1 Тема от Sysman (16-02-2012 15:39:47 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Тема: FreeBSD8.1+IPFW+NATD RDP из внешки

============Конфиг /etc/rc.firewall================

#!/bin/sh
FwCMD="/sbin/ipfw"
lanout="fxp0"
lanin="em0"
ipout="88.195.2.61"
ipin="172.16.0.1"
netin="172.16.0.0/22"
# Sbrasyvaem vse pravila:
${FwCMD} -f flush
#
${FwCMD} add allow ip from any to 127.0.0.1
${FwCMD} add allow ip from 127.0.0.1 to any
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${netin} to any 80 via ${lanout}
${FwCMD} add allow all from any to any via lo0
${FwCMD} add check-state
#!!! ROUTING
#${FwCMD} add divert 199 ip from any to any out xmit ${lanin}
#${FwCMD} add divert 199 ip from any to any in recv ${lanin}
#${FwCMD} add divert 199 ip from any to any out xmit ${lanout}
${FwCMD} add divert natd ip from any to any out via ${lanout}
${FwCMD} add divert natd ip from any to me in via ${lanout}
#${FwCMD} add divert 199 ip from any to any in recv ${lanout}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${ipout} to any out xmit ${lanout}
#${FwCMD} add 70 pass tcp from any to 172.16.0.254 20,21,49152-65534 via fxp0
# DNS udp zaprosy po 53 portu
${FwCMD} add allow udp from any 53 to any via ${lanout}
${FwCMD} add allow udp from any to any 53 via ${lanout}
#${FwCMD} add allow ip from any to ${netin} in via ${lanin}
#${FwCMD} add allow ip from ${netin} to any out via ${lanin}
#!!! RAZRESHENO
#HTTP WEB SERVER iz vnutrenney seti y vneshnei
${FwCMD} add allow tcp from any to ${ipout} 80 in via ${lanout} setup
${FwCMD} add allow tcp from any to ${ipin} 80 in via ${lanin} setup
# PING
${FwCMD} add allow icmp from any to any out via ${lanout} keep-state
${FwCMD} add allow icmp from any to any in via ${lanout}
# Mail POP SMTP
${FwCMD} add allow tcp from any to any 110 via ${lanin}
${FwCMD} add allow tcp from any to any 110 via ${lanout}
${FwCMD} add allow tcp from any to any 25 via ${lanin}
${FwCMD} add allow tcp from any to any 25 via ${lanout}
#LDAP
${FwCMD} add allow tcp from any to any 389 via ${lanin}
# WWW
${FwCMD} add allow tcp from any to any 80 via ${lanin}
${FwCMD} add allow tcp from any to any 443 via ${lanin}
#FTP
${FwCMD} add pass tcp form any 21 to any
${FwCMD} add pass tcp from any to any 21
#${FwCMD} add pass tcp from any 20 to any
#${FwCMD} add pass tcp from any to any 20
#Пассивный режим FTP
${FwCMD} add pass tcp from any 50100-50200 to any
${FwCMD} add pass tcp from any to any 50100-50200
#RDP
${FwCMD} add pass tcp from any 3389 to any
${FwCMD} add pass tcp from any to any 3389
#
#NOD32
${FwCMD} add allow tcp from any to any 2221 via ${lanin}
#${FwCMD} add allow tcp from any to any 2221 via ${lanout}
${FwCMD} add allow tcp from any to any 49801 via ${lanout}
${FwCMD} add allow tcp from any to any 49801 via ${lanin}
#DNS
${FwCMD} add allow udp from any to any via ${lanin}
${FwCMD} add allow udp from any to any via ${lanout}
#SHH
${FwCMD} add allow tcp from any to any 22 via ${lanin}
#uVNC
${FwCMD} add allow tcp from any to any 5900,5500 via ${lanin}
#!!! Zapreshaem vsio ostalnoe
${FwCMD} add deny all from any to any

================Конфиг /etc/natd.conf=======================
same_ports yes
use_sockets yes
unregistered_only yes
interface fxp0
#port 199
redirect_port tcp 172.16.0.4:2221 49801
redirect_port tcp 172.16.0.4:3389 38888
redirect_port tcp 172.16.0.254:3389 3389
redirect_port tcp 172.16.0.254:21 21
redirect_port tcp 172.16.0.254:20 20

Помогите открыть доступ из внешки по RDP в локалку, на машину 172.16.0.254, вроде все верно, но не пашет!

2 Ответ от Alexander

  • Откуда: Germany
  • Зарегистрирован: 19-05-2005
  • Сообщений: 1,141
  • User Karma: 8

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

same_ports yes - вроде не надо.
use_sockets yes
unregistered_only yes

и эти тоже не нужно.

/etc/rc.conf
natd_enable="YES"

есть?

И сначала откройте вообще фаервол и поставьте на стандартный.
Как только заработает НАТ, можно будет и фаервол откопать.  А то получается, что не понятно где чего искать

Добавлено: 16-02-2012 14:50:35

Как только откроете фаервол, вывод ipfw show в студию для начала.

3 Ответ от Sysman (17-02-2012 14:46:19 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Открыл фаервол:
===========/etc/rc.conf===========
# -- sysinstall generated deltas -- # Tue Jan 31 20:20:47 2012
# Created: Tue Jan 31 20:20:47 2012
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="88.195.2.62"
gateway_enable="YES"
hostname="Server.BROZEX"
ifconfig_fxp0="inet 88.195.2.61  netmask 255.255.252.0"
ifconfig_em0="inet  172.16.0.1 netmask 255.255.252.0"
keymap="ru.koi8-r"
sshd_enable="YES"
#FIREWALL
firewall_enable="YES"
firewall_type="open"
#firewall_type="/etc/rc.firewall"
firewall_logging="YES"
#NAT
natd_enable="YES"
#natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
#ipnat_enable="YES"
#ipnat_program="/sbin/ipnat -CF -f"
#ipnat_rules="/etc/ipnat.rules"
#ipnat_flags=""
#DNS
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"
#DHCP
#dhcpd_enable="YES"
#dhcpd_flags="-q"
#dhcpd_ifaces="em0"
#dhcpd_conf="/usr/local/etc/dhcpd.conf"
#MYSQL
mysql_enable="YES"
#APACHE
apache22_enable="YES"
#SQUID
squid_enable="YES"
squid_pidfile="/var/run/squid/squid.pid"
#SAMS
sams_enable="YES"
#SENDMAIL
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
#POSTFIX
postfix_enable="YES"
#DOVECOT
dovecot_enable="YES"
#FTP
proftpd_enable="YES"

Отключил лишние строчки
===========/etc/natd.conf===========
#same_ports yes
#use_sockets yes
#unregistered_only yes
interface fxp0
#port 199
redirect_port tcp 172.16.0.4:2221 49801
redirect_port tcp 172.16.0.4:3389 38888
redirect_port tcp 172.16.0.254:3389 3389
redirect_port tcp 172.16.0.254:21 21
redirect_port tcp 172.16.0.254:20 20

Все равно доступа по RDP нет, инет работает, пассивный режим FTP с редиректом тоже, что не так то?

Вот ipfw show:
00100    1344     201886 allow ip from any to 127.0.0.1
00200 4067114  227758404 allow ip from 127.0.0.1 to any
00300   10000    1803094 fwd 127.0.0.1,3128 tcp from 172.16.0.0/22 to any dst-port 80 via fxp0
00400       0          0 allow ip from any to any via lo0
00500       0          0 check-state
00600 2054290 5764154077 divert 8668 ip from any to any out via fxp0
00700   22886   13875614 divert 8668 ip from any to me in via fxp0
00800 2126902 5802067772 allow tcp from any to any established
00900    2566     165023 allow ip from 82.195.2.61 to any out xmit fxp0
01000     756     240740 allow udp from any 53 to any via fxp0
01100       0          0 allow udp from any to any dst-port 53 via fxp0
01200       0          0 allow tcp from any to 82.195.2.61 dst-port 80 in via fxp0 setup
01300       9        432 allow tcp from any to 172.16.0.1 dst-port 80 in via em0 setup
01400      56       4256 allow icmp from any to any out via fxp0 keep-state
01500     134       7496 allow icmp from any to any in via fxp0
01600      79       3808 allow tcp from any to any dst-port 110 via em0
01700       0          0 allow tcp from any to any dst-port 110 via fxp0
01800       9        432 allow tcp from any to any dst-port 25 via em0
01900      18        940 allow tcp from any to any dst-port 25 via fxp0
02000       0          0 allow tcp from any to any dst-port 389 via em0
02100    1490      77256 allow tcp from any to any dst-port 80 via em0
02200     395      19172 allow tcp from any to any dst-port 443 via em0
02300       4        192 allow tcp from any to any dst-port 21
02400       0          0 allow tcp from any 50100-50200 to any
02500       4        192 allow tcp from any to any dst-port 50100-50200
02600       0          0 allow tcp from any to any dst-port 2221 via em0
02700       0          0 allow tcp from any to any dst-port 49801 via fxp0
02800       0          0 allow tcp from any to any dst-port 49801 via em0
02900       0          0 allow tcp from any to any dst-port 1004 via em0
03000      38       4681 allow udp from any to any dst-port 87 via em0
03100       0          0 allow tcp from any to any dst-port 1111 via em0
03200       0          0 allow tcp from any to any dst-port 1119 via em0
03300       6        288 allow tcp from any to any dst-port 1239 via em0
03400       0          0 allow tcp from any to any dst-port 1389 via em0
03500       0          0 allow tcp from any to any dst-port 1494 via em0
03600      16        768 allow tcp from any to any dst-port 2041 via em0
03700       8        384 allow tcp from any to any dst-port 2042 via em0
03800       0          0 allow tcp from any to any dst-port 2106 via em0
03900       0          0 allow tcp from any to any dst-port 2225 via em0
04000       0          0 allow tcp from any to any dst-port 2226 via em0
04100       0          0 allow tcp from any to any dst-port 22273 via em0
04200       0          0 allow tcp from any to any dst-port 2512 via em0
04300       0          0 allow tcp from any to any dst-port 2513 via em0
04400       0          0 allow tcp from any to any dst-port 2593 via em0
04500       0          0 allow tcp from any to any dst-port 2802 via em0
04600       0          0 allow tcp from any to any dst-port 2897 via em0
04700       0          0 allow tcp from any to any dst-port 30025 via em0
04800       0          0 allow tcp from any to any dst-port 30110 via em0
04900       0          0 allow tcp from any to any dst-port 3279 via em0
05000       0          0 allow tcp from any to any dst-port 3306 via em0
05100       0          0 allow tcp from any to any dst-port 33333 via em0
05200       0          0 allow tcp from any to any dst-port 3345 via em0
05300       0          0 allow tcp from any to any dst-port 3345 via fxp0
05400       0          0 allow tcp from any to any dst-port 3724 via em0
05500       0          0 allow tcp from any to any dst-port 3732 via em0
05600       0          0 allow tcp from any to any dst-port 4080 via em0
05700       0          0 allow tcp from any to any dst-port 4081 via em0
05800      73       3504 allow tcp from any to any dst-port 4455 via em0
05900       0          0 allow tcp from any to any dst-port 4455 via fxp0
06000       0          0 allow tcp from any to any dst-port 4466 via em0
06100       0          0 allow tcp from any to any dst-port 4477 via em0
06200       0          0 allow tcp from any to any dst-port 4480 via em0
06300       0          0 allow tcp from any to any dst-port 465 via em0
06400       4        192 allow tcp from any to any dst-port 5222 via em0
06500       0          0 allow tcp from any to any dst-port 55154 via em0
06600       0          0 allow tcp from any to any dst-port 5670 via em0
06700       0          0 allow tcp from any to any dst-port 5680 via em0
06800       0          0 allow tcp from any to any dst-port 5690 via em0
06900       0          0 allow tcp from any to any dst-port 5690 via fxp0
07000       0          0 allow tcp from any to any dst-port 587 via em0
07100       0          0 allow tcp from any to any dst-port 6112 via em0
07200       0          0 allow tcp from any to any dst-port 6667 via em0
07300       0          0 allow tcp from any to any dst-port 6881 via em0
07400       0          0 allow tcp from any to any dst-port 6999 via em0
07500       0          0 allow tcp from any to any dst-port 7001 via em0
07600       0          0 allow tcp from any to any dst-port 7007 via em0
07700       0          0 allow tcp from any to any dst-port 7777 via em0
07800       0          0 allow tcp from any to any dst-port 8080 via em0
07900       0          0 allow tcp from any to any dst-port 8081 via em0
08000       0          0 allow tcp from any to any dst-port 8093 via em0
08100       0          0 allow tcp from any to any dst-port 8129 via em0
08200       0          0 allow tcp from any to any dst-port 8420 via em0
08300       0          0 allow tcp from any to any dst-port 8888 via em0
08400       0          0 allow tcp from any to any dst-port 8889 via em0
08500       0          0 allow tcp from any to any dst-port 9014 via em0
08600     148       7828 allow icmp from any to any via em0
08700     131      42983 allow udp from any to any dst-port 67,68 via em0
08800    3799     549249 allow udp from any to any via em0
08900     190      24714 allow udp from any to any via fxp0
09000       1         48 allow tcp from any to any dst-port 22 via em0
09100       0          0 allow tcp from any to any dst-port 5900,5500 via em0
09200     999      48164 deny ip from any to any
65535       3        128 allow ip from any to any

4 Ответ от E_gorka (17-02-2012 10:21:05 отредактировано E_gorka)

  • E_gorka
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 22-02-2011
  • Сообщений: 105
  • User Karma: 6

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

В /etc/rc.conf все дважды указано, или это глюк копипаста?

5 Ответ от Sysman (17-02-2012 14:41:13 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

E_gorka пишет:

В /etc/rc.conf все дважды указано, или это глюк копипаста?

Исправил, видимо глюк, у меня в конфиге все по разу))

6 Ответ от Alexander

  • Откуда: Germany
  • Зарегистрирован: 19-05-2005
  • Сообщений: 1,141
  • User Karma: 8

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Sysman пишет:

Вот ipfw show:
firewall_enable="YES"
firewall_type="open"

После рестарта фаервола,  "ipfw show" должен показывать совершенно иное. Всего три или макс. четыре строчки.
Или забыли
#sh /etc/rc.firewall

?

7 Ответ от Sysman (17-02-2012 15:19:49 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

В /etc/rc.conf открыл фаервол: firewall_type="open" и ребутнул сервак, после этого сделал ipfw show.

8 Ответ от Alexander

  • Откуда: Germany
  • Зарегистрирован: 19-05-2005
  • Сообщений: 1,141
  • User Karma: 8

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Значит файл /etc/rc.firewall уже испорчен.
Ставьте стандартный.
А если нужно отдельный запускать, то firewall_script="/etc/ipfw.vash"
и там можно баловать с настройками.

9 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

да и кстати в том выводе что есть, вообще про 3389 порт ничего нет.

firewall_type="/etc/rc.firewall"

это вообще что-то новое.

10 Ответ от Sysman (17-02-2012 16:34:21 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Alexander пишет:

Значит файл /etc/rc.firewall уже испорчен.

Не панимаю, когда ставлю open в rc.conf он вообще не должен смотреть rc.firewall
Почему он испорчен, фаервол же читает команды из этого конфига...

Добавлено: 17-02-2012 17:32:13

crash пишет:

да и кстати в том выводе что есть, вообще про 3389 порт ничего нет.

Я просто каментил строчки с 3389 портом, т.к. не работало.

