RE: Namapování portu z interní IP na specifickou IP:PORT přes další rozhranní....

Ondra Koutek koutek at o-k.cz
Thu Jan 15 22:10:45 CET 2004


Myslim, ze je velka chyba zacinat s FreeBSD na verzi, ktera potazmo jeste
nebyla oficialne uvolnena. Zkuste si stahnout stabilni 4.9 a nebo novou, ale
relativne pohodovou 5.1

Dal uz to je jen otazka porozumeni budto packetfilteru nebo ipfw a
nastaveni. Kazdopadne v techto verzich by melo jit oboji zkompilovat bez
chyb.

Jinak na kterekoli verzi  (krome 5.2 tam jsem jeste nezkousel) bezproblemu
bezi IPFW+NATD se prehazovanim portu (coz dela natd)

Ondra



-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Břetislav Kubesa
Sent: Thursday, January 15, 2004 9:52 PM
To: users-l at freebsd.cz
Subject: Namapování portu z interní IP na specifickou IP:PORT přes další
rozhranní....

Zdravím,

mám tento problém : na "firewallu" (FreeBSD 5.2) jsou dvě síťové karty - pro
intranet s IP 192.168.0.1, pro přístup ven IP 192.168.100.107. Přidělená IP,
pod kterou vystupuje "firewall" na Internetu je oficiálně řekněme třeba
62.56.62.1. Na vnitřní síti na počítači s adresou 192.168.0.13 běží
zastaralá aplikace, která bohužel podporuje pouze možnost změny IP a portu,
kam se má připojit (přitom je nutné, aby se dostala na adresu 213.175.38.59
a port 1170, samozřejmě přes firewall). Jak mám daný problém vyřešit ?
Poslední, co jsem zkoušel, bylo následující (bez úspěchu) :

IPFIREWALL + NATD + TPROXY (gateway enabled)

firewall.local    # totálně bez zabezpečení ...to teď neřeším

add fwd 127.0.0.1,1170 log tcp from 192.168.0.0/24 to 192.168.0.1 1170 in
recv ed1 out xmit ed0  #loopback na tproxy
add divert natd all from any to any via ed0  # ed0 je interface pro vnější
přístup
add pass all from any to any

natd.local                     # to byl spíše další pokus (rozšířit
ipfirewall o NATD)
interface ed0 # vnější rozhranní
use_sockets yes
dynamic yes
unregistered_only yes
redirect port tcp 192.168.0.13:1170 213.175.38.59:1170  # nebo dostanou se
pakety zpět z 213.175.38.59 k počítači i bez tohoto ??

tproxy #transparent proxy ( další pokus - opět rozšíření toho, co je výše +
drobné úpravy )
tproxy -s 1170 -r nobody 213.175.38.59 1170

Při spuštění onoho programu se vytvoří spojení typu :
z 192.168.0.13 : XXXX (pokaždé jiné) na 192.168.100.107 : 1170
"CONNECTION_ESTABILISHED"
a z 192.168.100.107 : YYYY na 213.175.38.59 : 1170
"CONNECTION_ESTABILISHED"


...bohužel, u toho končím, nic dál se neděje. FreeBSD vidím teprve 5. den,
tak budu rád, pokud mi někdo poradíte, dost bych to potřeboval.
IPFILTER a IPNAT nemohu použít, nepodařilo se mi je rozběhnout, jednou nešlo
zkompilovat jádro, jednou zase po kompilaci hlásil IPFILTER chyby, prostě
jsem si s tím neporadil. Ani z nejnovějším IPFILTREM 4,0b5...
Zvláštní je, že na Win XP Prof z Proxy+ pomocí jednoduchého namapování
vnitřního portu 1170 na 213.175.38.59.1170 se daná záležitost bez problému
vyřešila, nicméně byl jsem nucen přejít na FreeBSD a tam se mi to nedaří....
;o((

Děkuji předem za nápady a děkuji tímto tvůcům, že se jim podařilo dát
dohromady něco tak skvělého a ještě k tomu free.

BK
jsem nucen přejít na 
-- 
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l






More information about the Users-l mailing list