BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 12:57 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Опять вопрос по NAT

Сейчас через NAT ходят только те, кому разрешено(прописаны в таблице), остальные через squid с авторизацией в домене 2003
Потребовалось прокинуть RDP внутрь на несколько пользовательских машин, чтобы могли работать из дома.
Прописал редиректы на NAT, но приконектится не удается.
Если пользователя добавить в таблицу, IP из которой ходят через NAT, То все работает.

Но как сделать так, что пользователю было запрещено ходить через NAT, но пробросить порт можно было бы?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 1:36 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3315
Откуда: Харьков
1. создай таблицу редир
2. добавь в них нужных для проброса
3. добавь таблицу редир в нат и добавь перед нат правило с редир которое закрывает все кроме нужных портов


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 2:03 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
То есть я так понял мне придется держать еще 2 таблицы: 1 с IP для проброса, 2-ую с портами проброса?
Дело в том, что на виндовых машинах изменен порт RDP на такой же, на который приходит запрос из вне.
Юзер конектится из дома на порт 3400, на его машине RDP слушает такой же порт.
Редиректы сейчас прописаны так:
Код:
${fwcmd} nat 1 config log ip ${oip} reset same_ports \
redirect_port tcp 192.168.10.78:13883 13883 \
redirect_port tcp 192.168.10.22:3389 3389 \
redirect_port tcp 192.168.10.41:3410 3410 \
redirect_port tcp 192.168.10.81:3400 3400 \
redirect_port tcp 192.168.15.24:3399 3399 \
redirect_port tcp 192.168.15.13:3390 3390 \
redirect_port tcp 192.168.15.5:3415 3415 \
redirect_port tcp 192.168.15.16:3416 3416


Создаю таблицу с IP на котрые надо пробросить порты и прописываю в NAT:
Код:
${fwcmd} add nat 1 ip from table\(1\) to any out via ${oif}
${fwcmd} add nat 1 ip from any to ${oip} in via ${oif}

${fwcmd} add allow all from table\(1\) to not ${inet} in via ${iif}
${fwcmd} add allow all from not ${inet} to table\(1\) in via ${oif}
${fwcmd} add allow all from not ${inet} to table\(1\) out via ${iif}


но в таком случае они смогут ходить через NAT куда угодно.
Как именно NAT'ить только разрешенные порты для IP из таблицы?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 2:16 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3315
Откуда: Харьков
пункт 3. невнимательно причитал
создай перед натом запрет для таблицы редиректа, кроме нужных портов


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 2:31 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
grayich писал(а):
пункт 3. невнимательно причитал
создай перед натом запрет для таблицы редиректа, кроме нужных портов

Прочитал вроде внимательно :)
Наверное просто не понял..как создать запрет кроме нужных портов? Нужные порты где хранить? В таблице?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 2:43 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3315
Откуда: Харьков
где хочешь, в таблице или просто в переменной списком через запятую\диез


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 2:59 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
то есть типа так:
Код:
rdr_port="порты для проброса"
${fwcmd} add nat 1 ip from table\(1\) to any ${rdr_port} out via ${oif}
${fwcmd} add nat 1 ip from any to ${oip} in via ${oif}

То есть просто разрешить через NAT ходить на те порты, которые для редиректа?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 3:26 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3315
Откуда: Харьков
нет
что то типа такого
Код:
#table(0) - юзеры НАТ
#table(1) - юзеры РЕДИР
rdr_port="13883,3389,3410,3400,3415"

${fwcmdadd deny tcp from "table(1)" to any not dst-port ${rdr_port}

${
fwcmdadd nat 1 ip from "table(0)" or "table(1)" to any out via ${oif}
${
fwcmdadd nat 1 ip from any to any in via ${oif


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 3:39 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
хм:) Интересно.

Твой пример режет все коннекты к юзерам из таблицы, кроме коннекта на нужный порт. Это понятно.

А не зарежет ли это работу пользователя через прокси?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 3:47 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3315
Откуда: Харьков
прокси пропустить до есесенно или иначе обработать, я лишь принцип привёл )


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Динамический kernel NAT
СообщениеДобавлено: Чт 29 авг, 2013 3:58 pm 
Не в сети

Зарегистрирован: Чт 07 окт, 2004 6:12 pm
Сообщения: 191
Ну тогда наверное можно попробовать и так:

Код:
#Разрешаем локалку
${fwcmd} add allow all from ${inet} to ${inet} via ${iif}

table1=NAT
table2=REDIR
rdr_port="порты"

#юзеров через NAT
${fwcmd} add nat 1 ip from table\(1\) to any out via ${oif}

#для всей сети коннект к icq, https
${fwcmd} add nat 1 ip from ${inet} to any 5190,443 out via ${oif}

#юзеров для редиректа с нужных портов
${fwcmd} add nat 1 ip from table\(2\) ${rdr_port} to any out via ${oif}

#весь входящий трафик в NAT
${fwcmd} add nat 1 ip from any to ${oip} in via ${oif}

#разруливаем все что касается NAT
${fwcmd} add allow all from ${inet} to not ${inet} in via ${iif}
${fwcmd} add allow all from not ${inet} to ${inet} in via ${oif}
${fwcmd} add allow all from not ${inet} to ${inet} out via ${iif}


Интересно, так оно будет работать?
table1 - в инет через NAT
table2 - принимают соединения через redirect_port и "отвечают" с нужных портов
inet - вся сеть в аську, https и т.д...


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика