The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD сервер + ADSL bridge + Локальная сеть"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"FreeBSD сервер + ADSL bridge + Локальная сеть"  +/
Сообщение от michaeladm (ok) on 16-Июн-10, 21:12 
Суть проблемы такова.
modem - de0 - настроен мостом, 192.168.1.2;
internet - ng0 - pppoe, внешний адрес X.X.X.X;
LAN      - de1 - локальная сеть 192.168.0.0/24;
Не могу попасть на управление модемом 192.168.1.1 - web интерфейс.

Ядро собрано
options         IPFIREWALL                    
options         IPFIREWALL_VERBOSE            
options         IPFIREWALL_VERBOSE_LIMIT=1000
options         IPFIREWALL_FORWARD            
options         IPFIREWALL_NAT                
                                              
options         IPDIVERT                      
options         DUMMYNET                      
options         DEVICE_POLLING                
                                              
options         LIBALIAS                      
                                              
options         NETGRAPH                      
options         NETGRAPH_IPFW                
options         NETGRAPH_NAT                  
options         NETGRAPH_NETFLOW              
options         NETGRAPH_SPLIT                
options         NETGRAPH_ECHO                
options         NETGRAPH_ETHER                
options         NETGRAPH_TEE                  
options         NETGRAPH_BPF                  
options         NETGRAPH_IFACE                
options         NETGRAPH_KSOCKET              
options         NETGRAPH_MPPC_ENCRYPTION      
options         NETGRAPH_PPP                  
options         NETGRAPH_PPTPGRE              
options         NETGRAPH_SOCKET              
options         NETGRAPH_TCPMSS              
options         NETGRAPH_VJC                  
                                              
options         NETGRAPH_UI                  
options         NETGRAPH_L2TP                
options         NETGRAPH_ASYNC                
options         NETGRAPH_TTY                  
options         NETGRAPH_LMI                  
options         NETGRAPH_RFC1490              
options         NETGRAPH_FRAME_RELAY          
options         NETGRAPH_HOLE                
options         NETGRAPH_CISCO

Файервол: ipfw show
00011 10041  5119206    count ip from any to any in via ng0                  
00012  9913  1543577    count ip from any to any out via ng0                
00013 16648  1515720    count ip from any to any in via de1                  
00014 11191 10191916    count ip from any to any out via de1                
00100 11747  1338280    allow ip from any to any via lo0                    
00250     9      448    fwd 192.168.1.1,80 tcp from any to me dst-port 13811
00300 19882  3303300    nat 100 ip from table(1) to any                      
00330 10032  5118774    nat 100 ip from any to 92.113.204.136                
00980  1292   325328    allow ip from any to any                            
65535     0        0    deny ip from any to any                              

НАТ настроен так:
${fwcmd} nat 100 config ip 92.113.204.136 log same_ports redirect_port tcp 192.168.1.1:80 23385

# ipfw table 1 list
92.113.204.136/32 0            
192.168.0.0/24 0              
192.168.1.0/24 0              

В rc.conf:
defaultrouter="195.5.5.200"                            
ifconfig_de0="inet 192.168.1.2 netmask 255.255.255.0"  
ifconfig_de1="inet 192.168.0.200 netmask 255.255.255.0"
gateway_enable="YES"

В локальной сети 192.168.0.0/24 куча машин - интернет есть.
А на 192.168.1.1 попасть не могу
http://92.113.204.136:13811 - не работает,
http://92.113.204.136:23385 - не работает,
http://192.168.0.200:13811 - не работает,
http://192.168.0.200:23385 - не работает.

Что подскажете?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD сервер + ADSL bridge + Локальная сеть"  +/
Сообщение от михалыч on 17-Июн-10, 06:19 
>[оверквотинг удален]
>gateway_enable="YES"
>
>В локальной сети 192.168.0.0/24 куча машин - интернет есть.
>А на 192.168.1.1 попасть не могу
>http://92.113.204.136:13811 - не работает,
>http://92.113.204.136:23385 - не работает,
>http://192.168.0.200:13811 - не работает,
>http://192.168.0.200:23385 - не работает.
>
>Что подскажете?

