The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ПЕРЕБРОС ПОРТА В ЛОКАЛКУ!!!  - в недоумении"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ПЕРЕБРОС ПОРТА В ЛОКАЛКУ!!!  - в недоумении"  
Сообщение от Shaokoa email on 08-Дек-06, 00:53 
продолжение темы: https://www.opennet.ru/openforum/vsluhforumID1/70753.html

Дело обстоит таким образом:
имеем локальную сеть и Интернет. Между ними стоит Шлюз( FreeBSD 4.9), IPFilter + IPNat.
+   rl0 - внешний интерфейс(реальный АйПи И-нета) = 194,44,хх,хх
    rl1 - интерфейс на шлюзе к которому подключен WWW-сервер(Апач) = 10,0,0,100/8
    dc0 - то что глядид в локальную сеть = 192,168,0,100/24
    ng0 - интерфейс ВПН-сервера, через который окальная сеть ходит в И-нет = 10,1,4,0/24

дальше по порядку:  
   rl0 - статический, рельный адресс в И-нете, тут все ясно!
   rl1 - интерфейс к которому подключен ВВВ-сервер(10,0,0,200) с установленым Апачем(порт 80)
   dc0 - тут все понятно, здесь пользователи создают подключения к ВПН-серверу(MPD) на шлюзе, получают свои АйПи из подсети 10,1,4,0/24, по которым потом имеют выход в И-нет.
   ng0 - виртуальный и-фес с которого клиенты лок. сети выходят в инет.

Выход в интернет реализован с помощью IPFilter + IPNat.
Вот их правила(все лишнее было закоментировано):
===================   ipnat.rules   ====================
serv# more /etc/ipnat.rules

rdr rl0 194.44.хх.хх/32 port 8080 -> 10.0.0.200 port 80

map rl0 10.1.4.0/24 -> 194.44.хх.хх/32 proxy port ftp ftp/tcp
map rl0 10.1.4.0/24 -> 194.44.хх.хх/32 portmap tcp/udp 40000:60000
map rl0 10.1.4.0/24 -> 194.44.хх.хх/32
========================================================

=====================  ipf.rules  ======================

serv# more /etc/ipf.rules
pass out quick on rl0 proto tcp from 10.1.4.0/24 to any flags S/FSRA keep state
pass out quick on rl0 proto udp from 10.1.4.0/24 to any keep state
pass in all
pass out all
========================================================

Клиенты все выходят и НАТятся в и-нет. все на Ура!
Хочу сделать проброс порта внутрь сети на ВВВ-сервер(АПАЧ), который стоит за интерфейсом rl1 шлюза и имеет АйПи 10,0,0,200/24.  Для этого и написана строчка в файлике ipnat.rules:

rdr rl0 194.44.хх.хх/32 port 8080 -> 10.0.0.200 port 80   , причем , как видно из правила, обращаемся мы на порт 8080, а НАТ перекидовает правило  на порт 80.     При такой конструкции и запросе из И-нета вот что выдает  TCPDUMP -t -i rl1 НА ШЛЮЗЕ:
===============  TCPDUMP -t -i rl1 НА ШЛЮЗЕ  =========================
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
140-13-124-91.pool.ukrtel.net.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK> (DF)
========================================================================
а вот это приходит на ВВВ-сервере:
================  TCPDUMP -t -i rl1 НА ВВВ-сервере  ====================
arp reply 10.0.0.200 is-at 00:80:48:20:23:8e (oui Unknown)
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
IP 91.124.13.140.oceansoft-lm > 10.0.0.200.http: S 1775778128:1775778128(0) win 65535 <mss 1440,nop,nop,sackOK>
========================================================================

Как видно выше - пропихиваются только запросы, нет ниодного ответа от ВВВ-сервера и дальше соответственно. Запрашивающий сервер из и-нета получает "Ошибку 404..."
Фаервол на ВВВ-сервере ОТКРЫТ.   В чем могут быть грабли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "проверить default gateway"  
Сообщение от gindos (??) on 08-Дек-06, 05:44 
сам однажды наступил на подобные грабли - оказалось на хосте, порт которого я пробрасывал (в Вашем случае ВВВ-сервер) default gateway стоял неправильный... может и у Вас так?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "проверить default gateway"  
Сообщение от Shaokoa email on 08-Дек-06, 08:30 
>сам однажды наступил на подобные грабли - оказалось на хосте, порт которого
>я пробрасывал (в Вашем случае ВВВ-сервер) default gateway стоял неправильный... может
>и у Вас так?


Гляну... но нат вроде бы  ничего не указано...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "проверить default gateway"  
Сообщение от Shaokoa email on 08-Дек-06, 08:31 
А каким он в таком случае должен стоять?   10,0,0,100???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "проверить default gateway"  
Сообщение от Shaokoa email on 08-Дек-06, 11:51 
>А каким он в таком случае должен стоять?   10,0,0,100???


Прописка РОУТЕРА НЕ ПОМОГАЕТ!   ГЕТЕВЕЯ ТОЖЕ(хоть он тут не причем...)     Комп просто не хочет отсылать никаких ответов! ни ВВВ ни ФТР  ни ССХ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "проверить default gateway"  
Сообщение от Scorpiy email(??) on 08-Дек-06, 17:08 
Проблема не в ВВВ-сервере...  попробовал делать переброс из сети на него(поменяв правила) - таже история с анралогичными данными в тспдампе.   Пробовал делать переброс на другой, комп в сети, - таже история и теже самые параметры в пакетном фильтре.  

ХЕЛП!!!!    Может непорядок где-то с таблицами НАТа???   может нужно какой-то маршрут прописать для обратной связи?   или первый пакет создает тунель для соединения?  


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "проверить default gateway"  
Сообщение от Shaokoa email on 10-Дек-06, 17:44 
Люди, будтедобры дайте рабочий конфиг такого переброса.   Я сам уже разберусь если никто не береться разобраться в чем дело и ткнуть носом.  
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру