LINUX.ORG.RU
ФорумAdmin

Проброс портов во внутреннюю сеть

 , ,


0

1

Добрый день,

Для возможности дистанционной диагностики мед.оборудования, стоит задача пробросить вовнутрь локальной сети, где оно установлено, подключения с внешнего IP-шника. Инженером указан список требуемых портов, которые требуются для работы:

500 UDP
4500 UDP
50 IP (ESP)

На шлюзе с внешним IP используется FreeBSD 8.2, natd, ipfw. С первыми двумя портами udp более менее схема проброса понятна (хотя до практической реализации еще не дошло), т.к. вызывает опасение последний указанный протокол ESP. Как нужно описать правила его для проброса, у кого-то есть рабочие примеры?


Судя по портам да названиям протоколов, тебе нужен IPsec и NAT Traversal (NAT-T). Необходимые примеры настройки есть на опеннете и лиссяре.

alex-w ★★★★★
()
Последнее исправление: alex-w (всего исправлений: 1)

В линуксе

$ /sbin/modinfo xt_esp
filename:       /lib/modules/`uname -r`/kernel/net/netfilter/xt_esp.ko
alias:          ip6t_esp
alias:          ipt_esp
description:    Xtables: IPsec-ESP packet match
author:         Yon Uriarte <yon@astaro.de>
license:        GPL
depends:        x_tables
anonymous
()
int = "192.168.1.1"
pass in on egress proto udp from any to any port {isakmp, ipsec-nat-t} rdr-to $int
pass in on egress proto esp from any to any port 50 rdr-to $int

Как-то так.

beastie ★★★★★
()
Ответ на: комментарий от alex-w

Сам шлюз в данном случае выступает как промежуточное прозрачное звено, на котором развернут комплекс ПО по учету и управлению трафиком пользователей по выходу их в интернет, контроль доступа к ресурсам и т.д. Задача прокинуть через него насквозь соединение по Ipsec для возможности подключений к внутреннему IP-адресу мед.оборудования за шлюзом.

NAT Traversal заменяет системный natd, дополняя его возможностями или работает параллельно. То ли это, что нужно.

mrrc
() автор топика
Ответ на: комментарий от mrrc

Опен, но у ipfw синтакс схожий. И у меня там кстати баг (невнимательно читал), надо бы так:

pass in on egress proto esp from any to any rdr-to $int

beastie ★★★★★
()

Тебе лучше всего будет организовать VPN так будет безопасней, используй OPEN_vpn, но если все таки надумал пробрасывать порты то тебе это придется делать через natd так как nat у тебя работает через демон natd

В /etc/natd.conf добавляем такую строчку

redirect_port udp 10.10.10.10:500 500 redirect_port udp 10.10.10.10:4500 4500

rootmaster
()
Ответ на: комментарий от rootmaster

IPSec поверх OpenVPN? А что? Мусьё знает толк в извращениях!

beastie ★★★★★
()
Ответ на: комментарий от rootmaster

Зачем мне VPN самому поднимать, моя задача дать доступ строго к управляющей аппаратом железке, обслуживанием которой занимаются специалисты Siemens-а. Это их задача поднять на ней\к ней тоннель, никто более заниматься этим не должен.

Разумеется речь идет о natd, с пробросом udp вопрос понятен, больше интересует как ESP так же прокинуть, пришел к такому конфигу.

/etc/natd.conf
same_ports yes
use_sockets yes
redirect_port udp 192.168.2.102:500 500
redirect_port udp 192.168.2.102:4500 4500
redirect_proto esp 192.168.2.102

Не пробовал в действии пока, удаленного не хочу копаться с natd, завтра будучи рядом с терминалом проверю.

Изначально меня смутило в целом требование «50 IP (ESP)», а пятьдесят в данном случае всего лишь номер протокола esp.

mrrc
() автор топика
Ответ на: комментарий от mrrc

Мне кажется или у вас закончились знаки вопроса?

NAT Traversal заменяет системный natd, дополняя его возможностями или работает параллельно. То ли это, что нужно.

NAT Traversal это свойство IPSec, когда esp пакеты инкапсулируются в udp-пакеты, которые NAT'ятся без проблем. И порт там 4500, так что страно, зачем вас попросили настроить NAT и udp и esp пакетов.

mky ★★★★★
()
Ответ на: комментарий от mky

Чтобы вопросы вновь появились, нужно попробовать внедрить наработанное за вчерашний день, посмотреть, что получится.

NAT Traversal (NAT-T), как я понял, это технология «зашитая» в железку, позволяющая упростить создание VPN\IPsec подключений между точками и упростившая бы настройку проброса в моем случае?

В качестве железки у них как раз выступает cisco, я обязательно упомяну об этом моменте подрядчику. Было бы куда проще, если бы управляющая оборудованием железка сама могла быть инициатором установки и поддержки VPN/IPsec соединения наружу, они же хотят, чтобы они могли подключаться к ней удаленно снаружи.

mrrc
() автор топика
Ответ на: комментарий от mrrc

Да, NAT-T должен поддерживаться оборудованием, организующим ipsec (как сервером, так и клиентом). Не могу утверждать на 100%, но вроде как все «железяки» умеют это.

Они, видимо, до конца не уверены в том, сможет ли подключающаяся железяка NAT-T и просят и esp NAT'ить. Ещё написано, что ESP в тунельном режиме через NAT не пройдёт, только в транспортном режиме. С этим вам, возможно, придётся разбиратся, когда у них не заработает...

mky ★★★★★
()
Ответ на: комментарий от mky

По факту для функционирования оказалось достаточным проброса только двух UDP портов 500,4500 Задача выполнена, вопрос решен. Спасибо всем откликнувшимся.

mrrc
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.