Вот ipfw show c с этими строчками

ipfw show
00100     16058     13709090 allow ip from any to 127.0.0.1
00200 143038659   8010164502 allow ip from 127.0.0.1 to any
00300    195678     30461698 fwd 127.0.0.1,3128 tcp from 172.16.0.0/22 to any dst-port 80 via fxp0
00400        84         9764 allow ip from any to any via lo0
00500         0            0 check-state
00600  71906064 203773958856 divert 8668 ip from any to any out via fxp0
00700    418108    334576795 divert 8668 ip from any to me in via fxp0
00800  73032548 204646460263 allow tcp from any to any established
00900     39000      2657837 allow ip from 82.195.2.61 to any out xmit fxp0
01000      7004      2102528 allow udp from any 53 to any via fxp0
01100         0            0 allow udp from any to any dst-port 53 via fxp0
01200         1           52 allow tcp from any to 82.195.2.61 dst-port 80 in via fxp0 setup
01300       148         7224 allow tcp from any to 172.16.0.1 dst-port 80 in via em0 setup
01400       247        13896 allow icmp from any to any out via fxp0 keep-state
01500      3223       900810 allow icmp from any to any in via fxp0
01600       503        24296 allow tcp from any to any dst-port 110 via em0
01700         0            0 allow tcp from any to any dst-port 110 via fxp0
01800        60         2880 allow tcp from any to any dst-port 25 via em0
01900       366        18516 allow tcp from any to any dst-port 25 via fxp0
02000         0            0 allow tcp from any to any dst-port 389 via em0
02100     12779       642672 allow tcp from any to any dst-port 80 via em0
02200       777        38216 allow tcp from any to any dst-port 443 via em0
02300         0            0 allow tcp from any to any dst-port 21
02400        30         1536 allow tcp from any 50100-50200 to any
02500         0            0 allow tcp from any to any dst-port 50100-50200
02600         0            0 allow tcp from any 3389 to any
02700         6          280 allow tcp from any to any dst-port 3389
02800         0            0 allow tcp from any 3390 to any
02900         0            0 allow tcp from any to any dst-port 3390
03000        80         4008 allow tcp from any to any dst-port 2221 via em0
03100        80         4008 allow tcp from any to any dst-port 2221 via fxp0
03200         0            0 allow tcp from any to any dst-port 49801 via fxp0
03300         0            0 allow tcp from any to any dst-port 49801 via em0
03400         0            0 allow tcp from any to any dst-port 1004 via em0
03500        76         8413 allow udp from any to any dst-port 87 via em0
03600         0            0 allow tcp from any to any dst-port 1111 via em0
03700         0            0 allow tcp from any to any dst-port 1119 via em0
03800        12          576 allow tcp from any to any dst-port 1239 via em0
03900         0            0 allow tcp from any to any dst-port 1389 via em0
04000         0            0 allow tcp from any to any dst-port 1494 via em0
04100         1           52 allow tcp from any to any dst-port 2041 via em0
04200         1           52 allow tcp from any to any dst-port 2042 via em0
04300         0            0 allow tcp from any to any dst-port 2106 via em0
04400         0            0 allow tcp from any to any dst-port 2225 via em0
04500         0            0 allow tcp from any to any dst-port 2226 via em0
04600         0            0 allow tcp from any to any dst-port 22273 via em0
04700         0            0 allow tcp from any to any dst-port 2512 via em0
04800         0            0 allow tcp from any to any dst-port 2513 via em0
04900         0            0 allow tcp from any to any dst-port 2593 via em0
05000         0            0 allow tcp from any to any dst-port 2802 via em0
05100         0            0 allow tcp from any to any dst-port 2897 via em0
05200         0            0 allow tcp from any to any dst-port 30025 via em0
05300         0            0 allow tcp from any to any dst-port 30110 via em0
05400         0            0 allow tcp from any to any dst-port 3279 via em0
05500         0            0 allow tcp from any to any dst-port 3306 via em0
05600         0            0 allow tcp from any to any dst-port 33333 via em0
05700         0            0 allow tcp from any to any dst-port 3345 via em0
05800         0            0 allow tcp from any to any dst-port 3345 via fxp0
05900         0            0 allow tcp from any to any dst-port 3724 via em0
06000         0            0 allow tcp from any to any dst-port 3732 via em0
06100         0            0 allow tcp from any to any dst-port 4080 via em0
06200         0            0 allow tcp from any to any dst-port 4081 via em0
06300       545        26160 allow tcp from any to any dst-port 4455 via em0
06400         0            0 allow tcp from any to any dst-port 4455 via fxp0
06500         0            0 allow tcp from any to any dst-port 4466 via em0
06600         0            0 allow tcp from any to any dst-port 4477 via em0
06700         0            0 allow tcp from any to any dst-port 4480 via em0
06800         0            0 allow tcp from any to any dst-port 465 via em0
06900         9          460 allow tcp from any to any dst-port 5222 via em0
07000         0            0 allow tcp from any to any dst-port 55154 via em0
07100         0            0 allow tcp from any to any dst-port 5670 via em0
07200         0            0 allow tcp from any to any dst-port 5680 via em0
07300         0            0 allow tcp from any to any dst-port 5690 via em0
07400         0            0 allow tcp from any to any dst-port 5690 via fxp0
07500         0            0 allow tcp from any to any dst-port 587 via em0
07600         0            0 allow tcp from any to any dst-port 6112 via em0
07700         0            0 allow tcp from any to any dst-port 6667 via em0
07800      1638        78624 allow tcp from any to any dst-port 6881 via em0
07900         0            0 allow tcp from any to any dst-port 6999 via em0
08000         0            0 allow tcp from any to any dst-port 7001 via em0
08100         0            0 allow tcp from any to any dst-port 7007 via em0
08200         0            0 allow tcp from any to any dst-port 7777 via em0
08300        38         1824 allow tcp from any to any dst-port 8080 via em0
08400         0            0 allow tcp from any to any dst-port 8081 via em0
08500         0            0 allow tcp from any to any dst-port 8093 via em0
08600         0            0 allow tcp from any to any dst-port 8129 via em0
08700         0            0 allow tcp from any to any dst-port 8420 via em0
08800         2          104 allow tcp from any to any dst-port 8888 via em0
08900         0            0 allow tcp from any to any dst-port 8889 via em0
09000         0            0 allow tcp from any to any dst-port 9014 via em0
09100      1538        89313 allow icmp from any to any via em0
09200       488       159934 allow udp from any to any dst-port 67,68 via em0
09300     38777      5135217 allow udp from any to any via em0
09400     11774      1602068 allow udp from any to any via fxp0
09500         1           52 allow tcp from any to any dst-port 22 via em0
09600         0            0 allow tcp from any to any dst-port 5900,5500 via em0
09700     10501       517828 deny ip from any to any
65535       719       903096 allow ip from any to any

11 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Не панимаю, когда ставлю open в rc.conf он вообще не должен смотреть rc.firewall

кто вам сказал такую ерунду? И куда он вообще тогда должен смотреть?
включите логирование правил, можно снифером ловить что у вас там вторится

12 Ответ от Sysman

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

crash пишет:

включите логирование правил, можно снифером ловить что у вас там вторится

Ок, попробую включить логирование, но это уже только на следующей неделе

Добавлено: 20-02-2012 09:48:30

Только это, про RDP ничего...

Feb 20 10:36:27 Server kernel: ipfw: 9700 Deny TCP 172.16.1.76:2183 192.168.0.4:2222 in via em0
Feb 20 10:36:28 Server kernel: ipfw: 9700 Deny TCP 172.16.1.157:1172 192.168.0.4:2222 in via em0
Feb 20 10:36:28 Server kernel: ipfw: 9700 Deny TCP 172.16.1.23:1508 192.168.0.4:2222 in via em0
Feb 20 10:36:29 Server kernel: ipfw: 9700 Deny TCP 172.16.1.132:2041 192.168.0.4:2222 in via em0
Feb 20 10:36:30 Server kernel: ipfw: 9700 Deny TCP 172.16.1.76:2183 192.168.0.4:2222 in via em0
Feb 20 10:36:31 Server kernel: ipfw: 9700 Deny TCP 172.16.1.238:1849 192.168.0.4:2222 in via em0
Feb 20 10:36:31 Server kernel: ipfw: 9700 Deny TCP 172.16.1.66:2899 192.168.0.4:2222 in via em0
Feb 20 10:36:31 Server kernel: ipfw: 9700 Deny TCP 172.16.1.193:2631 192.168.0.4:2222 in via em0
Feb 20 10:36:31 Server kernel: ipfw: 9700 Deny TCP 172.16.0.4:11539 192.168.0.4:2222 in via em0
Feb 20 10:36:32 Server kernel: ipfw: 9700 Deny TCP 172.16.1.132:2041 192.168.0.4:2222 in via em0
Feb 20 10:36:33 Server kernel: ipfw: 9700 Deny TCP 172.16.1.238:1849 192.168.0.4:2222 in via em0
Feb 20 10:36:34 Server kernel: ipfw: 9700 Deny TCP 172.16.1.61:1788 192.168.0.4:2222 in via em0
Feb 20 10:36:34 Server kernel: ipfw: 9700 Deny TCP 172.16.1.193:2631 192.168.0.4:2222 in via em0
Feb 20 10:36:34 Server kernel: ipfw: 9700 Deny TCP 172.16.0.4:11539 192.168.0.4:2222 in via em0
Feb 20 10:36:35 Server kernel: ipfw: 9700 Deny TCP 172.16.1.23:1508 192.168.0.4:2222 in via em0
Feb 20 10:36:36 Server kernel: ipfw: 9700 Deny TCP 172.16.1.76:2183 192.168.0.4:2222 in via em0
Feb 20 10:36:37 Server kernel: ipfw: 9700 Deny TCP 172.16.1.61:1788 192.168.0.4:2222 in via em0
Feb 20 10:36:38 Server kernel: ipfw: 9700 Deny TCP 46.48.126.98:1464 82.195.2.61:49800 in via fxp0
Feb 20 10:36:38 Server kernel: ipfw: 9700 Deny TCP 172.16.1.132:2041 192.168.0.4:2222 in via em0
