Проброс портов на маршрутизаторе под управлением FreeBSD

user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:0b915f7a8eaa5adeccfc8b14e52f8f47' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = ' \n Вот опять потребовалось сегодня по просьбе знакомого заняться пробросом портов на маршрутизаторе, чтобы пользователь из сети Internet мог попадать на свою машину внутри локальной сети...\n \nIPNAT\nIPNAT загружается с такими параметрами:\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># cat /etc/rc.conf | grep ipnat \n ipnat_enable="YES" \n ipnat_program="/sbin/ipnat -CF -f" \n ipnat_rules="/etc/ipnat.rules"</td>\n</tr>\n</tbody>\n</table>\n\nУдаленный рабочий стол Windows работает на порту 3389. Именно его мы и будем пробрасывать.\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># cat /etc/services | grep 3389 \n rdp             3389/tcp   #Microsoft Remote Desktop Protocol</td>\n</tr>\n</tbody>\n</table>\n\nДля проброса портов в IPNAT используем команду rdr. Рассмотрим детально ее синтаксис на примере:\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># cat /etc/ipnat.rules | grep rdr \n rdr rl0 1.2.3.4 port 3389 -> 192.168.0.100 port 3389</td>\n</tr>\n</tbody>\n</table>\n\nrdr - (redirect) опция редиректа;\nrl0 - интерфейс маршрутизатора, который "смотрит" в Internet;\n1.2.3.4 - статический маршрутизируемый ip-адресс сервера, выданный нам провайдером. Именно его мы и будем указывать как адресс удаленной системы в клиентском приложении;\nport 3389 - опция, определяющая, трафик на каком порту будем редиректить во внутреннюю сеть;\n192.168.0.100 - IP-адресс компьютера во внутренней сети, на который и будем перенаправлять запросы;\nport 3389 - порт компьютера во внутренней сети, на который будет перенаправлен трафик.\n \nПосле внесения необходимых изменений в /etc/ipnat.rules, перестартовываем IPNAT:\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># /sbin/ipnat -CF -f /etc/ipnat.rules \n 183 entries flushed from NAT table \n 1 entries flushed from NAT list</td>\n</tr>\n</tbody>\n</table>\n\n  \nNATd\nПри испольвовании NATd, используется опция ядра DIVERT. Опции загрузки следующие:\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># cat /etc/rc.conf | grep nat \n natd_enable="YES" \n natd_interface="rl0" \n natd_flags="-f /etc/natd.conf"</td>\n</tr>\n</tbody>\n</table>\n\nИз указанного списка опций можно сделать следующие выводы:\n- включена поддержка natd;\n- rl0 - интерфейс, на котором "натится" трафик;\n- natd_flags - дополнительные ключи к общей конфигурации.\nПросмотрим содержание natd.conf, чтобы ознакомится с синтаксисом проброса портов.\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># cat /etc/natd.conf \n redirect_port tcp 192.168.0.100:3389 3389</td>\n</tr>\n</tbody>\n</table>\n\nЗдесь немножко меньше опций ;)\nredirect_port - включаем поддержку перенаправления трафика;\ntcp (udp) - тип трафика, который будем перенапралять;\n192.168.0.10:3389 - сокет (связка IP-адресс + порт), на который будем заворачивать трафик;\n3389 - указываем номер порта, с которого будем заворачивать трафик.\n \nПосле внесения необходимых изменений, необходимо послать демону сигнал на перезапуск службы:\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td># sh /etc/rc.d/natd restart \n Stopping natd. \n Waiting for PIDS: 635, 635, 635, 635, 635. \n Starting natd. \n Loading /lib/libalias_cuseeme.so \n Loading /lib/libalias_ftp.so \n Loading /lib/libalias_irc.so \n Loading /lib/libalias_nbt.so \n Loading /lib/libalias_pptp.so \n Loading /lib/libalias_skinny.so \n Loading /lib/libalias_smedia.so</td>\n</tr>\n</tbody>\n</table>\n\nТолько будьте осторожны и внимательны. В случае неверной конфигурации или ошибки, вы потеряете соединение с сервером, соответственно придется топать к нему с монитором и клавиатурой.\n Обратите ВНИМАНИЕ на распостраненную ошибку. Файл /etc/natd.conf должен заканчиваться пустой строкой, иначе потеря связи сервером вам гарантирована.\nPF\nО том, как настроить PF можно прочитать в <a href=\"http://muff.kiev.ua/content/nat-realizatsiya-s-pomoshchyu-pf\">этой статье</a>.\nПроброс портов реализовываем следующим методом. Добавим в /etc/pf.conf такую строку:\n<pre>\n </pre>\n<table border=\"1\" cellspacing=\"1\" cellpadding=\"1\" width=\"100%\">\n<tbody>\n<tr>\n<td>rdr on rl0 proto { tcp, udp } from any to 1.2.3.4 port 8080 -> 10.100.0.100 port 80</td>\n</tr>\n</tbody>\n</table>\n\nrdr - (redirect) опция редиректа;\non rl0 - интерфейс маршрутизатора, который "смотрит" в Internet;\nproto - ключевое слово, указывающее тип трафика для пробороса (tcp или udp);\nfrom any - сети, с которых будет работать переадресация, в нашем случае - любая сеть;\nto 1.2.3.4 - на какой IP маршрутизатора будет приходить трафик;\nport 8080 - на каком порту "слушать" запросы для перенаправления;\n10.100.0.100 port 80 - IP и порт, на который будет форвардиться трафик в локальной сети.\n', created = 1767333281, expire = 1767419681, headers = '', serialized = 0 WHERE cid = '2:0b915f7a8eaa5adeccfc8b14e52f8f47' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:315561cc357e664adf9ea03369322be3' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = 'Есть вопросик, если у клиента не стоит шлюз по уполчаниею на мою машину то "rdr on rl0 proto { tcp, udp } from any to 1.2.3.4 port 8080 -> 10.100.0.100 port 80" не работает, для примера: у меня 3 интерфейса 1й в мир (ИП 1.1.1.1), два в локал (2.2.2.2 и 3.3.3.3), при пробросе "rdr on rl0 proto tcp from any to 1.1.1.1 port 3333 -> 2.2.2.5 port 3334" у абоно шлюз на 2.2.2.2 работате, у другого "rdr on rl0 proto tcp from any to 1.1.1.1 port 4433 -> 3.3.3.5 port 4434" шлюз на 3.3.3.1 нет.\n', created = 1767333281, expire = 1767419681, headers = '', serialized = 0 WHERE cid = '2:315561cc357e664adf9ea03369322be3' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a class=\"thickbox\" href=\"/files/imagepicker/1/wake_up_ua.png\"><img alt=\"Вставай, Україно!\" class=\"imgp_img\" src=\"/files/imagepicker/1/thumbs/wake_up_ua.png\" style=\"height:200px; width:150px\" /></a>\n', created = 1767333281, expire = 1767419681, headers = '', serialized = 0 WHERE cid = '2:07243fc0252056071eaa62af8c18d662' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:cc913d232116f0426090404133377d88' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: UPDATE cache_filter SET data = '<a href=\"http://muff.kiev.ua/rss.xml\"><img alt=\"RSS\" width=\"160\" height=\"60\" src=\"http://muff.kiev.ua/files/muf-rss.png\" /></a>\n', created = 1767333281, expire = 1767419681, headers = '', serialized = 0 WHERE cid = '2:d9a86123bfcbc57878743027b584400b' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 112.
user warning: Table './muffsql1/cache_filter' is marked as crashed and should be repaired query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '3:39649256b636e3d5ded656bc52bd8c01' in /usr/local/www/muff.kiev.ua/includes/cache.inc on line 27.

Опубликовано muff в Ср, 2009-09-30 03:23

Вот опять потребовалось сегодня по просьбе знакомого заняться пробросом портов на маршрутизаторе, чтобы пользователь из сети Internet мог попадать на свою машину внутри локальной сети...

IPNAT

IPNAT загружается с такими параметрами:

# cat /etc/rc.conf | grep ipnat
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f"
ipnat_rules="/etc/ipnat.rules"

Удаленный рабочий стол Windows работает на порту 3389. Именно его мы и будем пробрасывать.

# cat /etc/services | grep 3389
rdp 3389/tcp #Microsoft Remote Desktop Protocol

Для проброса портов в IPNAT используем команду rdr. Рассмотрим детально ее синтаксис на примере:

# cat /etc/ipnat.rules | grep rdr
rdr rl0 1.2.3.4 port 3389 -> 192.168.0.100 port 3389

rdr - (redirect) опция редиректа;

rl0 - интерфейс маршрутизатора, который "смотрит" в Internet;

1.2.3.4 - статический маршрутизируемый ip-адресс сервера, выданный нам провайдером. Именно его мы и будем указывать как адресс удаленной системы в клиентском приложении;

port 3389 - опция, определяющая, трафик на каком порту будем редиректить во внутреннюю сеть;

192.168.0.100 - IP-адресс компьютера во внутренней сети, на который и будем перенаправлять запросы;

port 3389 - порт компьютера во внутренней сети, на который будет перенаправлен трафик.

После внесения необходимых изменений в /etc/ipnat.rules, перестартовываем IPNAT:

# /sbin/ipnat -CF -f /etc/ipnat.rules
183 entries flushed from NAT table
1 entries flushed from NAT list

NATd

При испольвовании NATd, используется опция ядра DIVERT. Опции загрузки следующие:

# cat /etc/rc.conf | grep nat
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

Из указанного списка опций можно сделать следующие выводы:

- включена поддержка natd;

- rl0 - интерфейс, на котором "натится" трафик;

- natd_flags - дополнительные ключи к общей конфигурации.

Просмотрим содержание natd.conf, чтобы ознакомится с синтаксисом проброса портов.

# cat /etc/natd.conf
redirect_port tcp 192.168.0.100:3389 3389

Здесь немножко меньше опций ;)

redirect_port - включаем поддержку перенаправления трафика;

tcp (udp) - тип трафика, который будем перенапралять;

192.168.0.10:3389 - сокет (связка IP-адресс + порт), на который будем заворачивать трафик;

3389 - указываем номер порта, с которого будем заворачивать трафик.

После внесения необходимых изменений, необходимо послать демону сигнал на перезапуск службы:

# sh /etc/rc.d/natd restart
Stopping natd.
Waiting for PIDS: 635, 635, 635, 635, 635.
Starting natd.
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so

Только будьте осторожны и внимательны. В случае неверной конфигурации или ошибки, вы потеряете соединение с сервером, соответственно придется топать к нему с монитором и клавиатурой.

Обратите ВНИМАНИЕ на распостраненную ошибку. Файл /etc/natd.conf должен заканчиваться пустой строкой, иначе потеря связи сервером вам гарантирована.

PF

О том, как настроить PF можно прочитать в этой статье.

Проброс портов реализовываем следующим методом. Добавим в /etc/pf.conf такую строку:

rdr on rl0 proto { tcp, udp } from any to 1.2.3.4 port 8080 -> 10.100.0.100 port 80

rdr - (redirect) опция редиректа;

on rl0 - интерфейс маршрутизатора, который "смотрит" в Internet;

proto - ключевое слово, указывающее тип трафика для пробороса (tcp или udp);

from any - сети, с которых будет работать переадресация, в нашем случае - любая сеть;

to 1.2.3.4 - на какой IP маршрутизатора будет приходить трафик;

port 8080 - на каком порту "слушать" запросы для перенаправления;

10.100.0.100 port 80 - IP и порт, на который будет форвардиться трафик в локальной сети.

Re: Проброс портов на маршрутизаторе под управлением FreeBSD

Опубликовано Гость (не проверено) в Сб, 2015-12-26 02:17.

Есть вопросик, если у клиента не стоит шлюз по уполчаниею на мою машину то "rdr on rl0 proto { tcp, udp } from any to 1.2.3.4 port 8080 -> 10.100.0.100 port 80" не работает, для примера: у меня 3 интерфейса 1й в мир (ИП 1.1.1.1), два в локал (2.2.2.2 и 3.3.3.3), при пробросе "rdr on rl0 proto tcp from any to 1.1.1.1 port 3333 -> 2.2.2.5 port 3334" у абоно шлюз на 2.2.2.2 работате, у другого "rdr on rl0 proto tcp from any to 1.1.1.1 port 4433 -> 3.3.3.5 port 4434" шлюз на 3.3.3.1 нет.