Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - freeBSD 7.1 and ipfw, natd -> redirect_port

Ответить
Настройки темы
FreeBSD - freeBSD 7.1 and ipfw, natd -> redirect_port

Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


доброго дня господа!
не поможете кто сталкивался с такой проблемкой
есть шлюз на freeBSD 7.1 (external_if 192.168.1.4 , internal_if 192.168.110.1)
поднят ipfw, natd
Код: Выделить всё • Развернуть
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=20
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET

rc.conf
Код: Выделить всё • Развернуть
firewall_enable="YES"
firewall_script="/etc/ipfw-rules"
firewall_logging="YES"
natd_enable="YES"
natd_flags="-f /etc/natd.conf"
natd_interface="em0"

natd.conf
redirect_port 192.168.110.3:25 25


я установил почтовый сервер на exchange2003 (192,168,110,3)

вот мое правило для отправки почты с сервака
Код: Выделить всё • Развернуть
$cmd 125 $skip tcp from 192.168.110.3 to any 25 out via $ex_if setup keep-state


а вот по поводу приема писем нифига не получается
Код: Выделить всё • Развернуть
$cmd 360 allow tcp from any to 192.168.110.3 25 in via $ex_if setup keep-state


помогите пожалуйста, че то не догоню
спасибо!!!

Отправлено: 13:01, 14-04-2009

 

Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


$cmd 010 allow all from any to any via lo0

$cmd 020 deny ip from any to 127.0.0.0/8
$cmd 030 deny ip from 127.0.0.0/8 to any

$cmd 040 allow all from any to any via $internal_if

$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $external_if

$cmd 060 divert natd ip from any to any in via $external_if

$cmd 070 check-state

$cmd 100 $skip udp from 192.168.110.2 to any 53 out via $external_if keep-state

$cmd 110 $skip icmp from any to any out keep-state

$cmd 120 $skip tcp from 192.168.110.3 to any out via $external_if setupe keep-state

$cmd 200 $skip all from $wanip to any out via $external_if setup keep-state

$cmd 210 deny all from 192.168.0.0/16 to any in via $external_if
$cmd 211 deny all from 172.16.0.0/12 to any in via $external_if
$cmd 212 deny all from 10.0.0.0/8 to any in via $external_if
$cmd 212 deny all from 10.0.0.0/8 to any in via $external_if
$cmd 213 deny all from 127.0.0.0/8 to any in via $external_if
$cmd 214 deny all from 0.0.0.0/8 to any in via $external_if
$cmd 215 deny all from 169.254.0.0/16 to any in $external_if
$cmd 216 deny all from 192.0.2.0/24 to any in via $external_if
$cmd 217 deny all from 204.152.64.0/23 to any in via $external_if
$cmd 218 deny all from 224.0.0.0/3 to any in via $external_if

$cmd 220 deny tcp from any to any 113 in via $external_if

$cmd 225 deny tcp from any to any 137 in via $external_if
$cmd 226 deny tcp from any to any 138 in via $external_if
$cmd 227 deny tcp from any to any 139 in via $external_if
$cmd 228 deny tcp from any to any 81 in via $external_if

$cmd 500 allow tcp from any to $wanip 5555 in via $external_if setup limit src-addr 2
$cmd 510 allow tcp from any to $wanip smtp in via $external_if setup keep-state

$cmd 510 allow all from any to any established


$cmd 550 deny log all from any to any

$cmd 570 divert natd ip from any to any out via $external_if

$cmd 580 allow ip from any to any

$cmd 999 deny log all from any to any

не получается отправить вложение

Отправлено: 14:01, 15-04-2009 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать


Цитата kirimey:
$cmd 060 divert natd ip from any to any in via $external_if »
Поменяйте на:
$cmd 060 divert natd ip from any to any via $external_if
И пропишите для проверки:
cmd 520 allow tcp from any to 192.168.110.3 smtp out via $internal_if
Telnet-ом из интернета пробовали подключаться к внешнему ip на 25 порт?
И приведите вывод ipfw show с количеством пакетов прошедшим через каждое правило.

-------
По'DDoS'ил и бросил :-)


Отправлено: 15:20, 15-04-2009 | #12


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


а зачем 060 строчку менять на предлогаемою

у меня же 570 строчка для исходящего ната

я сделал как Вы сказали и все равно нифига

телнетом не коннектится

я не могу прислать вложение, чето не получается

Отправлено: 16:01, 15-04-2009 | #13


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать


Цитата kirimey:
у меня же 570 строчка для исходящего ната »
До этого правила трафик не доходит т.к. 550 правило блокирует весь трафик. Соетую поставить правило divert такое как я приводил под номером 550 и посмотреть будет работать или нет.

-------
По'DDoS'ил и бросил :-)


Отправлено: 16:10, 15-04-2009 | #14


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


060 строчку закоментировал
550 тоже

570 сделал такую как Вы и сказали

и все равно
нифига

теперрь када так сделал телнетом сверху конекчусь и нифига
а вот ipfw show говорит что 510 правило какие то пакеты пропускает, но ниче не получается

Отправлено: 16:18, 15-04-2009 | #15


Пользователь


Сообщения: 71
Благодарности: 0

Профиль | Отправить PM | Цитировать


Sorry, что не совсем в тему.
Посоветуйте пожалуйста хорошую статью или книгу по ipfw такую чтобы с примерами, коментами, и тд. ну для ламера короче).... Ищу в инете находится либо не подробно, либо уж очень запутано((

Отправлено: 19:32, 15-04-2009 | #16


Новый участник


Сообщения: 26
Благодарности: 0

Профиль | Отправить PM | Цитировать


http://www.freebsd.org/cgi/man.cgi?q...SE&format=html

Отправлено: 20:04, 15-04-2009 | #17


Пользователь


Сообщения: 71
Благодарности: 0

Профиль | Отправить PM | Цитировать


пасиба
Цитата kirimey:
http://www.freebsd.org/cgi/man.cgi?q...SE&format=html »
хорошо, а по русски есть что нибудь?

Отправлено: 22:32, 15-04-2009 | #18


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать


Цитата kirimey:
060 строчку закоментировал
550 тоже
570 сделал такую как Вы и сказали
и все равно
нифига
теперрь када так сделал телнетом сверху конекчусь и нифига
а вот ipfw show говорит что 510 правило какие то пакеты пропускает, но ниче не получается »
Поставьте 570 правило вместо 60 и перезагрузите машину. Попробуйте приконектиться telnet-ом посмотри tcpdump -ом приходят ли пакеты на внешний интерфейс. И выложите все таки ipfw show с количеством прошедших пакетов.

admin666,
Вот статья про настройку ipfw.

-------
По'DDoS'ил и бросил :-)

Это сообщение посчитали полезным следующие участники:

Отправлено: 10:19, 16-04-2009 | #19


Аватара для dmitryst

Ветеран


Сообщения: 7317
Благодарности: 910

Профиль | Отправить PM | Цитировать


Цитата kirimey:
$cmd 060 divert natd ip from any to any in via $external_if »
замените на
$cmd 060 divert 8668 ip from any to any in via $external_if
если нат не работает

Цитата kirimey:
а скажите правило
...
должно быть до входящего ната или после »
нат стоит после всего - иначе он не узнает, что пакет из вашей внутренней сети (а вообще, логичнее разбить правила на 2 части - сначала на исходящие- нат последний, а потом на входящие - тут нат первым должен быть. В общем, как в хендбуке )

-------
Осваиваю FreeBSD


Отправлено: 00:20, 17-04-2009 | #20



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - freeBSD 7.1 and ipfw, natd -> redirect_port

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вопрос - FreeBSD 7.1 ipfw,natd kirimey Общий по FreeBSD 1 05-05-2009 00:27
FreeBSD - freebsd and ipfw rules + squid kirimey Общий по FreeBSD 2 24-04-2009 18:58
FreeBSD - IPFW через какие правила прошел пакет / debuging ipfw lcat Общий по FreeBSD 2 03-02-2009 10:24
FreeBSD - Jail и natd Orfan Общий по FreeBSD 2 27-08-2008 14:23
Не работает редирект в natd galex Общий по FreeBSD 11 12-12-2005 19:24




 
Переход