forum.opennet.ru - "FreeBSD, ipfw + fwd" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeBSD, ipfw + fwd"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD, ipfw + fwd"
Сообщение от Evgen (??) on 22-Дек-05, 17:41 (MSK)
Здравствуйте все! Такая проблема. Есть файрволл под FreeBSD_6, за ним есть DMZ в которой находится веб-сервер с внутр.айпи(не с инетовским).Нужно из инета пробросить соединения приходящие на 80 порт к этому серваку в DMZ. на сервере 2 ифейса(предположим) 1(eth1). 10.80.1.1, alias 10.80.1.2 -этот смотрит в инет 2(eth2).192.168.1.1 - этот смотрит в DMZ правила пока такие (просто для тестирования) ipfw add 100 divert natd all from 192.168.1.0/24 to any out xmit eth1 ipfw add 200 divert natd all from any to 10.80.1.1 in recv eth1 ipfw add 300 fwd ${apache(192.168.1.2)},80 all from any to 10.80.1.2 80 ipfw add allow ip from any to any ну вот и все...при таком раскладе нат работает.а форвард нет. подскажите что нет так.?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

FreeBSD, ipfw + fwd, alk, 19:03 , 22-Дек-05, (1)

FreeBSD, ipfw + fwd, Evgen, 11:48 , 23-Дек-05, (2)

FreeBSD, ipfw + fwd, idle, 14:19 , 23-Дек-05, (3)

FreeBSD, ipfw + fwd, Evgen, 17:12 , 23-Дек-05, (4)

FreeBSD, ipfw + fwd, dz, 22:48 , 23-Дек-05, (5)

FreeBSD, ipfw + fwd, Evgen, 11:28 , 26-Дек-05, (6)

Сообщения по теме [Сортировка по времени, UBB]

1. "FreeBSD, ipfw + fwd"

Сообщение от alk (??) on 22-Дек-05, 19:03  (MSK)

man natd
ключевое слово -redirect_port

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD, ipfw + fwd"

Сообщение от Evgen (??) on 23-Дек-05, 11:48  (MSK)

>man natd
>ключевое слово -redirect_port

спасибо за совет-попробую.
но хочется сделать через fwd.
причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний интерфейс файрволла....а  вот с файрвола в инет они уже не уходят почему то. И следовательно машина клиент в инете ответа дождаться не может.почему так?может какое правило еще нужно?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD, ipfw + fwd"

Сообщение от idle (ok) on 23-Дек-05, 14:19  (MSK)

>>man natd
>>ключевое слово -redirect_port
>
>
>спасибо за совет-попробую.
>но хочется сделать через fwd.
>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>интерфейс файрволла....а  вот с файрвола в инет они уже не
>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>не может.почему так?может какое правило еще нужно?
Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно в отличие от NAT не меняет заголовок пакета. Пакет оно отправит куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему не будет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeBSD, ipfw + fwd"

Сообщение от Evgen (??) on 23-Дек-05, 17:12  (MSK)

>>>man natd
>>>ключевое слово -redirect_port
>>
>>
>>спасибо за совет-попробую.
>>но хочется сделать через fwd.
>>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в
>>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине
>>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и
>>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний
>>интерфейс файрволла....а  вот с файрвола в инет они уже не
>>уходят почему то. И следовательно машина клиент в инете ответа дождаться
>>не может.почему так?может какое правило еще нужно?
>
>Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно
>в отличие от NAT не меняет заголовок пакета. Пакет оно отправит
>куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему
>не будет.

ну на это есть такая опция в ядре IPFIREWALL_FORWARD_EXTENDED - это раз.
теперь как я уже сказал- пакеты на apache-сервер в DMZ приходят.и он на них отвечает по назначению, т.е на внешний айпи файрвола -откуда они на него и валятся собственно.т.е тут вроде все нормально.а вот с файрволла эти ответные пакеты не уходят уже к клиенту их запросившему.вот в чем беда и непонятие у меня.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD, ipfw + fwd"

Сообщение от dz (ok) on 23-Дек-05, 22:48  (MSK)

http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD, ipfw + fwd"

Сообщение от Evgen (??) on 26-Дек-05, 11:28  (MSK)

>http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72
да, да.
только это тот же самый способ что предложил alk.
спасибо за пример.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD, ipfw + fwd"
Сообщение от alk (??) on 22-Дек-05, 19:03 (MSK)
man natd ключевое слово -redirect_port
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "FreeBSD, ipfw + fwd"
	Сообщение от Evgen (??) on 23-Дек-05, 11:48 (MSK)
	>man natd >ключевое слово -redirect_port спасибо за совет-попробую. но хочется сделать через fwd. причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний интерфейс файрволла....а вот с файрвола в инет они уже не уходят почему то. И следовательно машина клиент в инете ответа дождаться не может.почему так?может какое правило еще нужно?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "FreeBSD, ipfw + fwd"
	Сообщение от idle (ok) on 23-Дек-05, 14:19 (MSK)
	>>man natd >>ключевое слово -redirect_port > > >спасибо за совет-попробую. >но хочется сделать через fwd. >причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в >DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине >с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и >она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний >интерфейс файрволла....а вот с файрвола в инет они уже не >уходят почему то. И следовательно машина клиент в инете ответа дождаться >не может.почему так?может какое правило еще нужно? Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно в отличие от NAT не меняет заголовок пакета. Пакет оно отправит куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему не будет.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "FreeBSD, ipfw + fwd"
	Сообщение от Evgen (??) on 23-Дек-05, 17:12 (MSK)
	>>>man natd >>>ключевое слово -redirect_port >> >> >>спасибо за совет-попробую. >>но хочется сделать через fwd. >>причем, объясните мне пожалуйста.я запускаю tcpdump и на машине с апачем в >>DMZ и на файрволе.из инета через браузер пытаюсь пробиться к машине >>с апачем.на файрвол пакеты приходят, на апчевскую машину тоже приходят и >>она ОТВЕЧАЕТ.т.е я вижу как она отсылает пакеты назад на внешний >>интерфейс файрволла....а вот с файрвола в инет они уже не >>уходят почему то. И следовательно машина клиент в инете ответа дождаться >>не может.почему так?может какое правило еще нужно? > >Правило fwd можно применять только для пакетов идущих на localhost, потому-что оно >в отличие от NAT не меняет заголовок пакета. Пакет оно отправит >куда вы скажете, но удалённый хост принимать пакеты предназначенные не ему >не будет. ну на это есть такая опция в ядре IPFIREWALL_FORWARD_EXTENDED - это раз. теперь как я уже сказал- пакеты на apache-сервер в DMZ приходят.и он на них отвечает по назначению, т.е на внешний айпи файрвола -откуда они на него и валятся собственно.т.е тут вроде все нормально.а вот с файрволла эти ответные пакеты не уходят уже к клиенту их запросившему.вот в чем беда и непонятие у меня.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "FreeBSD, ipfw + fwd"
	Сообщение от dz (ok) on 23-Дек-05, 22:48 (MSK)
	http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "FreeBSD, ipfw + fwd"
	Сообщение от Evgen (??) on 26-Дек-05, 11:28 (MSK)
	>http://www.dzek.ru/modules.php?name=Forums&file=viewtopic&t=72 да, да. только это тот же самый способ что предложил alk. спасибо за пример.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]