NATD a redirect_port do vnitrni site mi nejede (FreeBSD 4.4)
Josef Hrabec
j.hrabec at jtp.cz
Wed Nov 28 14:52:45 CET 2001
Nejcastejsi postup pomoci ipfw(8):
1. Vytvorit kernel s:
options IPFIREWALL
options IPDIVERT
2. Do /etc/rc.conf pridat:
gateway_enable="YES"
natd_enable="YES"
natd_interface="ed0" # jmeno "vystupniho" interface
firewall_enable="YES"
firewall_type="open" # prip. jiny typ viz. /etc/rc.firewall
3. reboot
Ale to vlastne mate vice mene udelano - jestli treba nemate nejakou chybu v
ipfw pravidlech,
rc.firewall je pro zacatek dobre voditko.
Pepa.
----- Original Message -----
From: "David Marko" <dmarko at digi-trade.cz>
To: <users-l at freebsd.cz>
Sent: Wednesday, November 28, 2001 1:23 PM
Subject: NATD a redirect_port do vnitrni site mi nejede (FreeBSD 4.4)
>
> Mam pocit ze to mam vse nainstalovano a nakonfigurovano podle dokumentace.
> Tzn.
> kernel:
> options IPFIREWALL
> options IPFIREWALL_VERBOSE
> options IPFIREWALL_VERBOSE_LIMIT=120
> options IPFIREWALL_FORWARD
> options IPFIREWALL_DEFAULT_TO_ACCEPT
> options IPDIVERT
>
> v rc.conf pak mam:
>
> gateway_enable="YES"
> firewall_enable="YES"
> firewall_script="/usr/local/etc/firewall/firewall.rules"
>
> natd_enable="YES"
> natd_program="/sbin/natd"
> natd_interface="xl0"
> natd_flags="-redirect_port tcp 192.168.2.5:80 80 -redirect_port tcp
> 192.168.2.1:1352 1352"
>
>
> script pro firewall je pro testovani nasledujici
>
> #Flush all rules
> ipfw -f flush
> ipfw add 500 divert natd all from any to any via $oif
> ipfw add 10000 allow ip from any to any
>
>
> xl0 = externi adapter
> xl1 = interni adapter
>
> Nicemne mi to dela nasledujici:
> 1. Smerem ven se z vnitrni site pres natd dostanu
> 2. Pristupem na venkovni adapter se dostanu na vsechny porty krome tech
> ktere jsou pro nadefinovany pres -redirect_port
> 3. Kdyz dam natd na vnitrni adapter a v redirect_port je adresa vnitrniho
> serveru ta to jede (samozrejme pres vnitrni adapter)
>
> Tzn. Zda se ze mu to nejede pres dva adaptery. tzn z xl0 -> xl1 ->
> vnitrni sit a zpet.
> Firewallem to neni, ten je otevren dokoran.
>
> Je potrebna jeste nejaka konfigurace, kterou jsem opomnel?
>
>
> Díky za jakoukoliv radu
> David Marko
> --------------------------------------------------------------------------
------------------------------
>
> I.F.T. DIGI TRADE spol. s r.o., areal VUHZ, 739 52 Dobra 240
> tel. 0658 601 767 fax. 0658 601 768, http://www.ift.digi-trade.cz
>
>
More information about the Users-l
mailing list