LINUX.ORG.RU
ФорумAdmin

Вопрос по IPFW


0

0

Увожаемые Гуру. Вопрос по IPFW.
Везде пишут что правила divert должны быть прописаны
в самом верху а потом открывать порты с наружи. Например :

/sbin/ipfw add 10 divert natd ip from 192.168.1.0/24 to any out via ed0
/sbin/ipfw add 20 divert natd ip from any to 200.200.200.1 in via ed0

Но тогда получается что весь входящий трафик попадает под правило 20
и все что приходит на внешний сетевой интерфейс перенаправляется на NATD. Но зачем допустим пакет который пришел на 80 порт из вне отправлять на НАТ. Пробовал вначале окрывать порты на внешней сетевой карте а потом диверт, но так неработет локалка с инетом. Подскажите, я что то немогу въехать. Спасибо.

anonymous

а к чему ты это спрашиваешь ? http сервер не наботает ?


#!/bin/sh

ipfw="/sbin/ipfw -q"
/sbin/ipfw -f flush

${ipfw} add 6 pass ip from me to any

${ipfw} add 4 count ip from any to any

${ipfw} add 16 pass all from any to any via rl1

#natd incoming
${ipfw} add 100 divert natd ip from any to realxxxxx
${ipfw} add 102 check-state


#my sshd priviazan k 443 portu ...
${ipfw} add 103 pass tcp from 162.168.161.210 to me 443
${ipfw} add 103 pass tcp from 12.168.0.0/16 to me 443
${ipfw} add 103 pass tcp from 180.83.0.0/16 to me 443
${ipfw} add 105 pass tcp from 32.168.12.27 to me 80
${ipfw} add 103 deny tcp from any to me 443
${ipfw} add 103 deny tcp from any to me 3306
${ipfw} add 104 pass tcp from any to me 1024-65536
${ipfw} add 106 pass udp from any to me 1024-65536
${ipfw} add 108 pass icmp from any to me


#remember state for sessions subject to nat

${ipfw} add 110 skipto 60000 ip from 10.0.1.0/24 to any out via rl0 keep-state

${ipfw} add 200 deny log all from any to any


${ipfw} add 60000 divert natd all from 10.0.1.0/24 to any out via rl0

${ipfw} add 60010 pass all from any to any

anonymous
()
Ответ на: комментарий от anonymous

Укажите где ошибка в правилах. rl0 - Внешний интерфейс. rl1 - Внутренний. #!/bin/sh

/sbin/ipfw -f flush /sbin/ipfw add check-state /sbin/ipfw add allow ip from any to any via lo0 /sbin/ipfw/add divert natd ip from 192.168.0.1/24 to any out via rl0 /sbin/ipfw add devirt natd ip from any to 195.195.195.195 in via rl0

/sbin/ipfw add allow ip from me to any keep-state /sbin/ipfw add allow ip from any to any via rl1 /sbin/ipfw add deny ip from any to any

Нифига не работает.

anonymous
()
Ответ на: комментарий от anonymous

Укажите где ошибка в правилах.
rl0 - Внешний интерфейс.
rl1 - Внутренний.
#!/bin/sh

/sbin/ipfw -f flush
/sbin/ipfw add check-state
/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw/add divert natd ip from 192.168.0.1/24 to any out via rl0
/sbin/ipfw add devirt natd ip from any to 195.195.195.195 in via rl0

/sbin/ipfw add allow ip from me to any keep-state
/sbin/ipfw add allow ip from any to any via rl1
/sbin/ipfw add deny ip from any to any

Нифига не работает.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin