Администрирование Windows XP за FireWall

mar · Отправлено: **13:56, 28-01-2005** | #2

grav
как именно добавляли редирект?
добавили ли tcp и udp ? (если нужно и то, и то)

НО: я бы ни за что не стала давать всем и каждому проход на администрирование виндовой машины в локалке (общее правило на firewall). Я в таких случаях действую следующим образом:

-1) экаунт на firewall (у Вас он, судя по всему имеется)
-2) ssh -C -L 3389:xxx.xxx.xxx.xxx:3389 (где локальное dns-имя , или ip Вашей XP в локалке)
-3) дальше либо запускаем эту самую утилиту, соединяясь с localhost, либо, если у Вас тоже XP и с той же службой
- в пункте 2 пишем ssh -C -L 3389:имя:3389 и прописываем его у себя в hosts как 127.0.0.1
- или ssh -C -L левый_порт:xxx.xxx.xxx.xxx:3389 и соединяемся утилитой по левому порту с localhost

При этом соедимнение устанавливаете только Вы, временно и по шифрованному каналу

grav · Отправлено: **14:39, 28-01-2005** | #3

редирект делал так:
в rc.conf добавил строку

natd_flags="-redirect_port tcp 10.0.0.2:3389 3389"

в ipfw:

divert 8668 tcp from any to any 3389
divert 8668 ip from 10.0.0.2 to any
allow tcp from any to any 3389
allow tcp from any 3389 to any

Ваше предложение оказалось для меня сложноватым для понимания. 2 пункт насколько я понимаю выполняется на сервере FireWall, hosts у меня на машине с XP. Так? Тогда не очень понятна запись прописываем его у себя в hosts как 127.0.0.1
его - это кого?
Извиняюсь за глупые вопросы, во FreeBSD новичок еще

mar · Отправлено: **21:06, 28-01-2005** | #4

нет, ipfw и natd в такой связке по моему пониманию на отработают (что они и не сделали :])
Забудем про них (в смысле заремьте эти строки) и давайте займемся ssh (поскольку, если человек

Цитата:

во FreeBSD новичок еще

, то и не будем курочить сервак ради того, чтобы проковырять в нем большую, толстую и общую дыру к виндам. ОК?

пункт 2 - это строка, с котрой Вы со своей какой-то локальной машины, имеющей ssh-клиента соединяетесь с firewall-ом. После такой команды Ваша домашняя машина будет воспринимать свой собственный порт номер какой-то там, как соответствующий порт нужной Вам машины, находящейся за firewall-ом. В этом случае вы можете подсоединяться к той, удаленной машине по соответствующему порту просто, как к localhost
Поскольку я вполне допускаю, что у Вас на локальной машине может быть открыта та же служба на том же порту, то в этом случае надо либо назначить себе другой порт для выхода, либо обратиться к удаленной машине не как к localhost, а по имени. А имя (например its_name.loc) ее прописать на своей домашней машине в файле hosts следующим образом:

Код:

127.0.0.1                  its_name.loc

grav · Отправлено: **16:53, 31-01-2005** | #5

Пакетики все же доходят до моей машины. Но почему-то FireWall стандартный в WinXP их отбрасывает. Это видно из логов:
2005-01-31 16:44:38 OPEN TCP xxx.xxx.xxx.240 xxx.xxx.xxx.241 3192 3389 - - - - - - - -
2005-01-31 16:44:40 DROP TCP 10.0.0.2 xxx.xxx.xxx.240 3389 3192 48 SA 2431264628 1295630654 64240 - - -
2005-01-31 16:44:42 DROP TCP 10.0.0.2 xxx.xxx.xxx.240 3389 3192 48 SA 2431264628 1295630654 64240 - - -
2005-01-31 16:44:43 DROP TCP 10.0.0.2 xxx.xxx.xxx.240 3389 3192 40 A 2431264629 1295630654 64240 - - -
2005-01-31 16:44:49 DROP TCP 10.0.0.2 xxx.xxx.xxx.240 3389 3192 48 SA 2431264628 1295630654 64240 - - -
2005-01-31 16:44:49 DROP TCP 10.0.0.2 xxx.xxx.xxx.240 3389 3192 40 A 24312

Точнее почему отбрасывает видно, запрос на соединение посылается с 240 на 241, а ответ приходит от машины из локалки 10.0.0.2. Что сделать, чтобы ответ приходил от 241?

grav · Отправлено: **19:06, 31-01-2005** | #6

А с ssh я так и не разобрался. Наскодлько я понимаю надо подключится к FireWall, потом ввести команду ssh -C -L 3389:10.0.0.2:3389. Если так, то команда у меня не срабатывает, а выдает правила использования ssh. И еще не понятно, почему соединятся надо с localhost?

grav · Отправлено: **19:21, 31-01-2005** | #7

Поставил программу Tera Term с плугином ttsh. Там можно настроить форвардинг 3389:10.0.0.30:3389. Пробую соединится с localhost, утилита не хочет, говорит вы уже подключены к консоли компьютера. Пробовал вместо ip и имя писать, тоже самое.

grav · Отправлено: **13:48, 01-02-2005** | #8

Все работает. Оказывается не надо никаких divert. Просто строчка natd_flags="-redirect_port tcp 10.0.0.2:3389 3389"нужна в rc.conf.

Но возникла другая проблема. Если мне нужно администрить другую машину, нужны изменения в rc.conf и перезагрузка всей машины. Перезагрузить отдельно natd не получается, возможно ли это? Пробовал так: killall -HUP natd. Как быть?