Feb 20 10:36:39 Server kernel: ipfw: 9700 Deny TCP 172.16.1.238:1849 192.168.0.4:2222 in via em0
Feb 20 10:36:40 Server kernel: ipfw: 9700 Deny TCP 172.16.1.193:2631 192.168.0.4:2222 in via em0
Feb 20 10:36:40 Server kernel: ipfw: 9700 Deny TCP 172.16.0.4:11539 192.168.0.4:2222 in via em0
Feb 20 10:36:41 Server kernel: ipfw: 9700 Deny TCP 46.48.126.98:1464 82.195.2.61:49800 in via fxp0
Feb 20 10:36:41 Server kernel: ipfw: 9700 Deny TCP 172.16.1.146:2180 192.168.0.4:2222 in via em0
Feb 20 10:36:43 Server kernel: ipfw: 9700 Deny TCP 172.16.1.61:1788 192.168.0.4:2222 in via em0
Feb 20 10:36:43 Server kernel: ipfw: 9700 Deny TCP 172.16.1.163:1934 192.168.0.4:2222 in via em0
Feb 20 10:36:44 Server kernel: ipfw: 9700 Deny TCP 172.16.1.146:2180 192.168.0.4:2222 in via em0
Feb 20 10:36:46 Server kernel: ipfw: 9700 Deny TCP 172.16.1.163:1934 192.168.0.4:2222 in via em0
Feb 20 10:36:47 Server kernel: ipfw: 9700 Deny TCP 172.16.1.195:1579 192.168.0.4:2222 in via em0
Feb 20 10:36:47 Server kernel: ipfw: 9700 Deny TCP 172.16.1.48:1194 192.168.0.4:2222 in via em0
Feb 20 10:36:47 Server kernel: ipfw: 9700 Deny TCP 46.48.126.98:1464 82.195.2.61:49800 in via fxp0
Feb 20 10:36:49 Server kernel: ipfw: 9700 Deny TCP 172.16.1.22:4563 192.168.0.4:2222 in via em0
Feb 20 10:36:49 Server kernel: ipfw: 9700 Deny TCP 172.16.1.195:1579 192.168.0.4:2222 in via em0
Feb 20 10:36:50 Server kernel: ipfw: 9700 Deny TCP 172.16.1.48:1194 192.168.0.4:2222 in via em0
Feb 20 10:36:50 Server kernel: ipfw: 9700 Deny TCP 172.16.1.146:2180 192.168.0.4:2222 in via em0
Feb 20 10:36:51 Server kernel: ipfw: 9700 Deny TCP 172.16.0.254:1547 192.168.0.4:2222 in via em0
Feb 20 10:36:52 Server kernel: ipfw: 9700 Deny TCP 172.16.1.22:4563 192.168.0.4:2222 in via em0
Feb 20 10:36:52 Server kernel: ipfw: 9700 Deny TCP 172.16.1.163:1934 192.168.0.4:2222 in via em0
Feb 20 10:36:54 Server kernel: ipfw: 9700 Deny TCP 172.16.1.12:3342 192.168.0.4:2222 in via em0
Feb 20 10:36:54 Server kernel: ipfw: 9700 Deny TCP 172.16.0.254:1547 192.168.0.4:2222 in via em0
Feb 20 10:36:55 Server kernel: ipfw: 9700 Deny TCP 172.16.1.195:1579 192.168.0.4:2222 in via em0
Feb 20 10:36:56 Server kernel: ipfw: 9700 Deny TCP 172.16.1.48:1194 192.168.0.4:2222 in via em0
Feb 20 10:36:57 Server kernel: ipfw: 9700 Deny TCP 172.16.1.12:3342 192.168.0.4:2222 in via em0
Feb 20 10:36:58 Server kernel: ipfw: 9700 Deny TCP 172.16.1.22:4563 192.168.0.4:2222 in via em0