Что-то нагородили, для чего?
Лишнее уберите, проверьте правила и разрешения на самом модеме, должно и так все работать, без изврата с портами.
Правило 250 уберите (закомментируйте для проверки)
В правиле ната редирект порта также убрать, оставиь можно даже и так
nat 100 config if ng0 reset deny_in unreg_only same_ports

Потом, что за адрес 92.113.204.136 Выдается динамически?
Скорее всего статика, так?
Тогда почему у вас дефолтный маршрут 195.5.5.200
и зачем вам для связи с одним адресом на модеме целая сеть класса С
оставьте пару адресов, вам хватит
ifconfig_de0="inet 192.168.1.2  netmask 255.255.255.252"
соответственно на модеме прописать 192.168.1.1  netmask 255.255.255.252
или 192.168.1.1/30 (смотря как там у вас)
Ну и добавить в фаервол необходимые правила для управления по web модемом,
можно (даже нужно), чтобы пропускало только одну вашу машинку, во избежании, так сказать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "FreeBSD сервер + ADSL bridge + Локальная сеть"  +/
Сообщение от michaeladm (ok) on 17-Июн-10, 09:25 
Реальный IP действительно динамический, скриптами из mpd5 управляются правила firewall, дефолтный маршрут так-же динамический, выдается провайдером при соединении iface route default. Сервер работает в HYPER-V и заморачиваться с Гномами не камельфо (естественно, весь геморой отпал бы, если на прямую обращаться с FreeBSD на подключенный модем, или изменить ему if на 192.168.0.Х, но не то, не это не подходит по некоторым соображениям). Пользователи за сервером 192.168.0.0/24 прекрасно пользуются раздаваемым им интернетом и не должны знать о присутствии еще одного устройства в их сети, кроме администратора, который из любого места расположения хочет попасть в панель управления модемом, будь-то 92.11х.ххх.ххх:13811 или 192.168.0.200:13811. IP адрес высылается при изминении на почтовый ящик избранным для попадания по pptp в 192.168.0.0/24 сеть.
Я догадываюся что нужно прописать раутинг, но, все мои попытки тщетны по причине криворукости или недостатка мозгов-опыта.
Может пересобрать ядро с options IPFIREWALL_DEFAULT_TO_ACCEPT ?

Помогите пожалуйста прописать роутинг или изменить форвардинг.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "FreeBSD сервер + ADSL bridge + Локальная сеть"  +/
Сообщение от михалыч on 17-Июн-10, 09:43 
>[оверквотинг удален]
>раздаваемым им интернетом и не должны знать о присутствии еще одного
>устройства в их сети, кроме администратора, который из любого места расположения
>хочет попасть в панель управления модемом, будь-то 92.11х.ххх.ххх:13811 или 192.168.0.200:13811. IP
>адрес высылается при изминении на почтовый ящик избранным для попадания по
>pptp в 192.168.0.0/24 сеть.
>Я догадываюся что нужно прописать раутинг, но, все мои попытки тщетны по
>причине криворукости или недостатка мозгов-опыта.
>Может пересобрать ядро с options IPFIREWALL_DEFAULT_TO_ACCEPT ?
>
>Помогите пожалуйста прописать роутинг или изменить форвардинг.

options IPFIREWALL_DEFAULT_TO_ACCEPT это из другой оперы (пропустить/разрешить прхождение по умолчанию)
Маршрутизация у вас уже включена - gateway_enable="YES"
Ну и добавьте в фаервол разрешающие правила для вас, ну типа того
ipfw add 1 allow all from 192.168.0.200/32 to 192.168.1.0/30
ipfw add 2 allow all from 192.168.1.0/30 to 192.168.0.200/32

IP 192.168.0.200/32 соответственно ваш
и запретить остальным
ipfw add 3 deny all from 192.168.0.0/24 to 192.168.1.1/32

А вы собрались еще и извне на модем попадать? На бридж?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "FreeBSD сервер + ADSL bridge + Локальная сеть"  +/
Сообщение от michaeladm (ok) on 17-Июн-10, 09:52 
Вообще - да, на модем. А какая разница? Может вместо него будит какой-нибудь ВЕБ-сервер и вообще с другим адресом, например 172.16.32.123 (другая часть сети фирмы), или сервер терминалов с адресом 172.16.32.100:3389. И нужно это дело через 92.1х.х.х:ХХХХ пропускать. Как быть в таком случае?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру