forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проброс 22 порта через FreeBCD на Linux"
Отправлено dd654, 31-Янв-20 10:28

Добрый день, Уважаемые.
Есть локалка, огорожена забором на FreeBSD 12.1, внутри кроме стандартных MS компов, есть машинка на Линуксе, на которой MySQL база, с которой работают локальные граждане и которая вместе с компом на Линуксе не моя, а внешних подрядчиков. Черный ящик для меня, вообщем. Обычно подрядчики/программисты клиентскую часть обновляли, например, через ТимВьювер, на тестовом MS-компе, а потом я уже этого клиента разносил по локальным гражданам по MS-компам. А тут они попросили сделать им прямой доступ к их серваку на Линуксе, по 22 и 3306 портам. А проброс портов у меня работал, RDP, например, WWW. Щас сделаю, говорю, трубочку не кладите, проверим. Ага...
Не вышел каменный цветок у Данилы мастера. Коннекшен рефьюзед, однако.
Вообщем, раньше был у меня natD, а тут на "ядрЁный" нат решил перейти. И затык с пробросом портов через фрю на линух. На мs - проброс работает. Есть ещё ньюанс, отличия в работе натД и ядерного. Но это чуть позже.
Вообщем, Уважаемые, подскажите, в какую сторону копать, и хде сЦобакен порылся?
Конфиги:
FreeBCD_12.1 ядро собрано с опциями:
options        IPFIREWALL
options        IPFIREWALL_VERBOSE
options        IPFIREWALL_VERBOSE_LIMIT=10
options        IPDIVERT
#Просмотр и выполнение правил IPFW по порядку:
#sysctl net.inet.ip.fw.one_pass: 1

#IPFIREWALL
#Забор
oif="re0"
oip="X.X.X.X"
onet="X.X.X.X/29"
#Огород
iif="re1"
iip="192.168.16.3"
inet="192.168.16.0/24"
# определяем пакеты через NAT
${ipfw} add nat 1 all from "table(0)"  to any out via ${oif}
${ipfw} add nat 1 all from any to ${oip} in via ${oif}
# проброс портов
${ipfw} nat 1 config if ${oif} \
redirect_port tcp 192.168.16.1:22 22 \  -> попытка проброса порта на Linux - коннект рефьюзед
redirect_port tcp 192.168.16.1:3306 3306 \ -> попытка проброса порта на Linux - коннект рефьюзед
redirect_port tcp 192.168.16.33:3389 3389 \ -> коннектится влёт. RDP
redirect_port tcp 192.168.16.12:8888 8888    -> коннектится влёт. WWW
#Заворачиваем всё, что проходит через внешний интерфейс в нат
${ipfw} add nat 1 ip from any to any via ${oif}
# разрешаем входящие  TCP и UDP на те IP, которые имеют доступ в инет
#${ipfw} add allow udp from any to "table(0)" in via ${oif}
#${ipfw} add allow tcp from any to "table(0)" in via ${oif}
# разрешаем все установленные соединения
${ipfw} add allow tcp from any to any established
# разрешаем трафик внутренней сети на внутреннем ифейсе
${ipfw} add allow ip from ${inet} to any via ${iif}
${ipfw} add allow ip from any to ${inet} via ${iif}
# запрещаем всё остальное  и пишем в лог
${ipfw} add 65534 deny log all from any to any
И про ньюанс, в отличие работы натД от ядерного. Есть у меня пара правил по безопасности, например, это на натД отсекало все входящие и пробрасываемые соединения для всех, кроме доверенных айпи. Например, мой домашний внешний айпишник, или программиста 1С тоже домашний. Портов и айпи сюда добавить нужных без проблем:
# Входящие/проброс через калитку в заборе, только для себя, любимого, порт 22
${ipfw} add pass tcp from мой.домашний.айпи to ${oip} 22 in via ${oif}
${ipfw} add pass tcp from ${oip} 22 to мой.домашний.айпи out via ${oif}
#Common Rules for SSH
#${ipfw} add allow tcp from any to ${oip} 22 in via ${oif}
${ipfw} add allow log tcp from any to me 22
А ньюанс в том, что сейчас у меня на "ядрЁном" нате, это правило работает только для входящих на фрю, например, а пробрасываемые идут, увы, мимо - не фильтруются. Почему?
Вот и вопрос, куда копать, чтобы через фрю пробросить порты на линукс? - из локалки этот линукс 100% доступен по нужным портам, да и фильтровать по айпи пробрасываемые соединения хотелось бы.
Может, подскажет кто, в чем беда, почему каменный цветочек не выходит?

Исходное сообщение
"Проброс 22 порта через FreeBCD на Linux" Отправлено dd654, 31-Янв-20 10:28
Добрый день, Уважаемые. Есть локалка, огорожена забором на FreeBSD 12.1, внутри кроме стандартных MS компов, есть машинка на Линуксе, на которой MySQL база, с которой работают локальные граждане и которая вместе с компом на Линуксе не моя, а внешних подрядчиков. Черный ящик для меня, вообщем. Обычно подрядчики/программисты клиентскую часть обновляли, например, через ТимВьювер, на тестовом MS-компе, а потом я уже этого клиента разносил по локальным гражданам по MS-компам. А тут они попросили сделать им прямой доступ к их серваку на Линуксе, по 22 и 3306 портам. А проброс портов у меня работал, RDP, например, WWW. Щас сделаю, говорю, трубочку не кладите, проверим. Ага... Не вышел каменный цветок у Данилы мастера. Коннекшен рефьюзед, однако. Вообщем, раньше был у меня natD, а тут на "ядрЁный" нат решил перейти. И затык с пробросом портов через фрю на линух. На мs - проброс работает. Есть ещё ньюанс, отличия в работе натД и ядерного. Но это чуть позже. Вообщем, Уважаемые, подскажите, в какую сторону копать, и хде сЦобакен порылся? Конфиги: FreeBCD_12.1 ядро собрано с опциями: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options IPDIVERT #Просмотр и выполнение правил IPFW по порядку: #sysctl net.inet.ip.fw.one_pass: 1 #IPFIREWALL #Забор oif="re0" oip="X.X.X.X" onet="X.X.X.X/29" #Огород iif="re1" iip="192.168.16.3" inet="192.168.16.0/24" # определяем пакеты через NAT ${ipfw} add nat 1 all from "table(0)" to any out via ${oif} ${ipfw} add nat 1 all from any to ${oip} in via ${oif} # проброс портов ${ipfw} nat 1 config if ${oif} \ redirect_port tcp 192.168.16.1:22 22 \ -> попытка проброса порта на Linux - коннект рефьюзед redirect_port tcp 192.168.16.1:3306 3306 \ -> попытка проброса порта на Linux - коннект рефьюзед redirect_port tcp 192.168.16.33:3389 3389 \ -> коннектится влёт. RDP redirect_port tcp 192.168.16.12:8888 8888 -> коннектится влёт. WWW #Заворачиваем всё, что проходит через внешний интерфейс в нат ${ipfw} add nat 1 ip from any to any via ${oif} # разрешаем входящие TCP и UDP на те IP, которые имеют доступ в инет #${ipfw} add allow udp from any to "table(0)" in via ${oif} #${ipfw} add allow tcp from any to "table(0)" in via ${oif} # разрешаем все установленные соединения ${ipfw} add allow tcp from any to any established # разрешаем трафик внутренней сети на внутреннем ифейсе ${ipfw} add allow ip from ${inet} to any via ${iif} ${ipfw} add allow ip from any to ${inet} via ${iif} # запрещаем всё остальное и пишем в лог ${ipfw} add 65534 deny log all from any to any И про ньюанс, в отличие работы натД от ядерного. Есть у меня пара правил по безопасности, например, это на натД отсекало все входящие и пробрасываемые соединения для всех, кроме доверенных айпи. Например, мой домашний внешний айпишник, или программиста 1С тоже домашний. Портов и айпи сюда добавить нужных без проблем: # Входящие/проброс через калитку в заборе, только для себя, любимого, порт 22 ${ipfw} add pass tcp from мой.домашний.айпи to ${oip} 22 in via ${oif} ${ipfw} add pass tcp from ${oip} 22 to мой.домашний.айпи out via ${oif} #Common Rules for SSH #${ipfw} add allow tcp from any to ${oip} 22 in via ${oif} ${ipfw} add allow log tcp from any to me 22 А ньюанс в том, что сейчас у меня на "ядрЁном" нате, это правило работает только для входящих на фрю, например, а пробрасываемые идут, увы, мимо - не фильтруются. Почему? Вот и вопрос, куда копать, чтобы через фрю пробросить порты на линукс? - из локалки этот линукс 100% доступен по нужным портам, да и фильтровать по айпи пробрасываемые соединения хотелось бы. Может, подскажет кто, в чем беда, почему каменный цветочек не выходит?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Добрый день, Уважаемые. > Есть локалка, огорожена забором на FreeBSD 12.1, внутри кроме стандартных MS компов, > есть машинка на Линуксе, на которой MySQL база, с которой работают > локальные граждане и которая вместе с компом на Линуксе не моя, > а внешних подрядчиков. Черный ящик для меня, вообщем. Обычно подрядчики/программисты клиентскую > часть обновляли, например, через ТимВьювер, на тестовом MS-компе, а потом я > уже этого клиента разносил по локальным гражданам по MS-компам. А тут > они попросили сделать им прямой доступ к их серваку на Линуксе, > по 22 и 3306 портам. А проброс портов у меня работал, > RDP, например, WWW. Щас сделаю, говорю, трубочку не кладите, проверим. Ага... > Не вышел каменный цветок у Данилы мастера. Коннекшен рефьюзед, однако. > Вообщем, раньше был у меня natD, а тут на "ядрЁный" нат решил > перейти. И затык с пробросом портов через фрю на линух. На > мs - проброс работает. Есть ещё ньюанс, отличия в работе натД > и ядерного. Но это чуть позже. > Вообщем, Уважаемые, подскажите, в какую сторону копать, и хде сЦобакен порылся? > Конфиги: > FreeBCD_12.1 ядро собрано с опциями: > options IPFIREWALL > options IPFIREWALL_VERBOSE > options IPFIREWALL_VERBOSE_LIMIT=10 > options IPDIVERT > #Просмотр и выполнение правил IPFW по порядку: > #sysctl net.inet.ip.fw.one_pass: 1 > #IPFIREWALL > #Забор > oif="re0" > oip="X.X.X.X" > onet="X.X.X.X/29" > #Огород > iif="re1" > iip="192.168.16.3" > inet="192.168.16.0/24" > # определяем пакеты через NAT > ${ipfw} add nat 1 all from "table(0)" to any out via > ${oif} > ${ipfw} add nat 1 all from any to ${oip} in via ${oif} > # проброс портов > ${ipfw} nat 1 config if ${oif} \ > redirect_port tcp 192.168.16.1:22 22 \ -> попытка проброса порта на Linux > - коннект рефьюзед > redirect_port tcp 192.168.16.1:3306 3306 \ -> попытка проброса порта на Linux - > коннект рефьюзед > redirect_port tcp 192.168.16.33:3389 3389 \ -> коннектится влёт. RDP > redirect_port tcp 192.168.16.12:8888 8888 -> коннектится влёт. WWW > #Заворачиваем всё, что проходит через внешний интерфейс в нат > ${ipfw} add nat 1 ip from any to any via ${oif} > # разрешаем входящие TCP и UDP на те IP, которые имеют > доступ в инет > #${ipfw} add allow udp from any to "table(0)" in via ${oif} > #${ipfw} add allow tcp from any to "table(0)" in via ${oif} > # разрешаем все установленные соединения > ${ipfw} add allow tcp from any to any established > # разрешаем трафик внутренней сети на внутреннем ифейсе > ${ipfw} add allow ip from ${inet} to any via ${iif} > ${ipfw} add allow ip from any to ${inet} via ${iif} > # запрещаем всё остальное и пишем в лог > ${ipfw} add 65534 deny log all from any to any > И про ньюанс, в отличие работы натД от ядерного. Есть у меня > пара правил по безопасности, например, это на натД отсекало все входящие > и пробрасываемые соединения для всех, кроме доверенных айпи. Например, мой домашний > внешний айпишник, или программиста 1С тоже домашний. Портов и айпи сюда > добавить нужных без проблем: > # Входящие/проброс через калитку в заборе, только для себя, любимого, порт 22 > ${ipfw} add pass tcp from мой.домашний.айпи to ${oip} 22 in via ${oif} > ${ipfw} add pass tcp from ${oip} 22 to мой.домашний.айпи out via ${oif} > #Common Rules for SSH > #${ipfw} add allow tcp from any to ${oip} 22 in via ${oif} > ${ipfw} add allow log tcp from any to me 22 > А ньюанс в том, что сейчас у меня на "ядрЁном" нате, это > правило работает только для входящих на фрю, например, а пробрасываемые идут, > увы, мимо - не фильтруются. Почему? > Вот и вопрос, куда копать, чтобы через фрю пробросить порты на линукс? > - из локалки этот линукс 100% доступен по нужным портам, да > и фильтровать по айпи пробрасываемые соединения хотелось бы. > Может, подскажет кто, в чем беда, почему каменный цветочек не выходит?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру