The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"перенаправление портов во FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 11:54 
Здрасьте всем.
От старого админа достался прокси-сервер на FreeBSD 6.1, поднят squid 2.6, с FreeBSD я столкнулся первый раз в жизни.
Перестало работать RDP соединение у директора из дома на рабочий компьютер. При запуске команда netstate -a показывает что RDP открыт, но соединение с домашнего компа не проходит.
Где искать подскажите, или может есть готовые решения для "фри", тогда ткните носом...

P.S. запущены какие то unixgate-ы и nat.d (насколько я понимаю они используются для перенаправления из внешней сети по внутренним адресам) но как они настраиваются не нашел (((

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "перенаправление портов во FreeBSD"  +/
Сообщение от DeadLoco (ok) on 06-Май-10, 13:12 
>От старого админа достался прокси-сервер на FreeBSD 6.1, поднят squid 2.6, с
>FreeBSD я столкнулся первый раз в жизни.

Лучше найти грамотного админа.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "перенаправление портов во FreeBSD"  +/
Сообщение от Pahanivo (ok) on 06-Май-10, 13:14 
rdp на free? открыт? ))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 13:23 
>rdp на free? открыт? ))

фря по идее должна перебросить на рабочу машину (виндовую) rdp запрос.
запрос нетстат показывает:
tcp4  0  0  *.3386  *.*  LISTEN
tcp4  0  0  *.rdp  *.*  LISTEN

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "перенаправление портов во FreeBSD"  +/
Сообщение от Pahanivo (ok) on 06-Май-10, 13:59 
>>rdp на free? открыт? ))
>
>фря по идее должна перебросить на рабочу машину (виндовую) rdp запрос.
>запрос нетстат показывает:
>tcp4  0  0  *.3386  *.*  LISTEN
>tcp4  0  0  *.rdp  *.*  LISTEN

sockstat | grep 3386

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 14:06 
>>>rdp на free? открыт? ))
>>
>>фря по идее должна перебросить на рабочу машину (виндовую) rdp запрос.
>>запрос нетстат показывает:
>>tcp4  0  0  *.3386  *.*  LISTEN
>>tcp4  0  0  *.rdp  *.*  LISTEN
>
>sockstat | grep 3386

я не знаю что это но она вроде выполнилась... по крайней мере ошибку никакую не показало...

PS. ошибку допустил: не tcp4  0  0  *.3386  *.*  LISTEN, а tcp4  0  0  *.3306  *.*  LISTEN


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "перенаправление портов во FreeBSD"  +/
Сообщение от Pahanivo (ok) on 06-Май-10, 16:30 
>[оверквотинг удален]
>>>tcp4  0  0  *.rdp  *.*  LISTEN
>>
>>sockstat | grep 3386
>
>я не знаю что это но она вроде выполнилась... по крайней мере
>ошибку никакую не показало...
>
>PS. ошибку допустил: не tcp4  0  0  *.3386  
>*.*  LISTEN, а tcp4  0  0  *.3306
> *.*  LISTEN

сложно приведенную команду в консоль скопипастить???
sockstat
sockstat | grep 3386

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 16:44 
>[оверквотинг удален]
>>я не знаю что это но она вроде выполнилась... по крайней мере
>>ошибку никакую не показало...
>>
>>PS. ошибку допустил: не tcp4  0  0  *.3386  
>>*.*  LISTEN, а tcp4  0  0  *.3306
>> *.*  LISTEN
>
>сложно приведенную команду в консоль скопипастить???
>sockstat
>sockstat | grep 3386

именно так и сделал
>sockstat  - выдал список всех процессов.
>sockstat | grep 3386 - ничего не выдал

root     syslogd    385   5  dgram  /var/run/logpriv
root     syslogd    385   6  udp6   *:514                 *:*
root     syslogd    385   7  udp4   *:514                 *:*
root     devd       323   4  stream /var/run/devd.pipe
server# sockstat | grep 3386
server#    

там конечно больше вышло...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "перенаправление портов во FreeBSD"  +/
Сообщение от Square (ok) on 07-Май-10, 02:58 

>сложно приведенную команду в консоль скопипастить???
>sockstat
>sockstat | grep 3386

порт для рдп - 3389 :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "перенаправление портов во FreeBSD"  +/
Сообщение от Pahanivo (ok) on 07-Май-10, 09:18 
>
>>сложно приведенную команду в консоль скопипастить???
>>sockstat
>>sockstat | grep 3386
>
>порт для рдп - 3389 :)

епта описка ))
топикстартер ввел в заблуждение ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "перенаправление портов во FreeBSD"  +/
Сообщение от lavr email on 06-Май-10, 16:49 
>[оверквотинг удален]
>FreeBSD я столкнулся первый раз в жизни.
>Перестало работать RDP соединение у директора из дома на рабочий компьютер. При
>запуске команда netstate -a показывает что RDP открыт, но соединение с
>домашнего компа не проходит.
>Где искать подскажите, или может есть готовые решения для "фри", тогда ткните
>носом...
>
>P.S. запущены какие то unixgate-ы и nat.d (насколько я понимаю они используются
>для перенаправления из внешней сети по внутренним адресам) но как они
>настраиваются не нашел (((

если все работало, то первое предположение: изменение в настройках Windows XP
взять и проверить на другой Windows XP самостоятельно, если работает - директору
выговор за вредительство.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 16:53 
>[оверквотинг удален]
>>носом...
>>
>>P.S. запущены какие то unixgate-ы и nat.d (насколько я понимаю они используются
>>для перенаправления из внешней сети по внутренним адресам) но как они
>>настраиваются не нашел (((
>
>если все работало, то первое предположение: изменение в настройках Windows XP
>взять и проверить на другой Windows XP самостоятельно, если работает - директору
>
>выговор за вредительство.

была перезагрузка фри... а в "автозагрузке" насколько я понял эти перенаправления не стояли, и где щас что искать никто не знает, а старый админ сменил номер


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "перенаправление портов во FreeBSD"  +/
Сообщение от Amator (ok) on 06-Май-10, 17:56 
>[оверквотинг удален]
>>>настраиваются не нашел (((
>>
>>если все работало, то первое предположение: изменение в настройках Windows XP
>>взять и проверить на другой Windows XP самостоятельно, если работает - директору
>>
>>выговор за вредительство.
>
>была перезагрузка фри... а в "автозагрузке" насколько я понял эти перенаправления не
>стояли, и где щас что искать никто не знает, а старый
>админ сменил номер

Посмотрите содержимое /etc/natd.conf

и добавьте туда, если нету
строку

redirect_port tcp локальный_ip_машины_директора:3389 3389

и потом выполните

/etc/rc.d/natd restart

это верно, если используется natd - а судя по Вашим словам - так оно и есть :)

можете посмотреть
# ipfw show

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "перенаправление портов во FreeBSD"  +/
Сообщение от Amator (ok) on 06-Май-10, 17:58 
и /etc/rc.conf
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 19:59 
>и /etc/rc.conf

все сделал, дописал. RDP так и не заработал (((


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "перенаправление портов во FreeBSD"  +/
Сообщение от r0man (??) on 06-Май-10, 23:15 
Возможно нужно добавить разрешающее правило в ipfw
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 06-Май-10, 23:23 
>Возможно нужно добавить разрешающее правило в ipfw

это ipfw show

server# ipfw show
00001       52        3088 allow tcp from 195.x.x.87 to me
00002  1437704   329182289 allow tcp from 192.168.1.24 to any
00003  5289578   450762173 skipto 10 ip from 192.168.1.0/24 to me
00004   148847    14341594 skipto 10 ip from 192.168.1.24 to any
00050 33174177 25143623641 divert 8668 ip4 from any to any via 195.x.x.87
00100     1874      819682 allow ip from any to any via lo0
00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any
65000 67375551 50417318555 allow ip from any to any
65535        1          64 deny ip from any to any


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "перенаправление портов во FreeBSD"  +/
Сообщение от Square (ok) on 07-Май-10, 02:41 
>>Возможно нужно добавить разрешающее правило в ipfw
>
>это ipfw show

192.168.1.24 это не машина с рдп случаем?

Первый шаг - проверить что РДП работает на самом виндовом серве. с локалки РДП доступно?
Второй шаг - проверить rc.conf, грузится ли там натд С ВАШИМ КОНФИГОм.(может быть указан какйто иной файл с конфигом..мало ли :)
Третий шаг - проверить natd.conf в вашем случае там должны быть строки:

deny_incoming yes
same_ports yes
dynamic yes
port natd
proxy_only no
interface интерфейсвнешнегоайпишника
redirect_port tcp адрессерверасрдп:3389 внешнийадрессервера:3389

строка дениинкомингс-обязательна,иначеваш файрвол ничего не зафайрволит

Но есть одно обстоятельство: у вас странные строчки в файрволе... Доблирующие друг друга правила, ссылки указывающие в никуда... вероятно какието строчки исчезли... некоторые строчки вобще безсмысленны...а стандартно нужных- не хватает...
Не исключено что в вашем сервере еще много сюрпризов.

На самом деле лучше всего сделеать трасировку прохождения пакетов через файрвол (просмотреть глазами логи проследив какой пакетик куда не дошел) но для этого у вас вероятно нет опыта.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "перенаправление портов во FreeBSD"  +/
Сообщение от rr on 07-Май-10, 08:04 
>[оверквотинг удален]
>
>строка дениинкомингс-обязательна,иначеваш файрвол ничего не зафайрволит
>
>Но есть одно обстоятельство: у вас странные строчки в файрволе... Доблирующие друг
>друга правила, ссылки указывающие в никуда... вероятно какието строчки исчезли... некоторые
>строчки вобще безсмысленны...а стандартно нужных- не хватает...
>Не исключено что в вашем сервере еще много сюрпризов.
>
>На самом деле лучше всего сделеать трасировку прохождения пакетов через файрвол (просмотреть
>глазами логи проследив какой пакетик куда не дошел)

как это сделать?

> но для этого
>у вас вероятно нет опыта.

четвертый шаг - в ipfw должно быть разрешающее правило
allow tcp from any to хост_RDP dst-port 3389
или правило разрешающее такое

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "перенаправление портов во FreeBSD"  +/
Сообщение от Square (ok) on 07-Май-10, 08:29 
>[оверквотинг удален]
>>
>>Но есть одно обстоятельство: у вас странные строчки в файрволе... Доблирующие друг
>>друга правила, ссылки указывающие в никуда... вероятно какието строчки исчезли... некоторые
>>строчки вобще безсмысленны...а стандартно нужных- не хватает...
>>Не исключено что в вашем сервере еще много сюрпризов.
>>
>>На самом деле лучше всего сделеать трасировку прохождения пакетов через файрвол (просмотреть
>>глазами логи проследив какой пакетик куда не дошел)
>
>как это сделать?

поставить логирование..после чего смотреть лог секурити.. ну и конечно же надо понимать как пакетики проходят через файрвол... чтоб толк был от просмотра лога... :)

>
>> но для этого
>>у вас вероятно нет опыта.
>
>четвертый шаг - в ipfw должно быть разрешающее правило
>allow tcp from any to хост_RDP dst-port 3389
>или правило разрешающее такое

Нет. такого правила недолжно быть. При использовании ната- проброс порта будет разрулен натом. разрешение такового прямо в файрволе- пустит трафик мимо ната, и соответственно редиректа не произойдет.

а в текущих условиях прохождение этого пакета из ната в локалку- будет обеспечено правилом под номером 100.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "перенаправление портов во FreeBSD"  +/
Сообщение от rr on 07-Май-10, 09:47 
а поспорим?
allow tcp from any to хост_RDP dst-port 3389
- располагаясь до правила с divert, оно не принесет вреда так как адрес назначения до divert еще публичный и оно работать на внешнем интерфейсе до divert не будет
- располагаясь после правила с divert, пакет подпадает под правило и пропускается
- при этом стоит заметить, что такой пакет после правила divert считается все еще входящим для внешнего интерфейса.
- повторюсь или другое пропускающее правило.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "перенаправление портов во FreeBSD"  +/
Сообщение от Square (ok) on 07-Май-10, 09:52 
>а поспорим?
>allow tcp from any to хост_RDP dst-port 3389
>- располагаясь до правила с divert, оно не принесет вреда так как
>адрес назначения до divert еще публичный и оно работать на внешнем
>интерфейсе до divert не будет

Нет, вы определенно не обладаете должной мерой параноидальности :)))
Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от себя в вашу серую сеть? Конечно может :)) Так что никакого публичного адреса там не будет.
Но поскольку остальные пакетики  на этот порт мы публикуем в нате, то это правило лишнее.
Более того, в обратную сторону ответный пакет пойдет через нат.. и связь на этом прервется. Может с таком случае это правило тут безвредно? Нет, не безвредно.
Его можно использовать чтобы задосить машинку с РДП. Это потенциальная "трудно-обнаруживаемая дыра".

Вобщем размещать это правило до ната- безсмысленно и зловредно.

>- располагаясь после правила с divert, пакет подпадает под правило и пропускается
>
>- при этом стоит заметить, что такой пакет после правила divert считается
>все еще входящим для внешнего интерфейса.
>- повторюсь или другое пропускающее правило.

