Namapování portu z interní IP na specifickou IP:PORT přes další rozhranní....

Břetislav Kubesa bretislav.kubesa at centrum.cz
Thu Jan 15 21:52:03 CET 2004


Zdravím,

mám tento problém : na "firewallu" (FreeBSD 5.2) jsou dvě síťové karty - pro intranet s IP 192.168.0.1, pro přístup ven IP 192.168.100.107. Přidělená IP, pod kterou vystupuje "firewall" na Internetu je oficiálně řekněme třeba 62.56.62.1. Na vnitřní síti na počítači s adresou 192.168.0.13 běží zastaralá aplikace, která bohužel podporuje pouze možnost změny IP a portu, kam se má připojit (přitom je nutné, aby se dostala na adresu 213.175.38.59 a port 1170, samozřejmě přes firewall). Jak mám daný problém vyřešit ?
Poslední, co jsem zkoušel, bylo následující (bez úspěchu) :

IPFIREWALL + NATD + TPROXY (gateway enabled)

firewall.local    # totálně bez zabezpečení ...to teď neřeším

add fwd 127.0.0.1,1170 log tcp from 192.168.0.0/24 to 192.168.0.1 1170 in recv ed1 out xmit ed0  #loopback na tproxy
add divert natd all from any to any via ed0  # ed0 je interface pro vnější přístup
add pass all from any to any

natd.local                     # to byl spíše další pokus (rozšířit ipfirewall o NATD)
interface ed0 # vnější rozhranní
use_sockets yes
dynamic yes
unregistered_only yes
redirect port tcp 192.168.0.13:1170 213.175.38.59:1170  # nebo dostanou se pakety zpět z 213.175.38.59 k počítači i bez tohoto ??

tproxy #transparent proxy ( další pokus - opět rozšíření toho, co je výše + drobné úpravy )
tproxy -s 1170 -r nobody 213.175.38.59 1170

Při spuštění onoho programu se vytvoří spojení typu :
z 192.168.0.13 : XXXX (pokaždé jiné) na 192.168.100.107 : 1170  "CONNECTION_ESTABILISHED"
a z 192.168.100.107 : YYYY na 213.175.38.59 : 1170  "CONNECTION_ESTABILISHED"


...bohužel, u toho končím, nic dál se neděje. FreeBSD vidím teprve 5. den, tak budu rád, pokud mi někdo poradíte, dost bych to potřeboval.
IPFILTER a IPNAT nemohu použít, nepodařilo se mi je rozběhnout, jednou nešlo zkompilovat jádro, jednou zase po kompilaci hlásil IPFILTER chyby, prostě jsem si s tím neporadil. Ani z nejnovějším IPFILTREM 4,0b5...
Zvláštní je, že na Win XP Prof z Proxy+ pomocí jednoduchého namapování vnitřního portu 1170 na 213.175.38.59.1170 se daná záležitost bez problému vyřešila, nicméně byl jsem nucen přejít na FreeBSD a tam se mi to nedaří.... ;o((

Děkuji předem za nápady a děkuji tímto tvůcům, že se jim podařilo dát dohromady něco tak skvělého a ještě k tomu free.

BK
jsem nucen přejít na 



More information about the Users-l mailing list