13 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

по логам вроде ничего у вас не запрещено по 3389. Как вариант попробуйте 

allow tcp from any to any dst-port 3389

заменить на 

allow tcp from any to any dst-port 3389 setup

14 Ответ от Sysman

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

crash пишет:

allow tcp from any to any dst-port 3389 setup

Тоже не помогло  sad

15 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

в винде вы отключили фаерволы, брэндмауэры?

16 Ответ от Sysman (20-02-2012 13:31:00 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

crash пишет:

в винде вы отключили фаерволы, брэндмауэры?

Я поменял шлюз, раньше стоял Kerio на windows, все нормально подключалось по RDP

Добавлено: 21-02-2012 15:06:50

Всем спасибо, проблема решилась, тему можно закрыть

17 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

и в чем была проблема?

18 Ответ от Sysman

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

crash пишет:

и в чем была проблема?

Да вообщем я знакомого просил, что бы он пробовал подключаться ко мне по рдп из внешки. Сам сегодня решил с телефона подключиться, и вуаля)) Видимо изначально все работало

19 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

эээ. То есть вы из локалки пытались прицепиться по RDP на внешний айпишник свой же?

20 Ответ от Sysman (21-02-2012 18:18:16 отредактировано Sysman)

  • Sysman
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 16-02-2012
  • Сообщений: 10

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

crash пишет:

эээ. То есть вы из локалки пытались прицепиться по RDP на внешний айпишник свой же?

Не, я просил знакомого подключиться из внешки на мой внешний ip по rdp, он говорил что не может. Еще я сам пробывал так же подключившись к компу по рдп который находиться тоже во внешке, подключаться по рдп на мой внешний ip, но не получалось, даже telnetom. Я думаю что у знакомого и у компа к которому я подключался просто нет доступа из локалки во внешнюю сеть по портам 3389 и тех которые я назначал ридеректом. Фуф, кое как сформулировал)))

21 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,089
  • User Karma: 29

Re: FreeBSD8.1+IPFW+NATD RDP из внешки

Вы кое как сформулировали, а я нифига не понял. Ну да ладно, работает и хорошо.