а тут это правило просто лишнее. все и так уже идет через правило нумер 65000.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "перенаправление портов во FreeBSD"  +/
Сообщение от rr on 11-Май-10, 14:31 
>[оверквотинг удален]
>>allow tcp from any to хост_RDP dst-port 3389
>>- располагаясь до правила с divert, оно не принесет вреда так как
>>адрес назначения до divert еще публичный и оно работать на внешнем
>>интерфейсе до divert не будет
>
>Нет, вы определенно не обладаете должной мерой параноидальности :)))
>Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети
>провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от
>себя в вашу серую сеть? Конечно может :)) Так что никакого
>публичного адреса там не будет.

Провайдер может, только только, можно еще до нат поместить правила
deny log logamount 1 ip from any to 192.168.0.0/16 in
deny log logamount 1 ip from any to 172.16.0.0/12 in
deny log logamount 1 ip from any to 10.0.0.0/8 in

>Но поскольку остальные пакетики  на этот порт мы публикуем в нате,
>то это правило лишнее.
>Более того, в обратную сторону ответный пакет пойдет через нат.. и связь
>на этом прервется. Может с таком случае это правило тут безвредно?
>Нет, не безвредно.
>Его можно использовать чтобы задосить машинку с РДП. Это потенциальная "трудно-обнаруживаемая дыра".
>
>
>Вобщем размещать это правило до ната- безсмысленно и зловредно.

от того и говорилось чтобы поставить правило после ната

>
>>- располагаясь после правила с divert, пакет подпадает под правило и пропускается
>>
>>- при этом стоит заметить, что такой пакет после правила divert считается
>>все еще входящим для внешнего интерфейса.
>>- повторюсь или другое пропускающее правило.
>
>а тут это правило просто лишнее. все и так уже идет через
>правило нумер 65000.

цитирую.

"- повторюсь или другое пропускающее правило"

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 07-Май-10, 09:23 
>>>Возможно нужно добавить разрешающее правило в ipfw
>>
>>это ipfw show
>
>192.168.1.24 это не машина с рдп случаем?
>

192.168.1.24 это машина с файл-сервером, но на нем тоже терминалы пашут. а проброс на машину 192.168.1.9

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 11-Май-10, 13:17 
>[оверквотинг удален]
>строка дениинкомингс-обязательна,иначеваш файрвол ничего не зафайрволит
>
>Но есть одно обстоятельство: у вас странные строчки в файрволе... Доблирующие друг
>друга правила, ссылки указывающие в никуда... вероятно какието строчки исчезли... некоторые
>строчки вобще безсмысленны...а стандартно нужных- не хватает...
>Не исключено что в вашем сервере еще много сюрпризов.
>
>На самом деле лучше всего сделеать трасировку прохождения пакетов через файрвол (просмотреть
>глазами логи проследив какой пакетик куда не дошел) но для этого
>у вас вероятно нет опыта.

RDP из локалки работает замечательно... снаружи никак
nat.d не работает совершенно....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "перенаправление портов во FreeBSD"  +/
Сообщение от dicty email(ok) on 12-Май-10, 03:01 
em1 внутренний интерфейс
em0 внешний интерфейс
/etc/natd.conf
..
same_ports      yes
interface       em0
use_sockets     yes
unregistered_only yes

..
redirect_port   tcp     192.168.1.149:3389 3389
..
-------------
Для того, чтобы правила не терялись - пропиши их в файле /etc/rc.firewall.local (так у меня)

ipfw show:
.....
10000  divert 8668 ip from any to ВНЕШНИЙ_ИП in via em0
10100  divert 8668 ip from 192.168.1.0/24 to any out via em0
...
10200  allow tcp from any to 192.168.1.149 dst-port 3389 in recv em0
10300  allow tcp from any to 192.168.1.149 dst-port 3389 out via em1
...
Почему natd два правила? Честно - не знаю, но с одним "any to any" были тормоза на исходящий трафик, даже в шелле.
Делаешь этот конфиг, перезапускаешь natd и должно работать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "перенаправление портов во FreeBSD"  +/
Сообщение от vvvet (ok) on 14-Май-10, 07:08 
Всем спасибо.
Проблема решилась написанием:
./unixgate 3389 192.168.1.9 3389 &

Тему можно закрывать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "перенаправление портов во FreeBSD"  +/
Сообщение от Square (ok) on 14-Май-10, 14:20 
>Всем спасибо.
>Проблема решилась написанием:
>./unixgate 3389 192.168.1.9 3389 &
>
>Тему можно закрывать

Вы не моглибы показать содержимое этого файла? А то гугл о существовании такой программы не знает...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру