 1024, вот и пройдите по всей вашей цепочке , а потом упоминания 1024 в правилах удалите, т.к. клиент будет слать с разных >1023, а 80 оставьте. >> >>А как это правельнее реализовать? >правильней - это как сможете, раз уж такую замарочку себе устроили. >начните с простого, сделайте это для 80 порта. >${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # >WWW >если это проброс к web серверу, через cisco, то порт клиента не >будет 80, если только на 192.168.137.1 чегото не намутили >тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс Тоесть я понимаю что правило будет типа того ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от PavelR (??) on 27-Сен-10, 22:33
	>[оверквотинг удален] >>начните с простого, сделайте это для 80 порта. >>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # >>WWW >>если это проброс к web серверу, через cisco, то порт клиента не >>будет 80, если только на 192.168.137.1 чегото не намутили >>тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс > Тоесть я понимаю что правило будет типа того > ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос > > ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ хз что ты понимаешь, но это не айпитаблес. в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда и на пути обратно. к примеру, для заворачивания в нат, в иптаблесе - правило одно. в ипфв - два. (это не считая правил таблиц mangle и правил фильтрации - если упоминать линух).
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	16. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 22:44
	>[оверквотинг удален] >> ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос >> >> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ > хз что ты понимаешь, но это не айпитаблес. > в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда > и на пути обратно. > к примеру, для заворачивания в нат, в иптаблесе - правило одно. в > ипфв - два. > (это не считая правил таблиц mangle и правил фильтрации - если упоминать > линух). так у меня в моем конфиге divert вообще не прописан еще.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	18. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от PavelR (??) on 27-Сен-10, 22:47
	>[оверквотинг удален] >>> >>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ >> хз что ты понимаешь, но это не айпитаблес. >> в ипфв пакеты _соединения_ надо обрабатывать два раза - на пути туда >> и на пути обратно. >> к примеру, для заворачивания в нат, в иптаблесе - правило одно. в >> ипфв - два. >> (это не считая правил таблиц mangle и правил фильтрации - если упоминать >> линух). > так у меня в моем конфиге divert вообще не прописан еще. не знаю кому как, но мне лениво просчитывать пути пакетов в сети неизвестной конфигурации. а вот ты путь пакетов просчитать _должен_. Объясняю почему мне лениво: на пути "туда", входящий пакет, как правило, операции fwd не подвергается. форварду обычно подвергаются исходящие из твоей сети пакеты, а входяшие маршрутизируются обычным образом. Всё остальное - от лукавого.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	19. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 23:07
	Ладно закрыли буду разбираться. tcpdump не к чему я и так знаю как идут пакеты. уже юзал Вопрос для меня в том как настроить такую конфигурацию именно в ipfw.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	20. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 23:26
	ipfw add fwd 192.168.137.1 tcp from 192.168.11.0/24 80 to any
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	21. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 28-Сен-10, 01:14
	НАРОД ну хоть убейте ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ Не работает!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	22. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от DeadLoco (ok) on 28-Сен-10, 04:37
	> НАРОД ну хоть убейте > ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ > Не работает! Ядро, надеюсь, со строчками options IPFIREWALL options IPFIREWALL_FORWARD собрано? Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет, хоть тресни.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	24. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 28-Сен-10, 12:06
	>> НАРОД ну хоть убейте >> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ >> Не работает! > Ядро, надеюсь, со строчками > options IPFIREWALL > options IPFIREWALL_FORWARD > собрано? > Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет, > хоть тресни. Да я ядро собранно нормально.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	28. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от PavelR (??) on 28-Сен-10, 12:54
	>>> НАРОД ну хоть убейте >>> ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ >>> Не работает! >> Ядро, надеюсь, со строчками >> options IPFIREWALL >> options IPFIREWALL_FORWARD >> собрано? >> Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет, >> хоть тресни. > Да я ядро собранно нормально. 1. Анализируем правила файрволла, проверяем чтобы пакет достигал правила. Уточняем, что счетчик пакетов правила - действительно увеличивается. 2. Анализируем трафик на интерфейсах. На интерфейсе, где должен быть пакет, и на интерфейсе, где мог бы быть пакет при отсутствии правила форварда (маршрутизация по таблице маршрутизации/дефолтному маршруту) 3. Может быть стоит использовать FIB ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от reader (ok) on 27-Сен-10, 22:43
	>[оверквотинг удален] >>>А как это правельнее реализовать? >>правильней - это как сможете, раз уж такую замарочку себе устроили. >>начните с простого, сделайте это для 80 порта. >>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.0/24 80 to any 80 # >>WWW >>если это проброс к web серверу, через cisco, то порт клиента не >>будет 80, если только на 192.168.137.1 чегото не намутили >>тут по моему вместо from 192.168.137.0/24 80 лучше указать входящий интерфейс > Тоесть я понимаю что правило будет типа того > ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос если на 192.168.137.1 был сделан nat перед отправкой в vpn, то да, а если на 192.168.137.1 был сделан проброс сразу на ip web сервера (допустим 192.168.11.10) то и пиши правило для такого адреса, а nat c 192.168.137.1 убирай (писал уже что в логах при nat получиш) ${FwCMD} add fwd ${ciscogate} tcp from any to 192.168.11.10 80 # Запрос > > ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ > ну почему по вашему тут ответ должен быть на 80 порт? с 80 !!! (допустим ip web сервера 192.168.11.10) ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от PavelR (??) on 27-Сен-10, 22:44
	> ну почему по вашему тут ответ должен быть на 80 порт? с Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем и внешнем интерфейсах.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	23. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от DeadLoco (ok) on 28-Сен-10, 04:38
	>> ну почему по вашему тут ответ должен быть на 80 порт? с > Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем > и внешнем интерфейсах. Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	25. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 28-Сен-10, 12:06
	>>> ну почему по вашему тут ответ должен быть на 80 порт? с >> Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем >> и внешнем интерфейсах. > Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам. Открыл и вижу что форфард не срабатывает, пытаеться отдать пакеты через шлюз провайдера. А должен валить в впн.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	26. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 28-Сен-10, 12:07
	${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ Так то все верно Все что пришло от 192.168.11.10 с порта 80 куда угодно форвардить на ${vpn1gate}
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	31. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от Aquarius (ok) on 30-Сен-10, 13:35
	> Тоесть я понимаю что правило будет типа того > ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос > ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ если эти оба правила касаются одной сессии, то я не понимаю, как это может быть; IMHO, тогда должно быть что-то вроде ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any # Ответ ну, или наоборот, ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 80 to any # Запрос ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ , но тогда я совсем ничего не понимаю
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

8. "ipfw vpn 1 vpn 2"	+/–
Сообщение от PavelR (??) on 27-Сен-10, 22:14
># Редиректим ответы от циски на VPN 1 (можно обьединить в одно >правило) ># Редиректим запросы с впн на cisco Ну если можно объединить в одно правило, и ты понимаешь, что это будет хорошо, так какого не сделать это ? Я же приводил пример с пробросом портов и "два провайдера" - ну посмотри в него внимательнее, всего-то делов. Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо быть выше крыши энтузиастом и иметь призвание к "преподавательству"... >С флагами на ipfw туго.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от xservices (ok) on 27-Сен-10, 22:23
	>># Редиректим ответы от циски на VPN 1 (можно обьединить в одно >>правило) >># Редиректим запросы с впн на cisco > Ну если можно объединить в одно правило, и ты понимаешь, что это > будет хорошо, так какого не сделать это ? > Я же приводил пример с пробросом портов и "два провайдера" - ну > посмотри в него внимательнее, всего-то делов. > Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо > быть выше крыши энтузиастом и иметь призвание к "преподавательству"... >>С флагами на ipfw туго. Где приводил?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "ipfw vpn 1 vpn 2"	+/–
	Сообщение от PavelR (??) on 27-Сен-10, 22:28
	>[оверквотинг удален] >>>правило) >>># Редиректим запросы с впн на cisco >> Ну если можно объединить в одно правило, и ты понимаешь, что это >> будет хорошо, так какого не сделать это ? >> Я же приводил пример с пробросом портов и "два провайдера" - ну >> посмотри в него внимательнее, всего-то делов. >> Разбираться каше, которую пишет человек с минимальным пониманием - ну это надо >> быть выше крыши энтузиастом и иметь призвание к "преподавательству"... >>>С флагами на ipfw туго. > Где приводил? в одной из твоих тем. Поискать ?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору